web-dev-qa-db-fra.com

Dans quelle mesure la connexion à Internet via Windows est-elle sécurisée XP (ou même plus ancienne) de nos jours uniquement pour le courrier électronique?

Tout en essayant (et en échouant) de convaincre une certaine personne âgée qui voulait que je "répare" son PC de ~ 20 ans qu'elle ne devrait pas se connecter à Internet avec la version de Windows qu'elle a installée (ils ne pouvaient pas me le dire) et ils devraient plutôt acheter un nouveau PC J'ai eu recours à des arguments de ce genre:

Le cycle de développement des logiciels se déroule plus ou moins comme cela: (a) Une entreprise publie des logiciels; b) Habituellement, en peu de temps, des failles de sécurité sont constatées, certaines d’entre elles sont publiées; (c) Des exploits ("crochets") peuvent être faits et rendus publics qui permettent à votre enfant du collège voisin de s'introduire dans votre ordinateur avec peu d'effort; (d) Certaines personnes essaient d'automatiser de telles attaques, en essayant de cibler en masse de nombreux ordinateurs connectés aux Internés; (e) Après un peu de temps (espérons-le), la société publie un correctif de sécurité qui ferme ce trou, mais (f) avant que les utilisateurs n'appliquent ce correctif, ils sont ouverts à toutes sortes d'attaques (g), c'est pourquoi il est recommandé d'appliquer des mises à jour dès que possible et pour se connecter uniquement à Internet avec des logiciels à jour, mais (h) Windows XP a cessé de recevoir de tels correctifs en 2014 (!)

Je répétais à peu près ce qu'on m'avait dit.

Pourtant, la personne en question exécute toujours sa version Windows largement obsolète pour effectuer les tâches dont elle a besoin, ce qui se résume principalement à recevoir et envoyer des e-mails importants et à utiliser un logiciel de bureau pour lire/modifier/créer des pièces jointes . Lorsqu'on leur a parlé de sécurité, leur réponse a été "travaille-je dans une agence à trois lettres?" et aussi "Qui suis-je, millionnaire? Pourquoi serais-je intéressé par quelqu'un? "

Je me demande ... Peut-être qu'ils ont raison? La sécurité n'est pas une chose binaire, après tout. Il ne peut être que suffisant ou insuffisant pour un modèle de menace donné pour une situation donnée.

Dans cette situation, malgré que leur PC soit théoriquement ouvert à toutes sortes d'exploits:

  • Je suppose que les routeurs/modems utilisent de nos jours des NAT/pare-feu qui, même s'ils ne sont pas parfaits, sont suffisants pour arrêter la plupart des analyses de port en masse? Leur sécurité devrait donc augmenter du fait qu'ils utilisent, par nécessité, le matériel de leurs FAI?
  • De plus, l'utilisation de ces anciens systèmes Windows connaît un tel déclin de nos jours, les gens prennent-ils même la peine de rechercher des vulnérabilités en masse? Alors, vont-ils être infectés uniquement par le fait qu'ils se connectent à Internet?
  • Le site Web de Gmail et les e-mails attendus de personnes de confiance ne contiendront pas non plus de logiciels malveillants ...
  • S'ils étaient ciblés, bien sûr, les considérations ci-dessus ne s'appliqueraient pas, mais comme ils le disent, seront-ils spécifiquement ciblés?

Je me demande si, contre-intuitivement, leur configuration n'est pas réellement suffisamment sécurisée pour leurs besoins particuliers?

4
gaazkam

L'argument "Je n'intéresse personne. Pourquoi voudrait-on m'attaquer?" suppose qu'un attaquant ne prendrait qu'un angle spécifique - celui d'une attaque ciblée.

Cependant, le plus souvent, les criminels exécutent simplement des scripts automatisés qui vérifient les machines vulnérables et tentent l'attaque qui fonctionnera probablement pour cette machine. Selon l'exploit, ils peuvent ensuite utiliser cette machine à des fins malveillantes, telles que:

  • Envoi de spam
  • L'utiliser comme proxy pour d'autres attaques
  • Déployer un ransomware
  • Mener des attaques DDoS
  • Distribuer des logiciels malveillants
  • Etc.

Mais qu'en est-il de NAT et des pare-feu?

Cela dépend de votre configuration et du type d'exploitation. Par exemple, Windows XP ne prend pas en charge les navigateurs modernes, vous êtes donc coincé avec des versions héritées d'autres navigateurs. Juste pour illustrer cela, la dernière version de Chrome = disponible pour Windows XP était Chrome 49, qui est sorti en février 2019. Cela signifie que tout bogue corrigé après cette date restera pour toujours sous Windows XP).

Si vous êtes coincé avec un ancien navigateur, vous vous ouvrez à toutes sortes d'exploits horribles basés sur un navigateur, que les attaquants peuvent facilement utiliser sur le Web. Un pare-feu ou un NAT ne vous aidera pas du tout là-bas.

Les gens prennent-ils même la peine de rechercher des vulnérabilités dans de tels anciens logiciels?

Étonnamment, oui. Généralement pas spécifiquement pour Windows XP, mais si quelqu'un devait trouver un exploit dans un logiciel, le vendeur tentera alors de trouver quand le bogue a été introduit afin de voir qui est affecté.

Dans de nombreux cas, le bogue a été introduit dans une très ancienne version du logiciel, et si c'est celle que vous utilisez, vous n'avez pas de chance.

De plus, de nouvelles technologies pour augmenter la sécurité sont utilisées. Agrafage HSTS ou OCSP, pour n'en nommer que quelques-uns. Si vous utilisez un système d'exploitation hérité avec un logiciel hérité, vous n'aurez accès à aucun de ceux-ci, ce qui signifie que votre situation est pire.

Mais je ne reçois que des e-mails de parties de confiance. Je ne suis pas en danger!

Oui, jusqu'à ce que vous ne le fassiez pas. Forger un e-mail pour qu'il semble passable n'est pas aussi difficile qu'il y paraît. Le phishing est un sujet difficile, car beaucoup de gens penseront qu'ils "sont trop intelligents pour tomber dans le piège", jusqu'à ce qu'ils soient pressés une fois, veulent rapidement vérifier leurs e-mails et ouvrir une pièce jointe. Malheureusement, leur version d'Office était trop ancienne pour détecter que la macro dans le document émettait des commandes du système d'exploitation en arrière-plan.

Mais n'est-il pas suffisamment sécurisé?

Permettez-moi de vous poser une question différente: pourquoi n'obtenez-vous pas simplement un système d'exploitation moderne?

Si tout ce que vous faites est de vérifier vos e-mails une fois dans une lune bleue ou de jouer au Solitaire, procurez-vous une distribution Linux moderne. Lubunt , par exemple, fonctionne correctement, même sur le matériel de l'ère Windows XP.

Et si votre matériel est à jour et que vous manquez simplement l'apparence de Windows XP, utilisez Windows 10 et procurez-vous l'un des milliards d'outils qui le font ressembler à Windows XP.

4
MechMK1