Karel Dekyvere
Windows XP, le système d’exploitation le plus sûr jamais conçu?
La perception que Windows XP est le système d’exploitation à la fois le meilleur et le plus sûr que Microsoft ait jamais développé, est bien ancrée depuis des années déjà. Cela est dû en grande partie au fameux mémo Trustworthy Computing (TwC) que Bill Gates avait envoyé en interne, il y a quatorze ans, à tous ses collaborateurs. Toutes les équipes de produits y étaient exhortées de mettre tout en oeuvre, afin que la plate-forme soit la plus sûre possible. L’on était alors en 2002. Et voilà le hic: nous voici en 2016.
C’est précisément parce que Windows XP était un système stable qu’il fut intégré à quasiment tout ce qui nécessitait une certaine forme de commande, allant des appareils Röntgen dans les hôpitaux aux stations Command & Control pour les opérations militaires. Le successeur de Windows XP ne fut pas le meilleur produit sur le plan commercial. Au niveau de la sécurité, il n’y avait rien à reprocher à Windows Vista, mais le client voulait évidemment aussi de la fonctionnalité. Il n’empêche que je pourrais aisément remplacer le titre de cette opinion par: ‘Windows 7, le système d’exploitation le plus sûr jamais conçu’.
La différence de perception des deux systèmes d’exploitation est liée à l’époque. Lorsque Windows XP fut lancé, Edward Snowden venait seulement de fêter son dix-huitième anniversaire. Et quand Windows 7 est apparu sur le marché, ce qu’on appelle la “state-sponsored cyberattack” s’était déjà manifesté dans les films de James Bond. Aujourd’hui, l’on sait que les deux exemples ont eu un important impact sur le monde.
Chaque entreprise qui met en oeuvre un environnement ICT, le fait comme un bon père de famille qui tient compte des règles de sécurité en vigueur. Malheureusement, il y a nettement moins d’entreprises qui ont conscience que les règles de sécurité évoluent rapidement dans le temps. Indépendamment de Microsoft, la plupart des fournisseurs de logiciels créent des produits qui satisfont à toutes les prescriptions de sécurité du moment.
Pour de nombreuses entreprises, l’évolution de leur infrastructure ICT représente une tâche très intensive. Il en résulte logiquement que si elles ont installé une certaine version, elles veulent la garder aussi longtemps que possible. Prenons l’exemple de Windows 7, sorti en 2009, la plate-forme sur laquelle la plupart des entreprises font encore tourner leurs ordinateurs aujourd’hui. Le concept ‘Bring your Own Device’ (BYOD) était alors encore inconnu de beaucoup. Une fois que cette vogue se répandit sur les lieux de travail, nombre d’entreprises installèrent de petits progiciels par-dessus leur système d’exploitation, afin de contrer les nouvelles menaces sécuritaires ou pour supporter la fonctionnalité supplémentaire.
Le défi à relever est alors le suivant: plus on installe de ces petits progiciels par-dessus la plate-forme de base, plus il devient malaisé de migrer vers un système plus nouveau. Donc plus votre système d’exploitation vieillit, plus vous avez besoin de moyens de sécurité supplémentaires. Cela devient donc un cercle vicieux dans lequel on est bien vite emprisonné. Lorsqu’en 2012, Microsoft suggéra l’idée de ne plus jamais lancer de version complète, mais à chaque fois de petits éléments, c’était en partie pour répondre à ce problème. Windows 8 reposait sur ce modèle, mais n’atteignit pas le succès escompté. Pour Windows 10, nous avons adopté une approche quelque peu plus nuancée.
Au manager IT s’impose donc la question de savoir si une constante évolution ne s’avère pas plus sûre et plus économique qu’un modèle, dont un “big bang” est déployé tous les cinq ans. En tant qu’expert en sécurité, je ne peux que me réjouir de cette constante évolution. Quoi qu’il en soit, l’on n’a pas fini d’en parler.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici