Systèmes legacy – L’obsolescence ne va pas avec la sécurité

02-11-2023 | 2 | Cybersécurité, Décommissionnement des systèmes legacy

L’auteur : Yannick Thommassier, RSSI du groupe TJC

Vous pourriez penser que les systèmes obsolètes ne sont jamais affectés par de nouvelles vulnérabilités parce qu’ils ont atteint leur dernier niveau de mise à jour disponible et qu’aucun chercheur en sécurité ou pirate informatique n’essaiera de les exploiter. Ce n’est toutefois pas le cas, car les vulnérabilités récentes découvertes dans une bibliothèque peuvent en fin de compte affecter toutes les versions actuelles et passées de cette bibliothèque.

Prenez, par exemple, les vulnérabilités récentes CVE-2023-38545et CVE-2023-38546 dans la bibliothèque cURL, un projet de logiciel informatique fournissant une bibliothèque (libcurl) et un outil de ligne de commande (curl) pour le transfert de données à l’aide de divers protocoles de réseau.

Prenez, par exemple, les vulnérabilités récentes CVE-2023-38545et CVE-2023-38546 dans la bibliothèque cURL, un projet de logiciel informatique fournissant une bibliothèque (libcurl) et un outil de ligne de commande (curl) pour le transfert de données à l’aide de divers protocoles de réseau.

Par conséquent, il faut compter sur l’hypothétique rétroportage des corrections apportées au code source de ces versions antérieures de la bibliothèque pour garantir la sécurité. Toutefois, ce processus peut prendre du temps et entraîner des incompatibilités. La mise à jour d’une bibliothèque sur un système obsolète est une tâche complexe.

C’est pourquoi le maintien d’un système ancien, même à jour des derniers correctifs publiés par l’éditeur, n’est pas sécurisé à long terme. Le stockage de données sur ces systèmes à moyen ou long terme présente un risque de sécurité.

Il est donc vivement conseillé d’envisager le décommissionnement de ces systèmes legacy et le transfert de leurs données vers un service d’archivage moderne, robuste et actualisé, conçu à cet effet et garantissant le plus haut niveau de sécurité des données.

L’article suivant pourrait également vous intéresser :