Un grand nombre de consommateurs et d’entreprises continuent de faire confiance à des systèmes d’exploitation (OS) privés de support ou en fin de vie, comme le révèle une étude de Kaspersky. En dépit de la disponibilité de versions plus récentes, environ 41 % des consommateurs utilisent toujours un OS sur PC qui ne bénéficie plus d’aucun support ou en sera dépourvu prochainement, tel que Windows XP ou Windows 7. C’est également le cas dans 40 % des TPE et 48 % des PME et des grandes entreprises. Or cette situation engendre un risque pour la sécurité de ces utilisateurs.
Dans la plupart des cas, lorsqu’un système d’exploitation arrive au terme de son cycle de vie, cela signifie que son éditeur ne publiera plus aucune mise à jour, y compris à des fins de cybersécurité. Pourtant des chercheurs en sécurité ou des cybercriminels pourront continuer d’y découvrir des vulnérabilités jusque-là inconnues. Ces vulnérabilités risqueraient alors d’être exploitées dans des cyberattaques face auxquelles les utilisateurs se retrouveraient sans défense, faute de la diffusion d’un correctif destiné à y remédier. Afin de tenter d’évaluer le nombre de ces systèmes encore en service et d’estimer le niveau de risque qu’ils représentent, les chercheurs de Kaspersky ont analysé les données anonymisées concernant les OS employés par les utilisateurs de Kaspersky Security Network (avec leur consentement). Les résultats de cette analyse révèlent que quatre consommateurs sur 10 se servent encore de systèmes obsolètes, voire extrêmement anciens comme Windows XP et Vista.
Selon une étude spécifique des versions de systèmes périmés, 2 % des PC des particuliers et 1 % des postes de travail dans les TPE fonctionnent encore sous Windows XP, un OS dont le support s’est arrêté depuis plus de 10 ans. Moins de 0,5 % des consommateurs (0.3 %) et des TPE (0.2 %) préfèrent toujours Windows Vista, qui ne bénéficie plus d’un support général depuis sept ans. Il est également à noter que certains consommateurs (1 %) et certaines entreprises (0,6 % des TPE et 0,4 % des PME et des grandes entreprises) n’ont pas profité de la mise à jour gratuite vers Windows 8.1 et en sont restés à Windows 8, dont Microsoft a interrompu le support depuisjanvier 2016.
Windows 7 demeure très répandu chez les particuliers et dans les entreprises, bien que la fin de son support étendu soit prévue pour janvier 2020. Plus d’un tiers (38 %) des consommateurs et des TPE, ainsi que 47 % des PME et des grandes entreprises, utilisent encore cette version du système d’exploitation. Dans les PME et grandes entreprises, la part de Windows 7 est identique à celle de la dernière version en date, Windows 10 (dont 47 % des PC sont équipés).
« Nos statistiques indiquent qu’une proportion non négligeable des utilisateurs, tant au sein des entreprises que chez les particuliers, se sert encore de PC dotés d’une version de système d’exploitation périmée ou en fin de vie. L’utilisation répandue de Windows 7 est préoccupante, car il reste moins de six mois avant l’arrêt du support de cette version. Les raisons de ce retard pris dans les mises à jour vont de la nature des logiciels installés, qui peuvent être incompatibles avec les plus récentes versions du système, à des motifs économiques voire à de simples habitudes. Or, un OS ancien qui ne reçoit plus de correctifs présente un risque en matière de cybersécurité et le coût d’un incident dans ce domaine peut se révéler bien supérieur à celui d’une mise à jour. C’est pourquoi nous recommandons à nos clients de migrer vers des versions bénéficiant d’un support et de veiller à mettre en place des outils de sécurité complémentaires pendant la période de transition », commente Tanguy de Coatpont, directeur général France de Kaspersky.
Afin d’assurer leur protection contre les menaces émergentes, Kaspersky adresse aux entreprises et aux consommateurs les recommandations suivantes :
- Utilisez une version à jour du système d’exploitation, en activant la fonction de mise à jour automatique.
- En cas d’impossibilité de mise à jour vers la version la plus récente du système, il est conseillé aux entreprises de prendre en compte ce vecteur d’attaque dans leur modèle de menaces et de s’en prémunir par une séparation judicieuse des postes vulnérables par rapport au reste du réseau, aux côtés d’autres mesures. Envisagez la solution Kaspersky Embedded Systems Security (sous Windows XP).
- Installez des solutions faisant appel à des techniques comportementales de prévention des exploitations de vulnérabilité, telles que Kaspersky Security Cloud, Kaspersky Endpoint Security for Business et Kaspersky Small Business Security, qui contribuent à réduire les risques d’attaque contre des systèmes obsolètes (Windows 7 ou ultérieur).