Normalement, le 8 avril 2014, après douze années de loyaux services, Windows XP doit prendre sa retraite. Après cette date, l'ancien système d'exploitation de Microsoft ne bénéficiera d'aucune mise à jour de sécurité, ni de correctifs supplémentaires, sauf pour les entreprises qui s'abonneront à d'onéreux contrats de support. Bien sûr, les PC qui tournent sous XP ne vont pas brusquement cesser de fonctionner, mais ils seront exposés aux attaques exploitant de nouvelles vulnérabilités. Car à partir de cette date, seules les autres éditions de Windows bénéficieront de correctifs.
Michael Cherry, analyste chez Directions on Microsoft, un cabinet de recherche basé à Kirkland dans l'État de Washington et spécialisé Microsoft, fait l'hypothèse suivante : « Supposons que la date de la fin du support étendu soit dépassée et que, brusquement, un bug de sécurité affectant XP provoque d'énormes problèmes sur Internet. Par exemple un déni de service massif », s'est demandé l'analyste. « Une telle situation ne sera pas seulement préjudiciable aux utilisateurs de Windows XP, mais pourrait mettre l'Internet tout entier à genoux. Si, à ce moment-là , il y a encore un nombre important de machines tournant sous Windows XP, et si la situation incrimine à coup sûr l'ancien système d'exploitation, je crois que la seule bonne chose à faire pour Microsoft sera de livrer un correctif sans se préoccuper de la limitation décidée par sa politique de support ».
En avril 2014, XP totalisera 12 ans et 5 mois de support
Microsoft a déjà prolongé la durée de vie de XP. Au début de l'année 2007, l'éditeur avait accordé un sursis à son système vieillissant et prolongé la période de support des versions XP Home et XP Media Center pour s'aligner sur la date de fin de vie fixée pour XP Professionnal. Si Microsoft met XP à la retraite à la date prévue, l'éditeur aura soutenu le système d'exploitation pendant 12 ans et 5 mois, soit plus de deux ans et demi au-delà du support accordé habituellement. C'est même un an de plus que Windows NT, lequel, avec ses 11 ans et 5 mois détenait le précédent record. Michael Cherry n'est pas le seul à penser que Microsoft n'abandonnera pas complètement XP. « Je ne pense pas qu'ils seront stricts sur ce point », a également déclaré Jason Miller, directeur de la recherche et du développement chez VMware. « Que fera Microsoft si XP devient un énorme nid à virus au-delà de cette limite ? L'image de marque de Microsoft en matière de sécurité en serait affectée ».
Selon leurs hypothèses, Jason Miller, comme Michael Cherry, pensent que des chercheurs ou des cybercriminels seront amenés à découvrir de nouvelles vulnérabilités dans XP. Et elles auront une incidence non seulement sur XP, mais sur les autres versions de Windows toujours supportées par Microsoft. Si les pirates lancent avec succès des « exploits » pour détourner des PC sous XP en sachant à l'avance qu'il n'y aura pas de correctifs pour résoudre les vulnérabilités mises à profit, ces machines pourraient, à leur tour, infecter des systèmes tournant avec des versions plus récentes de Windows.
Etendre le support changerait-il quelque chose ?
Mais est-ce que Microsoft fera ce que prévoient les deux analystes? Plusieurs autres experts en sécurité pensent que c'est peu probable. Comme John Pescatore de Gartner, qui estime que Microsoft « a tiré un trait » sur XP. « L'éditeur a soutenu XP au-delà de ce qui était habituel, de sorte que sur le plan éthique, il n'aurait rien à se reprocher », a-t-il déclaré. Andrew Storms, directeur de la sécurité chez nCircle Security, est d'accord avec John Pescatore. « Je n'imagine pas qu'ils changeront d'avis », a déclaré l'analyste. « S'ils modifiaient leur cycle de vie, ils perdraient toute crédibilité. Et ceux qui sont encore sous Vista vont attendre que Microsoft soutienne aussi Vista sans limite et vont s'accrocher à jamais à ce système ». John Pescatore et Andrew Storms pensent que « d'une certaine façon, il suffit aux utilisateurs de mettre à niveau leur système d'exploitation, peut-être aussi d'acheter un nouveau PC. XP a fait son temps, la vie du produit est à son terme. Et Microsoft ne fera pas marche arrière ». [[page]]
Wolfgang Kandek, CTO de Qualys pense également que « Microsoft ne prolongera pas une nouvelle fois la vie d'XP ». Il estime que, en continuant à livrer des correctifs pour XP, Microsoft travaillerait certainement « pour le bien de tous ». Mais il ne croit pas à cette hypothèse. Dans tous les cas, selon lui, cela pourrait même ne faire aucune différence. « Est-ce que les machines sous XP restantes seront effectivement mises à jour ? Nous ne le savons pas », a ajouté le CTO de Qualys. Le problème de la mise à jour des PC est récurrent, peu importe le système d'exploitation sur lequel ils tournent. « Est-ce que les utilisateurs appliquent réellement les patchs ? Est-ce qu'une extension du support changerait quelque chose ? »
Microsoft a déjà refusé de patcher des OS hors support
Une fois au moins, Microsoft a tenu bon et a refusé de patcher des systèmes d'exploitation présentant des vulnérabilités, pourtant à peine sortis de sa liste de soutien. C'était en août 2010. Microsoft a livré un correctif d'urgence, un patch hors calendrier, pour corriger un bug dans un raccourci essentiel de Windows que des attaquants avaient exploité avec le tristement célèbre ver Stuxnet, lequel visait les installations d'enrichissement d'uranium iraniennes. Mais Microsoft n'a pas livré de patch pour les PC sous Windows XP Service Pack 2 (SP2) et sous Windows 2000, hors support depuis le mois précédent.
Mais, en 2014, la situation risque d'être différente de celle rencontrée avec Windows 2000 mi-2010. Soit, les utilisateurs de Windows XP ne recevront pas de nouveau pack de service, mais XP représentera probablement encore une part significative de tous les PC sous Windows. Selon des données communiquées par Net Applications, qui réalise des statistiques sur les systèmes d'exploitation tournant sur les machines connectées à Internet, et selon les projections de Computerworld, en avril 2014, XP fera tourner plus de 25 % des PC sous Windows dans le monde. C'est donc un chiffre énorme.
Le gouvernement américain, grand client de Microsoft
Selon Jason Miller, directeur de la recherche et du développement chez VMware, il y a aussi d'autres éléments à prendre en considération. « L'un des premiers clients de Microsoft n'est autre que le gouvernement américain », a-t-il déclaré. « Aujourd'hui, les choses sont très différentes, le contexte est très différent, avec tous ces virus qui circulent au Moyen-Orient. La cybersécurité est une question de sécurité nationale, et je serais étonné que le gouvernement américain n'ait pas son mot à dire à Microsoft à ce sujet ».
Même ceux qui parient sur « l'arrêt définitif du support » reconnaissent que certaines circonstances pourraient inciter Microsoft à faire bouger cette ligne. Selon John Pescatore, un des cas où Microsoft devra revoir sa limite au support de XP n'est pas lié à la sécurité. « Le plus grand problème auquel est confronté Microsoft concerne la baisse de la part de Windows sur les périphériques. Microsoft pourrait donc continuer à patcher les machines sous XP, faisant valoir un geste commercial. En offrant des correctifs, l'éditeur gardera au moins une certaine emprise sur les personnes encore sous XP ».
Une sorte d'impasse
C'est Michael Cherry qui a bouclé le débat en rappelant la ligne de conduite à laquelle Microsoft s'est tenue au cours de la dernière décennie. « Microsoft a investi des ressources considérables dans son initiative Trustworthy Computing. Ces investissements et la préservation de sa réputation, désormais meilleure, ne lui permet pas de laisser XP à l'abandon », a estimé l'analyste de Directions on Microsoft. « L'éditeur ne peut pas se permettre de laisser une faille de sécurité de XP causer des dommages ».
Ça paraît simple. « Mais c'est loin de l'être », a répondu Jason Miller. « Ils sont vraiment dans une sorte d'impasse », a estimé le directeur de la recherche et du développement de VMware. Ajoutant : « Je n'aimerais pas faire partie du comité de Microsoft qui aura à prendre cette décision ».
Les experts débattent de la mise à la retraite de Windows XP
Selon certains chercheurs en sécurité, Microsoft va « tirer un trait » sur Windows XP à la date prévue pour en arrêter le support, en avril 2014. Même si des millions d'utilisateurs continuent à faire tourner l'OS sur leurs machines et même si un bug zero-day menace l'écosystème Windows. Ou peut-être pas. Car d'autres experts pensent que l'éditeur n'aura pas d'autre choix que de continuer à soutenir XP. Nos confrères de Computerworld confrontent leurs points de vue.