Difficile de ne pas avoir entendu parler de WannaCrypt, le ransomware qui a fait la une de l’actualité ce week-end, en infectant un très grand nombre de victimes en un temps record. On parle d’au moins 200 000 machines infectées, principalement en milieu professionnel. Ce ransomware donne au passage une bonne leçon de sécurité en démontrant l’importance d’un système d’exploitation à jour dans un monde où la cybercriminalité est devenu une véritable industrie, brassant des milliards de dollars chaque année.
Les victimes de ce malware ont en effet toutes un point commun : l’utilisation d’un système d’exploitation ancien et non à jour. WannaCrypt utilise en effet pour se propager une faille SMB qui affecte toutes les versions du système de Redmond, au moins depuis Windows XP. Cette faille avait en effet été comblée par Microsoft via sa mise à jour de sécurité du mois de mars 2017 pour tous les systèmes Windows encore supportés à l’époque, soit tous depuis Windows Vista, patché de justesse (sa fin de support étendu étant arrivée un mois plus tard !), sauf Windows 8.0, que Microsoft a abandonné peu de temps après la sortie de Windows 8.1.
Cette attaque massive n’est donc pas sans rappeler celle du vers Sasser en mai 2004, qui exploitait lui aussi une faille fraichement corrigée par Microsoft.
S’il est compréhensible que des utilisateurs ne souhaitent pas mettre à jour leur système vers une nouvelle version, cette attaque est donc une piqure de rappel importante sur la nécessité de bien suivre l’application des patchs de sécurité.
Microsoft avait été vivement critiqué pour la difficulté à désactiver les mises à jour automatique dans Windows 10, mais WannaCrypt montre finalement que l’éditeur a peut-être raison de forcer un peu la main aux utilisateurs, tant les comportements à risque sont nombreux.
Cette attaque est donc l’occasion de s’interroger sur la responsabilité des éditeurs de système, et donc en particulier de Microsoft, via a vis des failles de sécurité. Microsoft assure la correction des failles sur une version donnée de Windows pendant 10 ans à partir de sa sortie. Si cette durée pouvait sembler suffisamment longue il y a 20 ans, quand le rythme de renouvellement des ordinateurs était très rapide, ce n’est plus le cas aujourd’hui. L’évolution beaucoup moins rapide des performances matérielles a considérablement augmenté la durée de vie des ordinateurs, d’autant plus que même une machine d’entrée de gamme est aujourd’hui largement assez performante pour couvrir les besoins d’une très large majorité des utilisateurs.
Compte tenu de l’impact majeur que peut avoir une faille non corrigée, ne serait-il pas bon d’imposer aux éditeurs de fournir des mises à jour de sécurité pendant une durée plus longue, par exemple aussi longtemps que la part de marché d’une version reste significative ? Ou alors, d’imposer la fourniture d’une mise à jour gratuite vers la version supérieure quand une version arrive en fin de support ? Windows XP, qui est affecté par cette faille et n’avait plus reçu de mises à jour de sécurité depuis plusieurs années est par exemple encore crédité de 5 à 10% du marché.
Exceptionnellement, devant l’ampleur de l’attaque par WannaCrypt, Microsoft a d’ailleurs ressuscité Windows XP en publiant un patch de sécurité. Mais il ne s’agit là que d’une mesure ponctuelle, et il serait bon que Microsoft se retrousse les manches pour réduire dans les plus brefs délais cette part de marché. Proposer à ces utilisateurs une mise à jour gratuite vers Windows 7 aurait finalement un impact économique relativement faible pour Microsoft, et permettrait peut-être d’accroitre un peu la sécurité. Windows 7 pourrait quand à lui, comme Windows XP en son temps, bénéficier d’une prolongation de la durée normale de support. Cette version de Windows reste en effet aujourd’hui, et de loin, la plus populaire, avec près de 50% du parc informatique mondial, alors que son support étendu arrive à son terme dans moins de trois ans, en janvier 2020.
Enfin, comme à chaque attaque de malware, il est bon de rappeler l’importance d’une bonne stratégie de sauvegarde. La prévention n’est en effet jamais totalement infaillible, et même en prenant un maximum de précaution, un ransomware peut parvenir à infecter votre machine. Il reste donc essentiel d’avoir des sauvegardes régulières et effectuées sur un support déconnecté de la machine en dehors des opérations de sauvegarde. Et bien sûr, il faut aussi vérifier régulièrement que les sauvegardes ne sont pas corrompues : rien de pire que de se rendre compte que la sauvegarde est cassée au moment où on en a besoin, comme l’a expérimenté le NHS (la « sécu » anglaise) ce week-end, en découvrant que certaines données chiffrées par WannaCrypt ne pourront pas être restaurées à cause de sauvegardes défectueuses…
« Proposer à ces utilisateurs une mise à jour gratuite vers Windows 7 aurait finalement un impact économique relativement faible pour Microsoft »
Encore faut-il que la machine suive. Tu ne peux pas installer un Windows 7 sur une machine acheté en 2004 (et prévu pour fonctionner parfaitement avec Windows XP) sans que ça devienne un veau.
Et d’ailleurs, on ne peut pas non plus blâmer Microsoft parce que certaines têtes pensantes jugent inutile un renouvellement de parc informatique parce que ça coûte de l’argent… mais préfèrent dilapider leurs deniers dans un programme de support étendu payant.