Au gouvernement, un bug de mise à jour sur Windows XP

Retour vers le futur 85
En bref
image dediée
Développeurs
Vincent Hermann

L’arrêt du support technique de Windows XP a provoqué de nombreux remous. En France, la sénatrice Frédérique Espagnac avait demandé au gouvernement ce qui avait été prévu pour se préparer à la situation. La réponse d’Axelle Lemaire, secrétaire d’État chargée du Numérique, tente de faire l’inventaire des actions, mais n’évite pas les écueils.

windows xp

La situation continuera de se dégrader 

Depuis le 8 avril dernier, Windows XP ne bénéficie plus d’aucun support technique. Lors des bulletins mensuels de sécurité, le système n’est donc plus concerné par les mises à jour. Jour après jour, les failles détectées (car il y en a nécessairement) ne sont plus colmatées, ouvrant un nombre croissant d’opportunités pour les pirates. Le danger le plus important réside dans la mise en place d’immenses parcs de machines zombies, les fameux botnets.

Les infections de masse des machines n’étant plus corrigées sont rendues possibles par l’exploitation des failles critiques. Ces dernières sont caractérisées notamment par une exploitation à distance, le plus souvent grâce à une page web spécialement conçue ou encore l’ouverture d’un document particulier. Exploitée, la brèche permet alors de faire coulisser un ou plusieurs « malwares » jusqu’à la machine, qui se chargeront à leur tour de rendre cette dernière pilotable à distance. Un botnet peut contenir ainsi des dizaines de milliers de machines zombies, utilisées alors pour générer en masse du spam ou des attaques distribuées par déni de service (DDoS).

Comment le gouvernement a-t-il préparé le terrain ? 

Deux semaines après la fin de ce support, la sénatrice Frédérique Espagnac intervenait sur le sujet. Elle demandait officiellement au gouvernement « de bien vouloir lui indiquer ce qui a été fait en amont par le gouvernement pour prévenir ce changement et ce qu'il compte mettre en œuvre pour éviter les désagréments susceptibles de se produire ». La question de la situation globale de Windows XP en France, particulièrement au sein des administrations restait floue. Les ministères de l’Éducation et de la Défense nous avaient bien répondu que les migrations étaient en cours vers Windows 7, mais sans plus de détails. Celui de la Défense nous avait cependant indiqué que les opérations avaient démarré depuis trois ans et qu’elles nécessitaient de très nombreux tests.

La question de Frédérique Espagnac a reçu hier sa réponse. Axelle Lemaire a souhaité faire le point sur ce qui avait été fait. Elle résume notamment les actions de l’agence nationale de sécurité des systèmes d'information (ANSSI) :

  • Publication régulière de notes d’informations et de recommandations
  • Avertissement des responsables informatiques pour les sensibiliser au problème
  • Préconisation de migrations vers des systèmes et logiciels dont le support était assuré
  • Contact des ministères début 2013 pour anticiper le problème

La date d'arrêt de support de Windows XP est connue depuis... janvier 2007

Mais la réponse contient une curieuse information : Axelle Lemaire indique que l’arrêt du support de Windows XP, « intervenu le 8 avril 2014, avait été annoncé fin 2012 ». Dans un tel contexte, il n’est évidemment pas étonnant de voir que l’ANSSI a pris contact avec les ministères au début de l’année dernière.

Seulement voilà, la date de fin de support de Windows XP n’est pas connue depuis fin 2012, mais depuis… janvier 2007. Nous avions en effet abordé dans nos colonnes la rallonge qui serait accordée au système. Il fallait cependant installer obligatoirement le Service Pack 3, une situation que nous avions abordée une nouvelle fois en décembre 2009. La situation est donc parfaitement connue depuis plus de sept ans, et on est loin des 18 mois sous-entendus par réponse du gouvernement.

« Des solutions au problème de la migration d'XP sont aujourd'hui trouvées ou en passe de l'être dans la majorité des ministères » indique par ailleurs Axelle Lemaire. Une indication floue qui inscrit en filigrane une réalité plus crue : des ministères n’ont pas encore de solution. La secrétaire d’État rappelle cependant qu’il est possible de « contractualiser, afin de se prémunir contre de futurs risques, une extension de service support », ce que l’on savait déjà.

Nous avons contacté l’ANSSI pour obtenir de plus amples détails.


chargement
Chargement des commentaires...