“Que nous apprend WannaCry? Que nous n’avons pas encore retenu la leçon!”

L’attaque massive du rançongiciel WannaCry aurait pu parfaitement être évitée. Mais apparemment, il y a des leçons que nous n’avons pas encore retenues. Combien d’autres agressions seront-elles encore nécessaires?

MS17-010. Telle est l’appellation du patch que Microsoft a mis à disposition, il y a deux mois, en vue de résoudre un bug critique dans Windows. L’installation de cette mise à jour suffit pour que votre ordinateur ne puisse être contaminé par le rançongiciel WannaCry, aussi appelé Wanna Decryptor. Le fait que des milliers d’ordinateurs aient été rapidement infectés le week-end dernier, démontre en tout cas qu’ils n’étaient pas actualisés.

C’est une vieille rengaine qui circule dans l’industrie IT: les systèmes et logiciels ne sont à ce point sûrs que s’ils sont systématiquement mis à jour. On peut certes en discuter et tenir un plaidoyer en faveur de logiciels sécurisés ‘by design’ – et j’en suis le premier défenseur -, mais en réalité, la plupart d’entre eux pâtissent de problèmes de sécurité. On le sait très bien, surtout s’il s’agit de logiciels de l’écosystème Microsoft. Et ici, on pourrait pointer un doigt accusateur vers le géant, mais sa grandeur d’échelle va de pair avec des circonstances atténuantes: plus un logiciel est utilisé, plus il ciblé par des personnes mal intentionnées, qui y recherchent assidûment des bugs à exploiter.

En fin de compte, il s’agit là d’un débat peu pertinent, qui devrait plutôt porter sur la responsabilité que constitue la mise à jour du software. En fait, il faudrait ici attribuer de bons points à Microsoft. Les consommateurs reçoivent en effet des mises à jour sécuritaires déjà imposées dans les plus récentes versions de Windows. Oui je sais, il y a de quoi râler du fait que ces updates nous arrivent toujours aux moments les plus inopportuns, mais ils font en tout cas en sorte que la machine Windows sur laquelle je travaille, n’a pas été touchée par ce ransomware.

Dans les entreprises, ces mises à jour ne se passent pas automatiquement dans de nombreux cas, parce que le département IT veut garder le contrôle des logiciels de leur parc de PC. C’est certes compréhensible, mais dans ce cas, le département IT doit payer de sa personne. Si des PC n’ont pas été actualisés au bout de deux mois, il y a comme un problème. Et c’est précisément ce que nous apprend WannaCry. Le hic, c’est ce que de précédentes attaques comme celles de Slammer ou Conficker nous avaient déjà appris. Il semble donc que nous ne voulions pas en tirer la leçon.

Pas mal de contaminations sont à mettre au compte de Windows XP: le système d’exploitation lancé par Microsoft le 25 octobre 2001. Microsoft en avait prolongé plusieurs fois le support technique, mais depuis le 12 janvier 2016, c’en est définitivement terminé. Connecter des machines Windows XP aujourd’hui encore à internet, c’est donc aller au-devant de problèmes et c’est totalement irresponsable. Tout le monde le sait dans le secteur IT, mais nous nous voilons apparemment la face. Parce que tout fonctionne parfaitement bien. Parce qu’il n’y a pas de budget pour du nouveau software ou du nouvel équipement. Ou encore parce que les organisations ne s’en soucient tout simplement guère!

La sécurité est une responsabilité partagée. Le fournisseur a certes l’obligation de livrer du software aussi sûr que possible et de l’actualiser si besoin est. Mais le client doit aussi comprendre que ces updates sont indispensables. Vitales même, oserais-je écrire. Quand je lis que des opérations du coeur ont été reportées ce week-end, parce que les dossiers des patients n’étaient plus accessibles, mon sang ne fait qu’un tour. Avons-nous conscience de la gravité de la situation? Imagine-t-on que des patients ne puissent être aidés, parce que l’hôpital continue de fonctionner sciemment avec des logiciels dépassés?

La sécurité a malheureusement un coût. Mais pas mal d’entreprises et d’organisations refusent encore et toujours de payer ce prix. Je conclurai donc sur une affligeante boutade: faudra-t-il qu’il y ait des morts pour réagir?