Continuer à exécuter un logiciel qui ne sera plus supporté expose toute entreprise à un risque. La fin du support signifie qu’elle ne recevra plus de mises à jour ni de correctifs de sécurité pour toutes les vulnérabilités nouvellement découvertes. Mais parfois, son activité peut l’obliger à utiliser un produit non pris en charge. C’est le cas par exemple avec Adobe Flash. Récemment, Microsoft a annoncé que ses systèmes d'exploitation ne supporteraient plus Flash d'ici à la fin 2020. Étant donné que de plus en plus d'entreprises et de sites web adoptent le HTML5, WebGL et WebAssembly, beaucoup se sont affranchies de leur dépendance vis-à-vis du lecteur d’Adobe. Microsoft mettra donc fin au support de Flash Player par Microsoft Edge, aussi bien le nouveau Edge que le Microsoft Edge Legacy, et par Internet Explorer 11. À l'automne 2020, une « mise à jour destinée à supprimer Adobe Flash Player » sera disponible via Microsoft Update Catalog, Windows Update et WSUS. L’update supprimera définitivement le composant Adobe Flash Player de tous les dispositifs sous Windows.
Des options sécurisées pour utiliser Flash après la fin du support
Mais quelles sont les options disponibles si votre entreprise a toujours besoin de Flash après la date de fin de support ? Adobe travaille avec son partenaire Harman pour fournir aux entreprises un support et des options de sécurité pour Flash. Une option en particulier permettra de créer une liste de domaines approuvés que Flash pourra exécuter. Depuis la version de Flash sortie en juin 2020, l’utilisateur a la possibilité de configurer le lecteur d’Adobe pour qu'il n'autorise que les contenus provenant d'une liste d'URL de confiance et qu’il bloque tous les autres contenus. Les contenus autorisés continueront à fonctionner sur votre système après la fin du support, mais ils ne sont pas recommandés et ne doivent être utilisés qu'en dernier recours. Les attaquants chercheront forcément à cibler le lecteur Flash et à l'exploiter.
Cette version sortie en juin comporte également des options de journalisation pour déterminer quel contenu Flash est utilisé par les systèmes clients. Les préférences permettent de spécifier des choses comme AllowListPreview, TraceOutputEcho, EnableAllowList et AllowListRootMoviely. Il est également possible de bloquer les notifications rappelant la date de fin de support dont l’envoi a démarré au cours du second semestre 2020. Comme indiqué dans le guide d'administration de Flash, vous pouvez définir les propriétés dans le mms.cfg pour désactiver l'invite. Vous pouvez soit définir AutoUpdateDisable = 1 ou fixer la valeur de EOLUninstallDisable = 1. Le fichier est situé dans C:\Windows\SysWOW64\Macromed\Flash\mms.cfg pour les systèmes 64 bits et dans C:\Windows\System32\Macromed\Flash\mms.cfg pour les systèmes 32-bits.
Localisation du mms.cfg . (Crédit : Susan Bradley)
Dans la récente version de Microsoft Edge (basée sur Chromium), Flash est désactivé par défaut. Pour l'activer, il faut aller dans « Paramètres » et « plus > Paramètres ». Dans la navigation de gauche, sélectionnez « Permissions de Site » puis « Adobe Flash ». Enfin, activez l'option « Demander avant d'exécuter Flash ». Vous pouvez maintenant désactiver Flash de manière proactive dans vos déploiements Windows 10 Edge pour vous assurer que personne ne pourra l'utiliser. Vérifiez les paramètres de votre politique de groupe pour vous assurer que vous avez déployé le bon template d’administration ADM. Téléchargez les modèles à partir du site web de Microsoft et déployez-les dans votre boutique principale de stratégie de groupe Group Policy. Dans les paramètres de stratégie de groupe « Autoriser Adobe Flash » de Edge, choisissez la valeur « Désactivé » pour bloquer Flash sous Windows 10.
Paramètres de la stratégie de groupe de Microsoft Edge. (Crédit : Susan Bradley)
Autres applications Windows en sursis
Le Center for Internet Security (CIS) tient à jour la liste des logiciels en fin de vie. Utilisez cette liste pour savoir à quel moment vos logiciels ne seront plus supportés. Les dernières listes concernent les logiciels mis à la retraite en octobre 2019, décembre 2019, février 2020, mars 2020 et juin 2020. Comme le rappelle l’Auditeur certifié des systèmes d'information (CISA), parce que l’on découvre toujours de nouvelles vulnérabilités, les logiciels non pris en charge représentent un risque potentiel avéré, car ils ne reçoivent plus de correctifs de sécurité. Cela peut également poser des problèmes de compatibilité et entraîner une baisse des performances et de la productivité du système. Il est recommandé de ne plus utiliser de logiciels qui ne sont plus pris en charge. Au minimum, isolez les logiciels en fin de vie et déconnectez-les d’internet ou empêchez-les d’interagir avec les systèmes qui se connectent au web.
Pour ceux d'entre vous qui utilisent encore Office 2010, sachez qu'à partir du 13 octobre 2020, Office 2010 ne recevra plus de mises à jour de sécurité. Microsoft rappelle que les applications Office suivantes ne recevront plus de correctifs :
- Access 2010
- Dynamics GP 2010
- Excel 2010
- Excel Mobile 2010
- Serveur Exchange 2010 (toutes les éditions)
- FAST Search Server 2010 (toutes les éditions)
- Serveur Groove 2010
- Office 2010 (toutes les éditions)
- OneNote 2010
- PowerPoint 2010
- Projet 2010
- Publisher 2010
- Search Server 2010
- System Center Data Protection Manager 2010
- System Center Essentials 2010
- Visio 2010 (toutes les éditions)
- Word 2010
- Windows Embedded Standard 7
- Office 2016 pour Mac (toutes les éditions)
- Excel 2016 pour Mac
- Outlook 2016 pour Mac
- PowerPoint 2016 pour Mac
- Word 2016 pour Mac
Si vous utilisez l'une de ces plateformes, prévoyez de la remplacer dès que possible. Continuer à utiliser Office après la fin du support expose l’entreprise à des attaques. D’autant que Office est souvent utilisé comme porte d’entrée par les pirates pour accéder plus facilement aux systèmes. Chaque mois, Office est victime d’une attaque par exécution de code à distance, au moins. Les mises à jour de sécurité de septembre 2020 ont corrigé 13 vulnérabilités. Celles-ci pouvaient permettre à des attaquants d'exécuter du code arbitraire à distance sur des systèmes vulnérables. Et Microsoft n’a pas prévu d’offrir un support étendu payant pour Office 2010.
Souvent, l'exploitation de ces vulnérabilités nécessite l'ouverture d'un fichier spécialement conçu. Si vous utilisez Outlook, ou tout autre programme de messagerie affichant un aperçu des pièces jointes, l’exploit peut être activé sans interaction de l'utilisateur. Le simple fait de visualiser le courrier électronique (avec un aperçu) peut le déclencher. Si vous envisagez d'utiliser Office 2010 après le mois d’octobre, sachez que votre niveau de risque augmentera lentement mais sûrement, car de plus en plus de vulnérabilités seront découvertes dans le produit. Prenez le temps de rechercher tout logiciel obsolète ou en fin de vie. Étudiez les options de remplacement et passez en revue les risques auxquels vous exposent les logiciels que vous utilisez dans votre entreprise.