Récemment, Microsoft communiquait sur la date fatidique du 8 avril 2014, en tant qu'arrêt définitif du support de Windows XP. Seulement voilà, il ne s’agit peut-être pas d’un arrêt complet. Dans tous les cas, il y aura bien un avant et un après avril 2014, et le paysage de la sécurité pourrait en être chamboulé.
Le grand vide après avril 2014... vraiment ?
Microsoft l’a clairement annoncé sur son blog : au-delà d’avril 2014, les failles de sécurité de Windows XP seront laissées ouvertes aux quatre vents. Après presque 13 longues années de support, le système mettra le deuxième pied dans la tombe. Car, avec la fin du support, les malwares devraient ne faire qu’une bouchée du vieux système, qui ne dispose d’aucune défense moderne comme peuvent en avoir ses successeurs.
Il faut savoir tout d’abord que Microsoft divise son support en deux étapes essentiellement. Pendant les cinq premières années, un Windows bénéficie d’un support classique : toutes les failles de sécurité sont corrigées, ainsi que la plupart des autres problèmes plus généraux. Au-delà de ces cinq ans, le produit entre en phase de support étendu, et seules les failles sont alors corrigées. Au-delà, c’est le vide… ou presque.
Custom Support, une extension au prix fort
Microsoft dispose d’un programme supplémentaire, appelé Custom Support. Il n’est réservé qu’aux grands comptes, autrement dit aux entreprises de grande taille possédant généralement des milliers, voire des dizaines de milliers de machines. Pour un tarif d’environ 200 dollars par poste et par an, Microsoft continue de corriger et distribuer les patchs corrigeant les failles critiques. Pour des failles de niveau « important », il faut encore ouvrir le porte-monnaie. Cette période particulière peut s'étendre jusqu'à trois ans après la fin du support étendu.
La question qui se pose actuellement est de savoir si ce fameux Custom Support sera applicable à Windows XP. La communication à ce sujet est contradictoire et nous attendons que Microsoft réponde à notre interrogation à ce sujet. D’un côté, nous avons en effet un programme qui normalement est applicable à de nombreux produits, dont les Windows. De l’autre, un système possédant un régime particulier et dont Microsoft espère la mort définitive depuis de nombreuses années.
Quel paysage pour la sécurité dans un an ?
Car le cas de Windows XP est spécifique : disponible depuis presque douze ans maintenant, il est encore très utilisé dans certains pays. Or, si le support s’arrête brutalement, il ne faudra que quelques mois aux concepteurs de malwares pour créer facilement de nouveaux botnets comprenant des centaines de milliers de machines. L’exemple de la Chine est frappant : presque 55 % des machines embarquent le vieux système. Des millions de machines qui pourraient se transformer en générateurs de spams, d’attaques par déni de service et ainsi de suite.
La situation en Chine
Et même si la Chine est un exemple fort, le reste du monde est tout autant concerné. Dans son billet, Microsoft annonçait être parfaitement au courant des utilisateurs qui ne souhaitaient pas changer de système avant de changer de machine. Beaucoup préfèrent ainsi garder leur PC en l'état jusqu'à qu'il « rende l'âme ». En France, environ 13 % des PC se trouvent encore sous Windows XP. Dans d'autres pays, il n'est pas rare de trouver encore un tiers de machines concernées, un chiffre impressionnant dans un monde où trois Windows plus récents sont sortis depuis.
De fait, la question du support devient complexe et pose celle de la responsabilité. Jusqu’à présent, elle n’a jamais été remise en cause car Microsoft propose des supports particulièrement longs. Or, si la firme souhaite se débarrasser d’une plateforme qui plombe son écosystème technologie depuis trop longtemps, elle se retrouvera peut-être en face d’un vaste problème de sécurité qui pourrait affecter internet lui-même. Un scénario volontairement « dramatique » mais qui illustre le potentiel d’une situation qui pourrait déraper. Microsoft a donc peut-être déjà abordé le sujet en interne pour établir des pistes de solutions.
Autant de questions qui ont été remontées à Microsoft et pour lesquelles nous attendons actuellement des réponses.