Fin du support de Windows XP: le cauchemar des DAB
La fin programmée du support de Windows XP s’avèrent particulièrement menaçante pour les distributeurs automatiques de billets des banques du monde entier.
Que ce soit Microsoft ou les spécialistes de la sécurité, nombreux sont ceux qui tirent répétitivement la sonnette d’alarme depuis des mois, sinon des années : la fin programmée du support de Windows XP, au mois d’avril cette année, est susceptible d’aiguiser l’appétit des pirates pour ce vieillissant système d’exploitation. Celui-ci équipait encore près de 30 % des machines connectées à Internet en février, mais il est des secteurs où sa part de marché est bien plus importante. Et connexion à Internet ou pas, le risque n’est pas négligeable. C’est notamment le cas des distributeurs automatiques de billets de banque (DAB, ou ATM en anglais). Businessweek le relevait mi-janvier : Windows XP équipe 95 % des DAB dans le monde. Interrogé par nos confrères, Aravinda Korala, Pdg de KAL, fournisseur de logiciels pour DAB, estimait alors que seuls 15 % des distributeurs des banques américaines seraient passés sous Windows 7 au mois d’avril. JPMorgan s’est offert une extension de support d’un an et prévoit de commencer sa migration en juillet.
Au Royaume-Uni, la situation n’est guère plus brillante. Selon NCR, interrogé par nos confrères du Register, seulement un tiers des 60 000 DAB installés outre-Manche devrait avoir été migré d’ici à la fin 2014. Pour autant, le constructeur assure travailler depuis trois ans, avec Microsoft, à essayer de convaincre ses clients de mettre à niveau leur parc installé. Des banques qui cherchent à finir d’amortir des appareils vendus autour de 8 000 $ pièce, et jusqu’à 40 000 $ pour les modèles les plus récents.
Difficile pour autant d’ignorer les menaces visant les DAB. Fin décembre encore, deux chercheurs se sont penchés sur un logiciel malveillant utilisé pour dévaliser ces distributeurs, injecté par clé USB. Et les banques se doivent de préserver la conformité de leur parc avec le standard PCI DSS. Celui-ci prévoit notamment « le besoin de maintenir les systèmes à jour avec les correctifs de sécurité fournis par le vendeur afin de protéger les systèmes des vulnérabilités connues. » En cas de fin de support et d’absence de correctifs, le standard tolère comme « solution temporaire uniquement » l’utilisation de « contrôles de compensation », comme l’installation d’anti-virus, d’IPS/IDS, etc. Sans préciser combien de temps le « temporaire » peut durer, le standard indique que « la solution finale est de mettre à niveau vers un système d’exploitation supporté. »