Le lundi 11 juillet 2022, 17:49:49 IST Maxime DERCHE a écrit :
Question un peu bête mais je termine à peine mon vendredi :
Vos RSSI vous autorisent encore à avouer publiquement que vous faites tourner des OS obsolètes ?
Hello
Je dirais que le fait qu'une distribution GNU / Linux (ou qu'un autre logiciel), soit déclaré "end of life" ne signifie (surtout dans le domaine du logiciel libre), ni qu'il n'est plus maintenu, ni qu'il est "obsolète" (à définir précisément).
J'ai maintenu des machines avec des OS (notamment Mandriva) qui étaient obsolètes depuis bien longtemps, et faisant tourner des applications en php4 tournant sur apache 1.3. Et je suis sur de ne pas être la seule personne au monde dans ce cas là.
Pour autant, elles ont continué d'être patchées régulièrement lorsque c'était nécessaire en terme de sécurité (kernel, ghost, shellshock, ssl, etc.) ou de correction de bugs fonctionnels (MySQL) et n'ont jamais posé le moindre problème.
Ceci étant, tant qu'il y aura des clients pour avoir ce besoin, il existera des prestataires pour y répondre : la situation crée le marché. De plus au bout d'un temps : plus personne ne recherche de vulnérabilités sur ces versions trop anciennes et trop peu utilisées.. et le risque de 0day est bien plus important sur un logiciel récent qu'un logiciel obsolète.
Et je ne parle même pas des clients "industriels" on trouve des choses bien plus anciennes... parfois à des fonctions critiques.
Cela n'engendre pas de problèmes de sécurité particuliers : ces machines fonctionnent généralement en circuit fermé et la surface d'exposition est quasi nulle.
Par contre cela peut engendrer de gros problèmes de SAV si les pièces de rechanges ne sont pas dispo. Le pire que j'ai vu jusqu'à présent, il n'y a pas si longtemps, c'est un 286 sous MS-DOS enfermé dans une pièce en verre et dont dépend beaucoup d'activités non seulement de l'organisme mais de tiers.
Bonne semaine à tous,