Microsoft : les Patch Tuesday deviennent des guides de piratage de Windows XP

Avec la mise à la retraite de Windows XP, Microsoft et les utilisateurs de ce système d’exploitation vont peut-être découvrir un effet induit de la fin du support de l’OS : l’utilisation des Patch Tuesday – ces lots de rustines que publie chaque mois le premier éditeur mondial – comme manuel de piratage. En effet, il suffit aux hackers, par rétro-ingénierie, de décortiquer les patchs Windows que va publier Microsoft pour dénicher des failles dans XP. Et concevoir les exploits permettant d’en tirer parti.

D’après Kasper Lindgaard, directeur de la recherche et de la sécurité de Secunia, interrogé par nos confrères de Computerworld, le prochain Patch Tuesday, programmé le 13 mai, renfermera « au moins une vulnérabilité touchant également Windows XP ». Sur un total de 8.

Pour Secunia, les hackers pourront se baser sur une analyse de code de Windows 7 par exemple, avant et après correction de la faille. Avant de tenter de repérer une vulnérabilité similaire dans la portion de code équivalente de XP. Ce travail fait, écrire un exploit pour cette faille devrait s’avérer relativement aisé.

Microsoft conscient des dangers

Un risque dont est d’ailleurs tout à fait conscient Microsoft. En octobre dernier, Tim Rains, directeur de l’unité Microsoft Trustworthy Computing, expliquait dans un document publié en PDF : « après avril 2014, quand nous livrerons des mises à jour de sécurité mensuelles pour les versions supportées de Windows, les attaquants vont essayer, par rétro-ingénierie d’identifier toute vulnérabilité qui existerait aussi dans Windows XP ».

Au total, 4 des 8 mises à jour de sécurité prévues pour ce mardi 13 mai concernent toutes les versions clientes de Windows, à partir de Vista. XP a donc de fortes probabilités d’être affecté lui aussi. Un de ces quatre candidats à la ré-exploitation par des hackers vise plus précisément toutes les moutures d’Internet Explorer (IE). Cette faille est classée critique par Microsoft, le niveau le plus élevé. Nul doute que si XP avait toujours été supporté par l’éditeur, ce dernier aurait fourni également un patch IE adapté à cette mouture de l’OS.

Patchs pour XP : Microsoft continue à les produire

Rappelons que, depuis le 8 avril dernier, Microsoft ne livre plus de mises à jour pour son OS vieillissant. En tout cas au grand public et aux petites organisations. Les grandes entreprises peuvent, elles, bénéficier d’un support personnalisé. Accessible dès 750 postes, cette extension coûte au maximum 250 000 $ pour une année de prolongation. Ce qui signifie donc que, pour ces grands clients, Microsoft continue à livrer les patchs de sécurité adaptés à Windows XP.

Selon les dernières statistiques de NetMarketShare, Windows XP occupait 26,3 % du parc mondial de PC. Il dépassait encore avec les 38 % il y a un an. Pour les entreprises, la migration fait émerger des enjeux complexes : compatibilité d’applications métier ou industrielles, coût du projet sur des parcs importants… Sans oublier les cas particuliers comme les distributeurs de billets : en janvier, un article de BusinessWeek estimait que 95 % de ces 2,2 millions de machines dans le monde fonctionnaient encore sous l’OS vieillissant. Et seule une sur trois aurait migré dans les délais prévus, d’après une étude de NCR. Selon Reuters, de très nombreuses banques ont négocié avec Redmond l’extension du support de XP sur leurs distributeurs.

En complément :

Support de XP : Microsoft a bien baissé drastiquement ses prix

Windows XP : Microsoft divise par 10 le prix de son support étendu

Fin du support de Windows XP : les solutions pour s’en sortir

Dernier Patch Tuesday pour Windows XP

À cinq jours de sa mise à mort, Windows XP reste le second OS desktop au monde