Les appels à abandonner Windows XP se multiplient

Gartner vient de recommander aux entreprises d’abandonner Windows XP rapidement en raison des risques de sécurité croissants que son utilisation va désormais induire. Microsoft a prolongé de 15 mois la fourniture de correctifs de sécurité pour son système plus que vieillissant, mais de nombreuses entreprises, organisation caritatives et autres organisations sont désormais seules. Certes, l’éditeur a multiplié les mises en garde, jusqu’à la publication récente d’un billet de blog signé Tim Rains, responsable du marketing sécurité et de la communication de sa division Trustworthy Computing. Il n’en reste pas moins que Windows XP équipait encore plus de 28 % des ordinateurs connectés à Internet au premier trimestre, selon l’observatoire NetMarketShare. Une analyse que partage Trend Micro. Christopher Budd, son responsable de la communication sur les menaces, alerte ainsi que « les données fournies par notre infrastructure Smart Protection Network révèlent que 32 % de l’ensemble des PC sont encore sous Windows XP ».

Pour Microsoft, Windows XP devrait être l’objet d’attaques exploitant des vulnérabilités nouvellement découvertes et déjà connues qui n’ont pas été corrigées avant la fin de son support. Les attaquants pourraient également utiliser les mises à jour de sécurité destinées à Vista, Windows 7 ou encore 8 pour identifier des faiblesses à exploiter dans Windows XP : « entre juillet 2012 et juillet 2013, 30 vulnérabilités ont été découvertes dans [les successeurs de XP] qui étaient communes à Windows XP. Le risque est donc élevé », explique Tim Rains. Sans surprise, Christophe Budd abonde, estimant que les machines concernées « pourraient devenir des cibles privilégiées pour les malwares et les cybercriminels ».

Et le support de sécurité étendu proposé par Microsoft ? Las, il n’est pas envisageable pour la plupart des organisations, compte tenu de son coût, comme l’illustre le contrat d’un an signé récemment par le gouvernement britannique, pour un montant proche de 5,6 M£. Pour le seul secteur public de la santé outre-Manche, cela couvre rien moins que 85 % de près de 800 000 PC déployés. Selon le Daily Telegraph, plus des trois quarts des entreprises britanniques continuent de faire confiance à XP - quoique pour moins d’un quart de leur parc installé.

Réduire les droits et restreindre les applications

Selon Gartner, jusqu’à 25 % des systèmes en entreprise fonctionnent encore sous Windows XP. Et un tiers des grandes organisations ont encore 10 % de leur parc équipé par ce système d’exploitation. Michael Silver, analyste au sein du cabinet, estime que ces entreprises s’exposent à un risque supplémentaire et devraient prévoir d’abandonner Windows XP aussi vite que possible. Ou bien, au moins, réduire les droits des utilisateurs des machines concernées et restreindre l’utilisation d’applications par des listes blanches, tout en limitant le recours au courrier électronique et à la navigation sur le Web.

Michael Silver recommande également de retirer les applications critiques de ces postes pour en consolider l’exécution sur des serveurs, et encore n’en autoriser l’accès à partir de postes sous Windows XP qu’en cas d’urgence. Et d’appeler à la méfiance quant au contrôle des accès à l’infrastructure par des personnels extérieurs à l’organisation susceptibles d’utiliser des machines sous XP. Et les employés utilisant leurs ordinateurs personnels sous Windows XP pour accéder à des applications métiers constituent une menace pour les entreprises. Même son de cloche pour Christophe Budd qui estime que « tout système vulnérable et piraté n’est pas seulement une menace pour ceux qui en sont propriétaires et qui les utilisent, mais l’est également pour tous les internautes ». De quoi renvoyer aux récents propos de la commissaire européenne Neelie Kroes qui, évoquant les efforts de Bruxelles en faveur de la cybersécurité, soulignait que « nous ne sommes aussi forts que le plus faible d’entre nous ».

Chez Ovum, Richar Edwards, analyste mobilité et productivité en entreprise, ne tient pas un discours différent. Pour lui, « on ne peut pas nier le fait que les PC fonctionnant sous Windows XP restent nombreux en entreprise, même si leur nombre décline ». Il relève que des éditeurs d’anti-virus et de navigateurs Web vont continuer de supporter Windows XP jusqu’en 2015. De quoi réduire le risque. Et encore. Pour Sergio Galindo, directeur général de la division infrastructure de GFI Software, les vulnérabilités potentielles sont amenées à se multiplier : « cela signifie que le coût d’administration d’un environnement Windows XP va progresser très rapidement, tant en termes de maintenance qu’en termes de perte de productivité. » Parce que,  « pour les pirates, attaquer Windows XP, c’est comme entrer par effraction dans une voiture sans alarme », et ce, quoi que fassent les entreprises.

Alors, certes, migrer vers Windows 7 ou 8 représente un coût. Mais Richard Edwards encourage à examiner les alternatives, comme le passage à des tablettes sous Android, ou à des iPad : « quelle que soit l’option retenue, migrer depuis Windows XP pourrait s’avérer transformateur tant pour les employés que pour les entreprises, parce que tout changement dans l’outillage apporte ses changements dans la réflexion et dans les capacités » des utilisateurs. De quoi encourager à migrer avec la perspective de gains de productivité.

En collaboration avec ComputerWeekly