Nous oui ! (attention n’ayez crainte, nous nous rappelons ce que nous faisions, pas ce que vous faisiez !).
Certes, nous n’y sommes pas arrivés seuls, nous avons utilisé la mémoire impitoyable d’Internet pour nous aider à nous souvenir de ce qu’il s’était réellement passé le 22 octobre 2009.
C’était la date de sortie officielle de Windows 7, nous nous sommes donc munis d’un exemplaire prêt à l’emploi (vous vous souvenez encore des logiciels livrés dans leurs boîtes ?). Et nous avons attaqué celui-ci avec tout un tas de nouveaux virus.
Autrement dit, nous avons pris les 10 derniers échantillons de malwares Windows qui se sont présentés au niveau des SophosLabs pour analyse, avons vérifié qu’ils fonctionnaient bien sur les versions précédentes de Windows, puis nous les avons lancés sur le tout nouveau Windows 7.
La bonne nouvelle est que trois des 10 échantillons ne fonctionnaient pas sur Windows 7; la mauvaise nouvelle est que les sept restants ont, quant à eux, fonctionné.
Vous ne pouvez pas vraiment blâmer Microsoft pour un tel résultat, que cela vous plaise ou non d’ailleurs, car en fait tout le monde s’attend à ce que les logiciels existants fonctionnent et soient “prêts à l’emploi” avec la nouvelle version, et ce malgré les nombreuses améliorations de sécurité.
C’était il y a une décennie : 10 ans et près de 3 mois, pour être précis.
Aujourd’hui nous assistons à la fin de l’histoire de Windows 7, la véritable fin, en fait.
Après ce premier Patch Tuesday de 2020 et la publication des dernières mises à jour Windows 7 …
…ce sera bel et bien fini !
“Salut, et encore merci pour le poisson !”.
Il n’y aura plus de mises à jour de routine de Windows 7, comme il n’y en a plus eu pour Windows XP depuis le mardi 08 avril 2014.
Le problème est que les “nouveaux” échantillons de malwares, ainsi que les nouvelles vulnérabilités et exploits, sont susceptibles de fonctionner sur les anciens systèmes Windows 7 de la même manière qu’en 2009, la plupart des “anciens” malwares fonctionnaient aussi très bien sur les nouveaux systèmes Windows 7.
Même si les cybercriminels cessent de rechercher de nouvelles vulnérabilités dans Windows 7 et se concentrent uniquement sur Windows 10, il y a de fortes chances que les bugs qu’ils trouveront ne soient pas vraiment nouveaux et viennent en réalité du code qui avait été écrit à l’origine pour les anciennes versions de Windows.
Les bugs ne sont pas toujours découverts rapidement et peuvent rester tapis dans l’ombre pendant des années, sans être repérés, même dans les logiciels open source que tout le monde peut télécharger et inspecter à son gré.
Ces bugs latents peuvent éventuellement être découverts, “prêts à attaquer” (‘militarisés’ pour utiliser l’un des termes du jargon cybersécurité les moins attrayants) et à être exploités par des cybercriminels, pour le malheur de tous.
NB : La tristement célèbre faille Heartbleed dans OpenSSL était là depuis environ deux ans avant de faire la Une de l’actualité. En 2012, l’utilitaire sudo de sécurité Unix a corrigé un bug d’élévation des privilèges qui avait été introduit en 2007. OpenSSH a corrigé un bug en 2018 qui était resté non-découvert dans le code depuis environ 2000.
A qui la faute ?
Windows 10 est beaucoup plus sécurisé contre d’éventuelles exploitations par des pirates que Windows 7, et la mise à niveau de nouvelles fonctionnalités de sécurité dans Windows 7 n’est tout simplement pas possible.
Par exemple, il existe de nombreux “changements majeurs” dans Windows 10 qui modifient délibérément la façon dont certains éléments fonctionnaient dans Windows 7 (certains composants ont même été supprimés) car ils ne sont plus considérés comme suffisamment sécurisés.
Ainsi, opter pour la mise à niveau peut être considéré à la fois comme une étape nécessaire et souhaitable.
De même, ne pas choisir la mise à niveau vous exposera de plus en plus à des failles de sécurité, car toutes les vulnérabilités découvertes seront connues du public, mais non corrigées de manière définitive.
Pour le meilleur ou pour le pire, le processus moderne de recherche et de divulgation des bugs implique généralement de signaler de manière responsable ces derniers, en intégrant idéalement une “preuve de concept” qui montrera à l’éditeur en question comment le bug fonctionne sur le terrain afin de confirmer son importance.
Ensuite, une fois les correctifs publiés, il est désormais considéré non seulement raisonnable mais aussi important de publier une présentation détaillée de la faille et de la manière de l’exploiter.
Aussi fou que cela puisse paraître, il semble évident que nous serons plus susceptibles d’écrire des logiciels sécurisés à l’avenir si nous pouvons facilement apprendre des erreurs du passé, car ceux qui ne se souviennent pas de l’histoire seront condamnés à la répéter.
L’inconvénient de la divulgation complète des exploits, cependant, est que ces divulgations sont parfois des “instructions d’attaque à vie” contre des systèmes que les propriétaires n’ont pas corrigés, ne peuvent pas corriger ou ne corrigeront pas.
Quoi faire ?
- Identifiez les systèmes de votre réseau qui ne peuvent tout simplement pas être mis à jour. Vous devez ensuite décider s’il est absolument nécessaire de les conserver, par exemple parce que ce sont des appareils irremplaçables et spécialisés dont vous ne pouvez en réalité pas vous passer, ou bien si vous pouvez vous en débarrasser à tout jamais. Si vous devez les conserver, installez-les sur un réseau séparé et limitez autant que possible leur exposition.
- Identifiez les systèmes sur lesquels les logiciels d’autres éditeurs vous empêchent une mise à niveau. Continuer de travailler avec une version désormais non sécurisée de Windows juste pour pouvoir utiliser un ensemble de logiciels (software stack) provenant d’un autre éditeur, et à présent lui aussi non sécurisé, ne fera qu’empirer les choses. Référez-vous au point #1.
- Fixez-vous des délais fermes pour enfin passer à Windows 10. Techniquement, vous avez déjà bien trop traîné pour le faire, alors ne tardez plus. Plus vous tarderez, plus vous serez exposé et plus le nombre de cybercriminels qui pourront pénétrer dans votre réseau sera grand s’ils décident de tenter leur chance. Référez-vous au point #1.
Selon la personne à qui vous posez la question, vous entendrez des chiffres suggérant qu’entre 25% et 33% (c’est-à-dire entre un quart et un tiers) des ordinateurs de bureau utilisent toujours Windows 7.
Alors, s’il vous plaît… ne tardez pas et faites-le dès aujourd’hui !
Billet inspiré de Windows 7 computers will no longer be patched after today, sur Sophos nakedsecurity.