Fin de support de Microsoft Windows 7

Contexte

Microsoft a planifié l’arrêt du support de Windows 7 le 14 janvier 2020, conformément à la politique de support en référence. À cette date, l’éditeur cessera d’assurer la publication de correctifs de sécurité pour Windows 7, y compris en cas de découverte d’une vulnérabilité critique.

Il est important de souligner que l’arrêt du support de Windows 7 va entraîner une recrudescence des codes d’exploitations de vulnérabilités non publiques, appelées « 0-day ».

Un code d’exploitation aura plus de valeur pour les attaquants si les vulnérabilités associées ne sont pas corrigées par l’éditeur. Il est à craindre que les vendeurs de vulnérabilités non publiques profitent de ce phénomène.

De plus, le système d’exploitation Windows 7 ne bénéficie pas des mécanismes de sécurité intégrés dans les versions récentes de Windows, en particulier ceux apportés par Windows 10. L’absence de tels mécanismes contribuant à la défense en profondeur facilite la prise de contrôle par un attaquant à l’aide de techniques d’exploitation largement diffusées.

Périmètre concerné

La fin de support de Windows 7 concerne les postes de travail, mais peut également concerner des équipements intégrés embarquant le système Windows 7 (par exemple des équipements industriels ou médicaux, des interfaces utilisateur, etc.). Pour ces derniers, pouvant faire l’objet de contraintes métier particulières, une démarche spécifique doit être engagée, en coordination avec le fournisseur, afin d’étudier les différents scénarios envisageables.

Cette note ne concerne pas Windows 7 Embedded, dont la fin de support est planifiée au 12 octobre 2021.

Recommandations

Le support et la mise à disposition de mises à jour de sécurité par l’éditeur sont un point crucial à la sécurisation d’un système d’exploitation. L’arrêt du support d’une version donnée doit être anticipé et constitue une motivation à la migration vers une version récente, si possible la plus récente.

De plus, la durée de vie du système d’exploitation retenu pour la migration doit être adaptée au cycle de vie des projets et à la vitesse de renouvellement du parc informatique. Une période de plusieurs années est recommandée. À ce titre, il est rappelé que la fin de support de Windows 8.1 [1] est fixée au 10 janvier 2023.

Concernant une migration vers Windows 10, il est rappelé que l’éditeur met à dispositions deux catégories d’éditions dont la politique de support diffère fortement :

  • Windows 10 Home, Pro et Enterprise : ces éditions bénéficient de la nouvelle politique de support de Microsoft (Modern lifecycle policy) où une mise à jour de fonctionnalités (feature updates) est publiée environ tous les 6 mois (généralement en mars et septembre).
    Chaque mise à jour de fonctionnalités dispose d’une période de support de 18 mois [2] pendant laquelle Microsoft met à disposition les mises à jour de service (quality updates) qui incluent les correctifs de sécurité ;

  • Windows 10 Enterprise LTSC/LTSB : ces éditions sont régies par la politique de support classique de Microsoft (Fixed lifecycle policy). Dans ce cas, ces éditions ne bénéficient pas de mise à jour de fonctionnalités et disposent d’un support de 10 ans pendant lequel les mises à jour de service sont mises à disposition.

Il est important de rappeler que, d’un point vue sécurité, les éditions Windows 10 Enterprise sont à privilégier, car elles disposent de toutes les fonctionnalités de sécurité disponibles dans les environnements Windows. En particulier, seules les éditions Windows 10 Enterprise disposent de protections de type Windows Defender Credential Guard, protégeant les secrets d’authentification en mémoire, ou Windows Defender Exploit Guard, limitant les possibilités d’exploitation de vulnérabilités et d’exécution de codes malveillants en mémoire.

De nombreux systèmes utilisant Microsoft Windows 7 sont aujourd’hui encore en service dans les administrations et les entreprises. L’ANSSI attire l’attention sur la nécessité d’anticiper dès à présent une migration vers des systèmes dont la pérennité des mises à jour de sécurité sera assurée après janvier 2020.

En cas d’impossibilité de migrer un système obsolète vers une version supportée, l’isolation de celui-ci vis-à-vis du système d’information constitue une mesure compensatoire visant à limiter les impacts en cas de compromission. Cette isolation devra être réalisée dans les plus brefs délais.

Documentation

Rappel des avis émis

Dans la période du 09 au 15 décembre 2019, le CERT-FR a émis les publications suivantes :