Microsoft a publié dès vendredi 12 mai un correctif pour Windows XP afin de contrer le rançongiciel WannaCry. | Michel Euler / AP

Le rançongiciel WannaCry, qui a infecté à une vitesse record des centaines de milliers d’ordinateurs dans le monde depuis vendredi 12 mai, exploite une faille de Windows. Microsoft avait pourtant publié une mise à jour de son système d’exploitation le 14 mars, mais les ordinateurs ne l’ayant pas installée sont restés vulnérables. Tout comme ceux reposant sur d’anciennes versions de Windows, notamment XP, pour lesquelles Microsoft a dû sortir en urgence un correctif vendredi. Entretien avec Bernard Ourghanlian, directeur technique et sécurité chez Microsoft France.

Pourquoi Microsoft ne met-il plus à jour Windows XP ?

C’est un sujet sur lequel on a toujours été transparent. De manière générale, on supporte les versions de Windows pendant 10 ans. Windows XP est sorti en 2001, à une époque extrêmement ancienne et sa conception a été faite dans une ère presque pré-Internet, à un moment où il n’était en tout cas pas aussi répandu qu’aujourd’hui. Aujourd’hui, continuer à fournir des correctifs pour Windows XP, c’est quelque chose de pratiquement impossible : les menaces sur Internet ont évolué dans de telles proportions qu’il a été nécessaire de revoir complètement le noyau du système d’exploitation. On a pris la décision, compte tenu de la gravité de l’attaque, de fournir la mise à jour permettant de se prémunir contre ce problème de manière tout à fait exceptionnelle pour les versions qu’on ne supporte plus.

Vous offrez à certains clients, contre rémunération, un support étendu pour XP.

Il existe un contrat de support particulier, dont l’objet est précisément de permettre aux clients qui en ont absolument besoin de continuer à être supportés. Tous les clients qui bénéficiaient de ce support ont reçu cette mise à jour [dès le 14 mars].

L’épisode WannaCry ne montre-t-il pas les limites de ce système ? Au final, la faille s’est propagée. Pensez-vous qu’il est nécessaire d’augmenter le nombre d’années de support ?

Honnêtement, non. Pour qu’un client ait vraiment besoin d’être supporté au-delà de 10 ans (avec 12 ou 13 ans pour XP, nous sommes déjà allés bien au-delà), il faut vraiment qu’il ait des utilisations très particulières et extrêmement critiques. Cette faille pouvait être corrigée car elle correspond à un protocole historique de Windows, qui remonte à avant XP, à 95 ou 98. Mais un certain nombre de failles sont impossibles à corriger.

Y a-t-il des failles dans XP que vous seuls connaissez, ou qui sont connues ?

Certaines sont connues, et pas corrigeables, et d’autres qu’on ne connaît pas.

Quelles sont les leçons que vous tirez de la propagation éclair de ce rançongiciel ?

Nous devons assumer la responsabilité de protéger nos clients. Mais beaucoup de clients victimes l’ont été car malheureusement ils n’ont pas mis à jour [leur ordinateur]. On ne peut évidemment pas mettre à jour un système pour un client, c’est lui qui doit le faire. Nous avons la responsabilité de corriger les problèmes, mais si, ayant sorti un correctif au mois de mars, deux mois après il n’est toujours pas installé, ça pose problème. Tous les hackeurs étudient les correctifs que nous publions pour en déduire où attaquer. Il faut donc corriger le plus vite possible. Si on attend, on prend des risques.

Parmi les victimes, connaissez-vous la part de ceux qui utilisaient XP et ceux qui utilisaient des versions plus récentes mais pas mises à jour ?

Les appels à notre service support concernaient pour la plupart des versions pour lesquelles des patchs existaient depuis le 14 mars.

Avez-vous une idée du nombre de victimes en France ?

Non, je n’ai pas cette information. Les versions infectées sont la plupart du temps dans les entreprises, et on ne sait pas ce qui se passe dans les entreprises. Vous constaterez qu’il n’y a pratiquement pas eu un seul utilisateur grand public touché par ce problème. C’est la preuve que, paradoxalement, les consommateurs sont mieux protégés que les entreprises : ils ne se posent pas trop la question, quand un correctif sort, ils l’installent. Les entreprises se posent plus de questions, de compatibilité par exemple

Nous avons eu à peu près 60 appels à notre centre de support au niveau des entreprises, et la plupart du temps c’était pour aider les clients à mettre en œuvre les correctifs. Le nombre de clients victimes est extrêmement réduit. J’ai connu beaucoup de crises de sécurité, celle-ci n’a pas été une énorme crise. Mais toutes les machines qui ne sont pas encore corrigées sont potentiellement vulnérables. Le problème n’est malheureusement pas éradiqué. Il est important pour les entreprises de mettre à jour leur système.

Comment a réagi Microsoft vendredi ?

Quand le problème a commencé à se diffuser, essentiellement en Europe au départ, en Angleterre et en Espagne, on a immédiatement reproduit le problème, vu exactement de quoi il s’agissait et récupéré le logiciel. Les machines ne s’infectent pas toutes seules. Au départ, on parle d’une attaque de type ingénierie sociale, de phishing [par e-mail malveillant], qui va commencer par attaquer une machine, qui aura la possibilité de regarder toutes les machines vulnérables du même réseau et les infecter.

Les équipes du Microsoft Security Response Center ont été mobilisées immédiatement. Le problème était assez facile car on avait déjà sorti la correction, ce n’est pas comme si on avait dû créer un correctif. Là on parle d’attaques qui étaient déjà connues. On avait tous les éléments nécessaires pour répondre aux besoins des clients.

Les enquêteurs vont essayer de remonter vers le patient zéro, indispensable pour tenter de comprendre d’où vient le rançongiciel. Vous êtes particulièrement bien placé pour voir comment cette épidémie a progressé, en savez-vous plus sur son origine ?

On a effectivement quelques informations et on collabore avec Europol, Interpol et la police sur ce genre de sujets. On fera tout le nécessaire pour leur communiquer toutes les informations nécessaires. Mais cela correspond à une enquête en cours, je n’ai pas la possibilité de vous en dire plus.