Le 8 avril se rapproche et avec lui la fin du support de Windows XP. Les conséquences d’un tel arrêt ont été largement débattues dans nos colonnes, mais Microsoft a décidé d’allonger de plus d’un an l’arrivée des mises à jour pour Security Essentials, son antivirus gratuit. Nous nous sommes entretenus à ce sujet avec Bernard Ourghanlian, directeur technique de Microsoft France, notamment pour en savoir davantage sur cette décision.
Moins de trois mois avant la date fatidique
Lorsque le support de Windows XP s’arrêtera dans moins de trois mois, plus aucune mise à jour ne sera fournie au vieux système. Les failles de sécurité resteront donc ouvertes et seraient rapidement exploitées par les pirates, les brèches faisant l’objet d’une chasse constante et d’un véritable marché sous-terrain. Nombreux sont encore les pays où Windows XP a encore une forte part de marché, notamment la Chine avec plus de 50 %.
Avec l’arrêt de ce support, Microsoft devait également stopper les mises à jour de Security Essentials pour Windows XP, son antivirus gratuit (intégré désormais dans Windows 8). Or, la firme a finalement choisi d’étendre l’arrivée de ces mises à jour de plus d’un an, soit jusqu’au 14 juillet 2015. Un signal étrange envoyé aux utilisateurs de Windows XP alors même que la firme insiste depuis longtemps pour que les migrations vers un système plus récent se fassent enfin.
Bernard Ourghanlian nous répond
Nous avons donc abordé le sujet avec Bernard Ourghanlian, directeur technique de Microsoft France. Il s’agit avant tout selon lui « d’aider les particuliers et les entreprises à essayer de terminer leur migration depuis Windows XP s’ils n’ont pas fini à temps ». Mais il tient à rappeler que « cela n’affecte en aucune façon la date de fin de support » du système. Le directeur comprend « que cela puisse être interprété comme un signal contradictoire » mais la décision vise à « donner un contexte dans lequel les utilisateurs auront un peu plus de sécurité ».
Il faut tout de même pour Bernard Ourghanlian être « conscient des limites » d’un antivirus quand le système lui-même n’est plus à jour : « Un anti-malware ne protège d’un malware qu’une fois qu’il est connu. Fondamentalement, à partir du moment où une faille n’est pas corrigée, un exploit de type 0-day restera un exploit de type 0-day. En tant que tel, l’anti-malware ne peut qu’empêcher un malware d’exploiter une faille mais en aucun cas de corriger cette faille ».
Une efficacité qui se réduira avec le temps
En outre, il pense que « l’efficacité de ce genre de solution, qu’il s’agisse de celle de Microsoft ou des autres, va se réduire avec le temps ». Il explique en effet que les concepteurs de malwares testent en général leurs créations contre toutes les solutions de sécurité du marché. Si un malware « n’est pas détecté, on va l’envoyer sur Internet ». Au contraire, « si un malware est détecté, on va modifier quelques bits, on va essayer de cacher quelques éléments du code à travers l’obfuscation, jusqu’à ce que l’anti-malware ne le détecte plus puis on l’envoie sur Internet ».
Problème : « on va avoir des milliers, voire des dizaines de milliers de variantes du même malware qui vont reposer sur la même faille, qui ne sera d’ailleurs jamais corrigée. On va donc avoir une base de définition des antivirus qui va devenir de plus en plus grosse, donc de plus en plus longue à télécharger, avec une exécution de plus en plus longue de l’antivirus ». Conséquence, « les gens finissent par le désactiver quand il ralentit trop la machine ».
Microsoft « va communiquer de manière massive »
Nous nous sommes également intéressés à un sujet particulièrement épineux : comment prévenir les utilisateurs ? Ourghanlian nous explique que Security Essentials affichera un message rouge à partir du 8 avril pour avertir que le support de Windows XP est terminé et qu’il est temps de migrer. L’objectif est de prévenir que même si la protection antivirale est active, elle ne pourra compenser que dans une faible mesure l’absence de correction sur les failles. « L’idée est de prévenir via l’antivirus que globalement l’environnement n’est plus supporté », tout en ajoutant que Microsoft « va communiquer de manière massive ».
Mais le vrai souci dans la migration est que dans la plupart des cas, il ne sera pas réellement question d’installer simplement Windows 8 sur la machine. D’une part, le système ne propose pas vraiment de chemin de migration depuis l’ancien système, ne gardant en fait que les données personnelles et supprimant les applications et les paramètres. D’autre part parce qu’une machine sous Windows XP a potentiellement plusieurs années et une configuration très modeste, n’embarquant parfois que 512 Mo de mémoire vive. Nous avons en effet demandé si Microsoft envisageait une cassure des prix sur Windows 8 pour motiver ces migrations, mais le directeur technique nous a répondu que dans beaucoup de cas, c’était bien la machine complète qu’il fallait changer : « la plupart des gens obtiennent un nouveau Windows avec la machine ».
Jusqu'à un tiers des entreprises encore sous Windows XP
Le problème des entreprises est légèrement différent et concerne davantage le temps nécessaire à la finalisation des migrations. C’est l’un des arguments qui a poussé l’éditeur à proposer des mises à jour pour son antivirus pendant une année supplémentaire. Bernard Ourghanlian avance le chiffre de 30 % pour les sociétés encore sous Windows XP. Il indique cependant que l’information est à prendre avec des pincettes car il est très difficile de savoir avec précision, notamment à cause des pare-feu.
Dans l’ensemble, Microsoft devra être sur le pied de guerre durant tous les prochains mois, ne serait-ce que pour s’assurer que les utilisateurs, qu’ils soient professionnels ou des particuliers, soient au courant de la situation. Car une chose est sûre : d’ici le 8 avril, il est impossible que toutes les machines sous Windows XP soient remplacées par un système plus récent, qu’il s’agisse de Windows 8 ou même d’une plateforme concurrente. Même l’année supplémentaire de mises à jour pour Security Essentials, avec les limites que cela suppose, ne sera pas nécessaire. Il faut s’attendre à devoir patienter encore plusieurs années avant que l’ancien système ne disparaisse des radars.