Systèmes Legacy | Obsolescence ne rime pas avec sécurité

02-11-2023 | < 1 lecture minimale | Cybersécurité, Déclassement des anciens systèmes

Auteur: Yannick Thommassier, CISO of TJC Group

On pourrait croire que les systèmes obsolètes ne sont plus jamais concernés par de nouvelles vulnérabilités parce qu’ils ont atteint leur dernier niveau de mise à jour disponible et qu’aucun chercheur en sécurité ou hacker ne va essayer de les corrompre.

Mais il n’en est rien puisque des vulnérabilités récentes, découvertes sur une librairie, peuvent finalement concerner toutes les versions présentes et passées de celle-ci.

Prenons comme exemple les vulnérabilités récentes CVE-2023-38545 et CVE-2023-38546 concernant la librairie cURL[LP1] [LP2] .

Ces vulnérabilités ne sont certes pas triviales à exploiter et nécessitent la satisfaction de plusieurs conditions pour cela. Mais elles illustrent, cependant, la problématique que représente la découverte d’une vulnérabilité impactant toutes les versions précédentes d’une librairie.

La correction d’anciennes versions de cette librairie technique, embarquée dans bon nombre de systèmes devenus obsolètes avec le temps et plus maintenus, n’est pas du tout assurée. 

Il faut alors espérer un hypothétique portage arrière (back port) des corrections sur le code source de ces versions antérieures de la librairie, pour demeurer en sécurité. Cela peut prendre du temps et provoquer des incompatibilités résultantes : la montée de version d’une librairie sur un système obsolète n’étant pas chose facile.

C’est pourquoi, maintenir un système informatique obsolète, même à jour des derniers correctifs diffusés par l’éditeur, n’est pas sûr dans le temps. La conservation à moyen ou longs termes des données dans ces systèmes n’est donc pas dans risque de sécurité.

Il est donc nécessaire d’envisager le décommissionnement de ces systèmes et le transfert de leurs données dans un service d’archivage prévu à cet effet, moderne, robuste et maintenu à jour, afin de conserver les données avec le meilleur niveau de sécurité.

L’article suivant pourrait également vous intéresser :
https://www.tjc-group.com/fr/blogs/est-il-prudent-de-conserver-des-anciennes-donnees-dans-un-systeme-legacy-sap/