Auteur Sujet: Windows XP en 2014 : un risque majeur pour l'internet (Lu 62622 fois)

vivien · « **le:** 30 août 2013 à 19:06:20 »

Windows XP en 2014 : un risque majeur pour l'internet

Edit : Message présent depuis le 8 avril 2014 pour annoncer la fin de la mise à jour :

Note : Les deux options, c'est soit mettre à jour le PC avec Windows 8.1 soit acheter un nouveau PC.

Microsoft le répète : plus aucune mise à jour de sécurité ne sera proposée pour Windows XP après le 8 avril 2014 qui correspond à la fin du support étendu de Windows XP. Ce support étendu a déjà été prolongé exceptionnellement car Windows XP a été vendu jusqu'en 2010 sur des "netbook" à 300euros (vous savez, ce qui faisait une fureur avant les tablettes). Ces "netbook" ont été au début livrés sous Linux (car Windows Vista était trop gourmand) avant que Microsoft force la main aux constructeurs en leur demandant de mettre "Windows XP Home Edition ULC" sur ces PC premier prix (ULC = Ultra Low Cost). Windows ULC était vendu presque rien aux fabricants, s'ils retiraient leurs PC linux, ce qui a mis fin à l'invasion de Linux brutalement.

Microsoft semble donc décidé à arrêter toutes les mises à jour de Windows XP le 8 avril 2014, ce qui pose un vrai problème de sécurité pour Internet : Dès lors que les machines ne recevront plus de correctifs, les malwares risquent de s’en donner à cœur joie car Windows XP équipera encore un pc sur 5 dans le monde en avril 2014, vu la courbe qui descend très peu :

(statistiques Stat Counter)

Il y a donc un risque réel pour que une proportion importante des PC de l'Internet deviennent des armées de machines zombies (botnets), et donc autant d’usines pour générer des attaques de déni de service (vers des site web ou contre les serveurs DNS racine d'envergure, ce qui pourrait paralyser internet) ou plus simplement pour envoyer du spam. Microsoft donne donc une arme à tous ceux qui sont intéressés pour faire une guerre électronique contre certains pays de l'Internet et ils sont nombreux (coucou "l'armée électronique syrienne")...

Les particuliers ne sont pas les seuls à garder Windows XP, il y a aussi les entreprises qui continuent d'installer sur les PC neuf (en 2013) avec Windows XP et ce phénomène n'est pas le cas d'une entreprise isolée, mais de nombreuses entreprises qui n'ont pas les moyens (restrictions budgétaire) de faire les développement pour rendre leurs applications métier compatible avec Windows 7 (Windows 8 dans les entreprises du CAC40, ce n'est pas pour demain)

Citation de: Nico le 12 août 2012 à 11:55:50

C'est rageant d'être sous XP en ayant un joli logo "Windows 7" sur son PC pro...

Mais tellement de compatibilités à vérifier pour passer sur un autre OS, toutes les applications et tout.

Citation de: menet le 12 août 2012 à 15:49:16

Dans ma grosse entreprise informatique française, nous sommes toujours sur XP (même pour nos nouveaux PC et mobile Dell avec logo Windows 7). Les tests sur Windows 7 ont débuté depuis pas mal de temps....

Remarquez que nous étions resté très longtemps aussi sous une édition spéciale de Windows 98.

Citation de: guizmos123 le 12 août 2012 à 20:34:12

Nous aussi toujours sur XP avec Office 2003, 2007 et 2010
L'optique est plutôt de diminuer les équipes informatiques au minimum sur site, supprimer les serveurs locaux pour des gros datacenters,...

Si certaines grandes entreprises vont payer Microsoft pour avoir des correctifs de sécurité critique (Micorsoft propose encore pendant 3 ans les correctif de sécurité critique au prix de 1 million d'euro par an pour 5000 postes), de nombreuses sociétés risquent de ne pas pouvoir le faire pour la même raison qui font qu'elles sont encore sous Windows XP : Budget absent.

Vincent Hermann de PC INpact a publié un article qui aborde le sujet aujourd'hui :

De fait, d’un problème concernant Microsoft, on passe à un problème qui pourrait affecter Internet lui-même, et on peut imaginer que les pirates se frottent déjà les mains en mettant de côté des failles qui pourraient servir. Nous avons donc interrogé la société sur ce point problématique : des mesures sont-elles prévues dans le cas où la situation déraperait ? « Pour répondre franchement, non, il n’y aura rien de fait ».

Luc Badier explique que Microsoft prépare le terrain depuis deux ans maintenant pour l’arrêt du support. La conséquence est radicale : « Non il n’y aura pas de reprise en main, il n’y aura pas d’intervention pour sauver les systèmes, on est véritablement tournés vers cet arrêt, et il est grand temps de migrer » explique le responsable. Nous avons tout de même voulu savoir si Microsoft comptait mettre en place une communication particulière, mais la réponse est une nouvelle non : « Nous continuerons à accompagner les clients comme nous le faisons dans leurs migrations. Mais d’un point structure de produit ou structure de support, il n’y aura comme je vous le disais aucune modification à la date ».

Pour résumer, quand va se présenter la fin du support de Windows XP, Microsoft continuera à vaquer à ses occupations. Aucune campagne de communication ne prendra place, et a priori aucune promotion sur le prix des licences ne sera faite. Luc Badier rappelle d’ailleurs à ce sujet que lorsque Windows 8 est sorti, il était disponible en mise à jour pour 20 euros : « Beaucoup d’utilisateurs l’ont acheté sans pour autant le déployer. On peut donc parier sur des installations à ce moment-là, quand ils n’auront plus vraiment le choix ».

En définitive, la fin de vie de Windows XP sera probablement brutale. Le support étendu est la dernière barrière qui empêche le système d’être dévoré vivant par les malwares et autres menaces de sécurité. En quelques mois, quand les failles se seront multipliées et laissées béantes, la situation risque vite de devenir très pénible pour les utilisateurs, et les antivirus ne pourront guère faire de miracle. Pourtant, et même si l’absence de mesures peut sembler radicale, il ne faut pas oublier que Microsoft prévient de cet arrêt depuis plusieurs années maintenant. Les conséquences exactes n’avaient pas été encore clairement annoncées, mais le résultat était prévisible.

Le message de Microsoft est donc simple : migrez. Et pourtant, la firme s’attend à ce qu’une partie des utilisateurs se tourne vers des solutions alternatives. Nous avons posé la question du cas Linux, et le responsable pense effectivement que les distributions pourront représenter une solution pour une partie des machines. Mais la majorité des utilisateurs pourrait simplement se débarrasser de leur vieux PC et se racheter une machine neuve. En sautant les étapes Vista et Windows 7, ils se retrouveront alors face à Windows 8.1 et de nombreuses habitudes à réapprendre.

Source : PC INpact, le 30 août 2013 par Vincent Hermann

J'aime Windows XP plus que ma famille (vidéo Microsoft)

tivoli · « **Réponse #1 le:** 30 août 2013 à 20:04:38 »

il va y avoir du piratage de patchs windows , comme pour windows 2000.

Pour le boulot un client possible m'a demande comme seul template d'OS W2000 ;-)

vivien · « **Réponse #2 le:** 30 août 2013 à 20:13:34 »

Oui, mais ton Windows 2000 n'est pas connecté à Internet je suppose. Cela ne me gêne pas des PC en intranet qui sont sous Windows 2000. De toute façon même un Windows 2000 connecté à Internet ce n'est pas trop grave si il est derrière un NAT (sans port ouvert) et qu'il n'est pas utilisé pour surfer ou récupérer des logiciels d'Internet. Un PC Windows qui n'est pas exposé sur Internet (NAT sans port ouvert) et qui reste avec ses mêmes logiciels et sans échange de clef-USB à peu de chance de se faire infecter.

Un PC Windows par contre qui sert pour surfer ou télécharger des logiciels (par exemple pour regarder des DivX ou jouer) est lui exposé à la moindre menace de sécurité et cela va faire mal...

cali · « **Réponse #3 le:** 30 août 2013 à 21:13:56 »

Ce qu'il faut savoir quand même c'est que la majorité des machines infectées le sont à cause de la naïveté de leurs utilisateurs, donc même le dernier Windows 8 bien à jour ne changera pas grand chose.

kgersen · « **Réponse #4 le:** 30 août 2013 à 21:14:36 »

Tres alarmiste et typique de l'habituel FUD de Microsoft...

Faut remettre un peu tout ça dans la réalité concrète...

Le taux de PC sous XP vraiment 'en danger' a cause de ca est infime comparé au taux de PC, sous Windows toute version, deja compromis pour d'autres raisons (utilisateur,paramétrage, environnement, logiciel tiers installés).

99% de ces 'fameuses failles' de sécurité qui font le gras des 'conseils en sécurité' et la une des blogs/medias sont le plus souvent tellement complexes à mettre oeuvre que les 'pirates' et autres 'botnet masters' utilisent des moyens bien plus simples et efficaces pour infester les ordinateurs.

Pour faire une analogie:
On crie au loup parce que la serrure de la porte blindée n'a pas la dernière version anti-crochetage alors que les fenêtres de la maison restent grandes ouvertes 24/7 et la porte n'est même pas fermée a clé de toute facon ...

thenico · « **Réponse #5 le:** 30 août 2013 à 23:23:26 »

Cela va juste faire la joie des pentesters.
Déjà, quand je trouve un Windows 2000 Terminal Server dans un domaine, je sais que, sauf hardening vraiment violent, le domaine m'appartient déjà (Local Privilege Escalation ^^).

corrector · « **Réponse #6 le:** 31 août 2013 à 02:06:41 »

Citation de: vivien le 30 août 2013 à 20:13:34

Oui, mais ton Windows 2000 n'est pas connecté à Internet je suppose. Cela ne me gêne pas des PC en intranet qui sont sous Windows 2000. De toute façon même un Windows 2000 connecté à Internet ce n'est pas trop grave si il est derrière un NAT (sans port ouvert) et qu'il n'est pas utilisé pour surfer ou récupérer des logiciels d'Internet. Un PC Windows qui n'est pas exposé sur Internet (NAT sans port ouvert) et qui reste avec ses mêmes logiciels et sans échange de clef-USB à peu de chance de se faire infecter.

Si on va par là, un PC éteint sans alimentation et sans port réseau et sans port USB et sans clavier ne risque pas grand chose.

obinou · « **Réponse #7 le:** 31 août 2013 à 03:10:32 »

Moi je vois le problème dans des installations industrielles: De vieux softs (anciennes versions de labview, ou d'outils de banc de tests spécifique) qui sont _certifiés_ pour marcher sur CETTE config-là, avec ce matériel-là et pas un autre.

Alors certes ces installations sont rarement (quasi jamais) sur internet. Par contre, pour les utiliser il faut bien que les gens y accèdent, soit par réseau, soit par clé USB. Et là, c'est le drame à la première insertion de clé usb corrompu lié à ce type de faille locale....

minidou · « **Réponse #8 le:** 31 août 2013 à 14:45:25 »

c'est un mal nécessaire, mais requis pour se débarrasser une fois pour toutes d'XP (et d'IE6)

Leon · « **Réponse #9 le:** 31 août 2013 à 15:04:17 »

Comme le disait Vivien, des PC neufs avec WinXP étaient encore vendus en 2010! Je le sais, car j'en ai acheté un : un mini PC, acheé en avril 2010.
Donc si 4 ans après on arrête le support du système d'exploitation, c'est complètement anormal. Un PC a une durée de vie bien supérieure à 4 ans.

C'est comme si un constructeur automobile n'assurait plus la fourniture de pièces de rechange seulement 4 ans après la production du dernier véhicule. Heureusement que ça n'est pas le cas. C'est plutôt 10 à 15 ans côté pièces de rechange.

Citation de: minidou le 31 août 2013 à 14:45:25

c'est un mal nécessaire, mais requis pour se débarrasser une fois pour toutes d'XP (et d'IE6)

Tu peux expliquer, stp? Pourquoi faudrait-il se débarrasser d'XP?

Leon.

vivien · « **Réponse #10 le:** 31 août 2013 à 15:36:25 »

Pour rappel :

Windows 2000 (sortie le 17 février 2000, fin du support le 13 juillet 2010)
Livré avec Internet Explorer 5, la dernière version pris en charge est Internet Explorer 6.
La dernière version de Firefox pour Windows 2000 est Firefox 12 / Firefox ESR 10.0.8 (fin du support le 12 février 2013)

Windows XP (sortie le 25 octobre 2001, fin du support le 8 avril 2014)
Livré avec Internet Explorer 6, la dernière version pris en charge est Internet Explorer 8.
Les dernières versions de Firefox et Chrome prennent toujours en charge Windows XP et ses successeurs.

Windows Vista (sortie le 30 janvier 2007, fin du support le 11 avril 2017)
Livré avec Internet Explorer 7, la dernière version pris en charge est Internet Explorer 9.

Windows 7 (Sortie le 22 octobre 2009, fin du support le 14 janvier 2020)
Livré avec Internet Explorer 8, la dernière version pris en charge serait (pas sur) Internet Explorer 11.

Windows 8 (Sortie le 26 octobre 2012, fin du support le 10 janvier 2023)
Livré avec Internet Explorer 10

Windows 8.1 (Sortie le 17 octobre 2013)
Livré avec Internet Explorer 11

mirtouf · « **Réponse #11 le:** 01 septembre 2013 à 13:20:43 »

Grosse société française côtée au CAC40 et folle amoureuse de M$ :
- les premiers tests Win7 ont débuté en mai... 2013.
- la fin prévue des migrations, si tout va bien, des postes utilisateurs est fixée à décembre 2014.
- pas mal d'applications tournent avec de merveilleux contrôles ActiveX tout juste bons avec IE8 (la dernière tentative de migration de notre plus grosse application s'est mal passée, il y a eu un retour en urgence vers la version précédente)
- les postes clients resteront bloqués sur IE 8 (pour le moment)
- au départ, Win 7 aurait dû être déployé vers 2015-2016 mais quand M$ a annoncé la facture en début d'année, Win 7 est devenue la priorité (le PDG supervise lui-même les opérations, sic)

Conséquences, il faut continuer à demander aux fournisseurs de maintenir des applications compatibles IE8, les PCs récemment livrés sous win XP devront être mis à niveau vers win 7 (formatage+sauvegardes à prévoir, va y avoir des embouteillages au service informatique) et on aura un trou d'au minimum 8 mois pendant lequel aucune mise à jour de sécurité ne sera fournie par M$ (connaissant le comportement de certains utilisateurs, on pourrà avoir des surprises).

J'ai déjà eu droit à un black-out d'un réseau à cause de machines tournant sur XP SP2et vérolées dans une autre boîte, c'était fun.

Auteur Sujet: Windows XP en 2014 : un risque majeur pour l'internet (Lu 62622 fois)

corrector