A partir de ce mardi 8 avril, Microsoft cessera le support de son système d’exploitation Windows XP alors que sa part de marché reste encore élevée (29.53% en février 2014 d’après Net Applications). Quel est l’impact sécuritaire de cette décision ? Concrètement, tous les ordinateurs qui fonctionneront encore sous Windows XP à compter de cette date ne bénéficieront plus des patchs créés contre les failles de sécurité de ce système d’exploitation. Que l’on soit un particulier ou une entreprise, deviendrons-nous la cible privilégiée des cybercriminels à compter du 8 avril 2014 ? Pas si sûr…
Si la réponse de la communauté Web est plutôt satisfaisante en matière de patching, elle l’est beaucoup moins en matière de certificats. Rappelons que l’exploitation de la faille permet, en théorie, de récupérer en mémoire des informations sensibles, comme des clefs cryptographiques. En avril dernier, Arnaud Soullie, auditeur chez Solucom, expliquait dans nos colonnes : « Les découvreurs de Heartbleed ont dans un premier temps expliqué que les certificats n’étaient pas concernés par la faille. Mais, sur un environnement de test, deux assaillants sont parvenus à reconstituer la clef privée du serveur. Par mesure de précaution, il faut donc renouveler le certificat et régénérer une nouvelle clef privée ». Dans les faits, moins d’un quart des sites faisant partie du premier million du classement Alexa ont remplacé leurs certificats dans la semaine suivant la divulgation. Si les sites les plus populaires ont réagi très vite, seul 10 % de ceux qui étaient encore vulnérables 48 heures après la divulgation ont changé leurs certificats dans le mois qui a suivi. Et, parmi ces « bons élèves », 14 % ont ‘oublié’ de renouveler leur clef privée… annulant par là même le bénéfice provenant du remplacement des certificats.