Le danger des logiciels “legacy”

Remarque : malgré son titre, ce sujet n’est pas là pour faire du sensationnalisme. Il ne concerne pas l’internaute ordinaire, mais plutôt les sociétés ou administrations ou tout ce qui y ressemble, ainsi que les gens qui y travaillent, et ces internautes là, quand ils surf sur le web, vont sur LinkedIn, ou reçoivent des mails, ne sont plus des internautes ordinaires, même quand ils/elles sont à la maison chez eux/elles après le travail.

L’expression “legacy software” n’est pas directement traduisible, disons qu’il est possible dans ce contexte de la traduire par « logiciels historiques ». L’expression s’applique aussi aux formats de données ou de fichiers, et signifie quelque chose qui est obsolète, mais qui est conservé, parce que une migration vers des standards ou des techniques plus modernes, prendrait trop de temps, couterait trop de ressources humaines ou techniques. La dispersion peut être un frein aussi.

Je suis tombé dans la journée sur un article qui s’inquiète de la persistance de ces anciens systèmes obsolètes et toujours en service :
The Danger of Legacy Systems (archive.org / mousesecurity.com). Mai 2011.

En gros, l’article raconte qu’il ne faut pas s’arrêter à l’apparence, que un monde informatique ou on expose des smartphone, des tablettes et des bureaux 3D, derrière ce paysage à l’apparence moderne, se cache l’obsolescence.

Les plus concernés par l’obsolescence, sont les sociétés et les administrations. L’image que l’on a de l’informatique, de son propre point vue d’utilisateur particulier, n’a rien à voir avec ce qu’elle est dans des milieux comme les banques, par exemple.

L’auteur raconte que pas plus tôt que en 2008, il a été confronté à une machine sous Windows 3.11, toujours en fonctionnement dans ce type de contexte. Il y a les célèbres logiciels en Cobol, toujours en fonctionnement dans des banques (je ne sais pas lesquelles).

Il rapporte que dans le secteur IT, 47% du budget est pour la maintenance des systèmes obsolètes.

Ça l’inquiète surtout dans le contexte de ce qu’il appel les APT, “Advanced Persistent Threats”, qui peut être traduit comme « Menaces Évoluées Persistantes ». C’est un cas particulier de AT, “Advanced Threat”, « Menace Évoluée », que tout le monde connait, ce sont les attaques par pishing, virus, logiciels espions, etc, dont peuvent faire usage les attaques APT, mais elles sont plus que ça.

La différence entre les deux, c’est que les APT sont plus ciblées, contrairement aux AT, qui sont plus opportunistes. Ça l’inquiète, parce que ses attaques sont généralement dormante, bien renseignée, et au lieu de cibler large, elles ciblent précisément. Autant ça n’intéresse que peu un délinquant numérique moyen (attaque AT), d’écrire un virus pour Windows 3.1 que plus personne n’utilise, autant c’est par contre une aubaine très intéressante pour les responsables d’une attaque ciblée et longuement planifié (attaque APT).

En bref, un poste sous Windows 3.1 dans une entreprise, est à l’abri de la plus grande partie des virus, contre ça, oui, il est même protégé par son obsolescence, par contre, il est exposé au attaques plus pernicieuses et plus ciblés, … qui sont aussi les attaques dont les auteurs savent le plus ce qu’ils espèrent exactement trouver, et ça a généralement beaucoup de valeur à leurs yeux, vu la patience qu’il y mettent, et le soin qu’ils ont à adapter leur attaque à la cible.

C’est en gros le contexte qu’expose l’article suivant, auquel le premier se réfère :
Understanding Advanced Persistent Threats (usenix.org) [PDF]. Février‑Août 2011.

Ce second article fait lui même référence à un troisième document (au format PDF) :
RSA Security Brief (emc.com) [PDF]. Février 2011.

J’ai lu environ la moitié du dernier document, mais comme j’ai déjà résumé le principal, je ne ferai un éventuel résumé de ce dernier que plus tard, il peut attendre, vu ce que le plus important a déjà été dit.