Windows XP, c’est fini !

Après plus de douze ans de service, Windows XP est officiellement en fin de support depuis le 8 avril 2014. Pour les entreprises qui n’ont pas changé de version : comment rester protégées ?

Désormais, l’assistance technique pour Windows XP n’est plus disponible, y compris les mises à jour automatiques permettant de protéger les PC équipés de l’OS Microsoft. Dès lors, l’arrêt des patchs de sécurité pour Windows XP va provoquer une hausse prévisible d’attaques encore inconnues (0 days). Il s’agit donc de savoir comment s’en prémunir.

Quelle est la situation ?

Un PC sur deux, dans les grandes entreprises, est encore sous Windows XP. De nombreuses applications ont été développées spécifiquement pour XP et empêchent la migration vers un OS plus récent, sans parler des PC en environnement SCADA, ni des distributeurs de billets qui ne peuvent pas tolérer une version plus récente de Windows. On pourrait s’imaginer qu’un OS, au bout de douze années de vie, arrive à une certaine maturité et que les failles de sécurité ont été corrigées et patchées au fur et à mesure. Il est vrai que les vulnérabilités ne cessent de se succéder depuis quelques années mais il serait surprenant que cela s’arrête subitement. De plus, un OS qui ne sera plus mis à jour est une cible de choix pour les cybercriminels qui auront, de fait, une plus grande « fenêtre » d’exploitation des nouvelles vulnérabilités.

La migration d’XP vers un OS plus récent n’est pas prévue… Que faire alors pour protéger votre Système d’Information ?

Un autre problème rend l’OS Windows plus exposé : les versions plus récentes de Windows partagent du code avec XP. En corrigeant de futures failles sur Windows Vista, 7 et 8, Microsoft va donc indirectement exposer les versions de son ancien OS aux hackers en fournissant des renseignements sur les failles présentes dans les systèmes d’exploitation plus anciens, qui, elles, ne seront pas corrigées.
En dehors des impacts d’une attaque directe utilisant des failles de sécurité sur XP, dans une entreprise, la menace réside aussi dans le nombre de « PC zombies » sous XP qui seront utilisés pour des attaques de grande envergure, comme des dénis de service par exemple.

Quelles sont les solutions ?

Le problème vient principalement du nombre d’attaques utilisant des failles « 0 day » qui va augmenter avec la fin de support d’XP. Les PC équipés de cet OS ne seront rapidement plus à jour, et il va falloir avoir recours à d’autres méthodes pour continuer à protéger les entreprises.

Le web étant un des vecteurs prédominants de propagation des malwares, la version du navigateur utilisée peut alors avoir un impact sur la sécurité du poste de travail. La dernière version d’Internet Explorer 8, disponible pour XP, n’est également plus supportée et présente des risques au niveau sécurité du surf Web. Pour limiter ces risques, on peut alors sélectionner un autre navigateur, tel que Chrome ou Firefox, dont le support pour les versions compatibles XP continuera pendant au moins deux ans.

Pour protéger les PC équipés de Windows XP et, par extension, leur système d’Information, les entreprises vont devoir avoir recours à des moyens « externes » de sécurisation. Dans un contexte de cybercriminalité grandissante et de menaces de plus en plus complexes et furtives, il existe déjà des solutions qui permettent de protéger les entreprises contre les malwares nouvelle génération et les attaques de type 0 day. Ces solutions sont donc d’autant plus pertinentes pour protéger les postes sous XP.

Il s’agit de solutions de type sandboxing qui vont émuler dans un environnement clos et sécurisé (machine virtuelle) le fonctionnement d’un poste de travail (sous XP par exemple !) afin de simuler l’impact de l’exécution d’un contenu malicieux. Cette technologie est positionnée en périmétrie et en coupure des flux mail et web principalement. Une fois le malware détecté, il est possible de comprendre le vecteur de l’attaque et de savoir quel OS ou quelle application peuvent être touchés. Cela permet d’avoir des informations pertinentes afin d’effectuer la remédiation des postes infectés. De plus, une fois le mode opératoire du malware connu, on va pouvoir bloquer les flux qui auraient pu permettre au malware de communiquer vers l’extérieur vers les callback servers.

Vérifier et sécuriser le réseau et le poste de travail

Ce type de solution est très efficace pour détecter les attaques ou codes malicieux qui n’ont pas été arrêtés par des moyens plus traditionnels comme les IPS, proxy ou antivirus, qui ont un système de détection basé sur des signatures. Néanmoins la détection se fait en périmétrie du Système d’Information, et même si elle donne de bonnes indications sur une infection potentielle, il reste encore à savoir si les postes de travail ont été touchés. L’idéal est donc de coupler cette technologie de détection avec une solution qui permette de vérifier de manière automatique si les PC ont été infectés. Les deux solutions couplées établissent un lien entre « ce qu’il se passe sur votre réseau » et « ce qu’il se passe sur vos postes de travail ».

Mais quel est le principe de fonctionnement ?

Des agents sont déployés sur les postes de travail et sont gérés de manière centrale par une appliance dédiée. Une autre appliance (fonction sandboxing), située en périphérie et positionnée sur le réseau, détecte la menace et envoie les informations au boitier central. Ce dernier donne une visibilité sur les postes touchés par l’incident, avec un rapport détaillé sur celui-ci. Il est alors possible de mettre les postes infectés en quarantaine pendant les opérations de remédiation.

Faire un lien entre « ce qu’il se passe sur votre réseau » et « ce qu’il se passe sur vos postes de travail ».

Gérer la sécurité d’un Système d’Information est une éternelle course entre les menaces et les moyens que nous sommes capables de mettre en œuvre pour les contrer.  Le cas Windows XP en est un exemple parmi tant d’autres, et nous verrons, dans les prochains mois, l’ampleur du phénomène et les réactions des entreprises.