Microsoft a diffusé hier une importante mise à jour de sécurité pour plusieurs systèmes afin de colmater une brèche dans Internet Explorer. À la surprise générale, Windows XP a reçu lui aussi le correctif. En dépit de la volonté de l’éditeur d’atténuer le choc de la fin du support de son produit, il pourrait s’agir d’une erreur assez sérieuse.
Plus tôt dans la semaine, une importante faille de sécurité a donné lieu à plusieurs alertes. De type 0-day, donc déjà exploitée au moment où son existence devenait publique, elle touchait les versions 6 à 11 d'Internet Explorer. Alors que même la plus récente mouture sur le plus récent des Windows était affectée, la question se posait de savoir comment la situation allait évoluer sous Windows XP. Internet Explorer 8, quand il est présent sur l’ancien système, n’est en effet plus supporté.
Le correctif diffusé hier a répondu à cette question. Sous Vista, Windows 7 et Windows 8, il était normal qu’une telle mise à jour soit disponible puisque les systèmes bénéficient d’un support technique actif. Par contre, le patch a été diffusé également auprès des utilisateurs de Windows XP. Bien que certains puissent pousser un soupir de soulagement, il ne s’agit nécessairement que d’une partie remise.
L’erreur de Microsoft
Il est évident que l’éditeur de Redmond a souhaité bien faire. Sous le feu des projecteurs, la firme a estimé qu’elle n’était pas encore prête à affronter le feu nourri des critiques pour avoir « abandonné » un système utilisé encore par plus d’un quart de la population mondiale, et ce malgré plus de douze années de support technique.
Malheureusement, ce correctif pour Windows XP est probablement une erreur, et ce pour plusieurs raisons. D’une part, et il s’agit du problème principal, Microsoft vient d’envoyer le mauvais signal aux entreprises et utilisateurs. Non seulement la firme revient sur son propre message, pourtant martelé durement, mais elle fait également mentir les administrateurs qui préviennent de la fin du support technique. En d’autres termes, même quand Microsoft durcit le ton, le résultat ne change pas : Windows XP continue à recevoir des correctifs.
Et s’il s’agit du problème principal, c’est parce que les plans de migration pourraient s’en trouver ralentis. Ils sont essentiellement alimentés désormais par l’urgence puisque rester sur un système n’ayant plus de support représente un danger très concret. Difficile cependant de faire prendre conscience de l’urgence de la situation si Microsoft montre… que l’urgence n’est pas si sérieuse. Pourquoi se dépêcher si les patchs continuent à arriver ?
Un bénéfice quasiment nul
D’autre part, le fait de corriger cette brèche en particulier se révèle pratiquement inutile. Bien entendu, le spectre d’une exploitation massive de la faille s’éloigne avec la diffusion du patch pour pratiquement tous les PC dans le monde. Microsoft défend sa décision en expliquant que le correctif est une exception due au fait que l’arrêt du support est récent. Mais d’autres failles vont suivre, et ce n’est pas une dernière séance d’acharnement thérapeutique qui changera la donne.
Il faut rappeler en effet que bien des composants sont liés. Initialement, la faille concernait les versions 9, 10 et 11 d’Internet Explorer. L’exploitation sous Windows XP est arrivée plus tard. Pourquoi ? Parce que des éléments sont identiques et que toute nouvelle faille découverte dans l’une de ces versions peut potentiellement donner lieu à une exploitation dans les versions 6, 7 et 8 sous Windows XP. En d’autres termes, il suffit d’un nouveau bulletin publié le deuxième mardi de chaque mois (les fameux Patch Tuesday) pour que les pirates soient renseignés sur une éventuelle nouvelle brèche à exploiter. Le cycle va donc se répéter inlassablement.
La communication, l'éternel problème de Microsoft
Maintenant, que pourrait bien faire Microsoft ? Il n’existe aucune solution idéale. La firme avait cependant annoncé que le support de Windows XP était bel et bien terminé, le rappelant à de nombreuses reprises depuis plusieurs années. La date du 8 avril 2014 était connue depuis six ans et n’avait donc rien d’une surprise. Malgré la dureté du ton pourtant, de nombreuses entreprises et des gouvernements n’ont non seulement pas terminé leurs migrations, quelles qu’elles soient, mais certains n’ont même pas commencé. La Chine a par exemple annoncé qu’il n’y avait aucun plan en la matière et que des entreprises privées, mandatées par l’État, développeraient leurs propres correctifs. En France, la situation est floue, et la question de la sénatrice Frédérique Espagnac semble arriver bien tardivement.
Microsoft a besoin que le parc de machines sous Windows XP se réduise le plus rapidement possible, tout comme le monde informatique en général. Plus de 25 % des machines sur la planète sont équipées d’un système obsolète dont les technologies sont dépassées, en particulier sur le plan de la sécurité. Comme on l’a déjà vu à de nombreuses reprises, ces ordinateurs sont désormais des victimes à rebours des pirates qui en feront, tôt ou tard, des machines zombies au sein d’immenses botnets. Mais le meilleur moyen d’y parvenir n’est certainement pas d’injecter de nouveaux patchs alors que le support technique est terminé.
La question qui se pose maintenant est de savoir si les prochains bulletins de sécurité mensuels contiendront des références à Windows XP. Microsoft jure que ce ne sera pas le cas, ils le pourraient. Non seulement Microsoft vient de prouver qu’une date de fin peut ne pas être respectée, mais la firme continuer de développer dans tous les cas les patchs correctifs puisque des entreprises et gouvernements payent pour un support supplémentaire. Il s’agira alors de résister aux diverses pressions qui ne manqueront pas de s’exercer chaque fois qu’une faille critique pointera le bout de son museau.
Commentaires (62)
#1
" />
#2
Je vois que c’est un correctif pour IE8 pas pour windows XP…
#3
" />
“Je compte jusqu’à trois et c’est finiiii, un deuuuuuuuux, deux et demi…….”
" />
#4
#5
La correction devait etre generique et donc ne rien coute a MS, limite faire une exception pour empecher de maj sous xp devait couter plus en temps/argent que de la laisser, donc ils ont dulaisser passer.
#6
" />
#7
Le correctif est bien en téléchargement ici ce qui peut surprendre en effet…
#8
ça fait un peu couilles molles comme décision " />
#9
#10
En France, la situation est floue, et la question de la sénatrice Frédérique Espagnac semble arriver bien tardivement.
Déjà dit dans la news relative mais ça doit être ça qu’on appelle “à un train de sénateur” " />
La Chine a par exemple annoncé qu’il n’y avait aucun plan en la matière et que des entreprises privées, mandatées par l’État, développeraient leurs propres correctifs.
c’est possible sans les sources, ça ? (vraie question. ça me paraît surprenant)
#11
#12
Je trouve ça bien de la part de ms. Il ne force pas autant la main pour changer d’OS qu’on pourrait le penser. Après, d’un point de vue cohérence de discours, c’est autre chose.
#13
#14
Bonne analyse, néanmoins on peut difficilement être catégorique.
Les arguments et points de vue peuvent se tenir des deux côtés, c’est un peu “borderline” comme sujet.
#15
#16
#17
#18
#19
#20
#21
#22
#23
#24
#25
#26
Je ne suis pas sur que ce soit si mauvais,
Les administrateurs ne discute pas forcément avec des responsables très avertis des soucis informatique et qui ne remarqueront pas vraiment le lien contradictoire entre les deux discours.
Après, c’est à eux de se prendre en main et de faire les migrations nécessaires et ne pas se dire que ça recommencera.
De plus, pour les particuliers, la fin du support ne doit être un argument pour changer, que pour un tout petit nombre.
C’est plus l’indisponibilité de pilote, de périphérique de logiciels ou de jeux qui vont forcer les gens à la migration.
(Pour exemple combien de personnes fonctionne sans antivirus, et même sans le mises à jours activée depuis des années.)
Donc vu que le patch ne demandait pas plus de développement pour être porté sous XP cela aurait été criminel (terme exagéré, j’en convient) de ne pas le diffuser.
Perso, j’approuve la décision de Microsoft.
#27
#28
#29
Cela aurait pu être pire, Ms aurait pu rendre le correctif payant ;)
#30
#31
#32
#33
Je ne vois pas trop le soucis… MS ne mettra plus à jour l’OS, ils n’ont pas dit qu’ils cesseraient définitivement toute mise à jour de logiciel tournant sur cet OS.
Ils ont annoncé qu’ils continueraient les MAJ de l’antivirus pendant un an, pourquoi pas IE ?
Par contre, il faut s’attendre à ce qu’une faille touchant l’OS lui-même, du genre faille sur une DLL système, reste en l’état.
#34
#35
Bon ben la MAJ s’est faite en automatique sur le XP
" />
#36
#37
#38
Vincent.. ce serait pas lié au support étendu à 100-200€/$ par poste que propose Microsoft a ses grand comptes le correctif pour XP ?
Vu qu’ils doivent avoir une masse de clients dans cas, ils ont peut être laissé les vannes ouvertes pour cette faille.
#39
#40
#41
C’est surtout les entreprises qui ont acheté le support étendu à prix d’or qui doivent faire la gueule ! " />
#42
#43
#44
#45
Ca c’est de l’amour.
Soit disant passant, si le correctif à été réalisé notamment pour les boites qui payent les maj. Ça devenait un peu plus facile de réaliser cette maj pour tout le monde.
Reste qu’effectivement, il vaut mieux que ce soit limité comme support sinon, quel est l’intérêt pour ceux qui payent ^^‘.
#46
#47
#48
#49
#50
Microsoft a besoin que le parc de machines sous Windows XP se réduise le plus rapidement possible, tout comme le monde informatique en général.
Le monde informatique veut que le parc se réduise ? Le monde informatique veut aussi des quad-sli de Titanz sur des cores i9.
L’ampleur de l’utilisation d’XP prouve exactement que c’est un souhait sans fondement rationnel.
#51
#52
#53
#54
#55
#56
Ils ont racheté le patch aux Chinois qui continuent le support de XP " />
#57
De toutes façons ce patch ils l’auraient sorti quand même, a la fois pour Win XP embed qui continue d’être supporté officiellement (J’installe encore des PC neufs sous XP embed tous les mois dans mon boulot ! Certes c’est des machines un peu spécifiques a “usage métier”, mais c’est jamais qu’un PC re-carrossé), et pour les clients en support étendu de XP “normal”
Finalement le sortir pour les poste sous windows XP “normal” ca ne change pas grand chose au pb.
Au pire le jour ou le support du XP normal cessera pour de vrai, certains trouveront le moyen de lui appliquer les patchs destinés a la version embed.
#58
#59
#60
#61
#62
C’est ce qu’on appelle du support “Best Effort”.
Même si c’est hors périmètre mais que çà ne coûte rien en plus autant le diffuser, c’est bon pour l’image " />