lucidiot's cybrecluster

Configurer Windows XP pour 2022

Lucidiot Informatique 2022-03-24
La suite de l'introduction à mes aventures sous XP : comment je fais pour encore l'utiliser de nos jours.


On a vu précédemment pourquoi, parmi les nombreuses choses étranges que je fais, se trouve l'utilisation d'un ordinateur sous Windows XP à l'heure actuelle. On va maintenant commencer à voir comment je fais pour pouvoir m'en servir en ayant peu de friction, de difficulté à faire ce que je veux avec, puisque c'est le paramètre fondamental qui détermine si je vais vraiment utiliser quelque chose. Si j'en suis arrivé à préférer XP pour écrire des articles pour Brainshit, c'est donc qu'il y a un bon niveau de confort.

Mises à jour

Le site de Windows Update pour Windows XP existe encore, mais il semble ne pas fonctionner pour moi, en tous cas pas sous Internet Explorer 8. Il est cependant toujours possible de recevoir des mises à jour !

Tout d'abord, je vous conseille de bien disposer du Service Pack 3 pour avoir déjà reçu la majorité des mises à jour. Vous pourriez probablement le télécharger sur le site de Microsoft avec de la chance, ou en passant par la Wayback Machine, ou encore en utilisant tout simplement un ISO plus récent lors de l'installation initiale.

Ensuite, activez les mises à jour automatiques ; elles ne demandent pas la logique complexe en JavaScript avec ActiveX du site de Windows Update, et font appel à des serveurs encore actifs. N'importe quelle des options autres que « ne rien mettre à jour » ira bien ; que ce soit la vérification sans télécharger ni installer, le téléchargement sans installation, ou la mise à jour automatique complète, vous obtiendrez des mises à jour jusque 2014, date de la fin du support étendu de Windows XP.

Vous pouvez encore aller un peu plus loin, jusqu'en 2019, si vous modifiez le registre de Windows pour faire croire à Windows Update que vous utilisez une version différente du système. Ça n'affectera rien d'autre que Windows Update, donc pas de problèmes de compatibilité en vue.

On va faire croire à Windows Update que nous utilisons Windows XP POSReady 2009 : une édition de Windows XP sortie bien après XP lui-même et conçue pour les points de vente (Point of Sale). Cette édition devait initialement s'appeler juste XP POS, mais le suffixe Ready a été ajouté plus tard pour éviter que POS ne soit interprété comme Piece of Shit. Le support de cette édition s'est arrêté en 2019, et on peut encore maintenant en recevoir les mises à jour.

Dans l'Éditeur du Registre, naviguez vers la clé HKEY_LOCAL_MACHINE\SYSTEM\WPA\PosReady. Si elle n'existe pas, vous pouvez la créer. Cette clé devrait contenir une valeur de type DWORD nommée Installed et dont la valeur sera de 1. Vous pouvez aussi utiliser ce texte en tant que fichier .reg si vous savez comment :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\WPA\PosReady]
"Installed"=dword:00000001

C'est tout ce qu'il y a à faire pour se faire passer pour POSReady 2009. Ça ne semble vraiment affecter que Windows Update et rien d'autre ; toute clé d'activation ou tout crack fonctionnera, et ce pour n'importe quelle édition de Windows XP.

Malgré toutes ces mises à jour qui corrigent probablement un grand nombre de vulnérabilités, il est quasiment sûr qu'il en reste toujours des tonnes ; la fin du support de Windows XP ne signifie pas que des gens arrêtent subitement de trouver des failles, seulement qu'elles seront toujours exploitables. J'insiste, je suis parfaitement conscient des risques de sécurité à utiliser Windows XP, et je m'en fiche en connaissance de cause.

Il n'est pas impossible que ce système de mises à jour ne fonctionne cependant plus prochainement, puisque Microsoft commence à couper le support pour certains algorithmes de hachage dans Windows Update. Il existe moult sites qui référencent des mises à jour de Windows ou fournissent des Service Packs non officiels ; je m'attaquerai à ce sujet le jour où j'en aurai besoin.

TLS

L'un des gros problèmes quand on veut faire revivre un ancien système ou un ancien appareil qui se connectait à Internet, c'est SSL/TLS. Entre les certificats d'autorité qui arrivent à expiration, une décision spontanée de la communauté informatique de ne plus faire confiance à une de ces autorités, les algorithmes de chiffrement qui changent, les versions de TLS qui s'enchaînent, ou d'autres évolutions variées comme le répondeur OCSP, le rejet du Common Name dans les certificats, DNSSEC, et j'en passe, la sécurité change constamment et crée fatalement une obsolescence programmée.

Cependant, il faut savoir que je ne suis pas le seul à vouloir au moins pouvoir maintenir XP en vie, peu importe la raison, et il existe moult techniques pour l'aider à rester parmi nous. Certaines de ces méthodes, quand elles sont un peu plus généralisées, peuvent aussi servir à résoudre des problèmes liés à SSL/TLS dans des tas de situations.

Configurer Windows pour TLS 1.2

Assurez-vous d'abord de bien avoir eu toutes les mises à jour disponibles. Il est possible que certaines incluent des algorithmes supplémentaires de chiffrement ou même des nouvelles versions de TLS. Ensuite, vous pouvez vérifier que toutes les versions possibles soient bien activées. On va aller jusqu'à activer SSL 2.0, la version la plus ancienne, pour vraiment mettre toutes les chances de son côté pour qu'une quelconque connexion fonctionne. La sécurité n'est pas la priorité, c'est plutôt que ça fonctionne qui compte.

  1. Accédez aux Options Internet.

    Vous pouvez le faire depuis Internet Explorer en cliquant sur Options Internet dans le menu Outils, ou depuis les icônes du Panneau de configuration.

  2. Dans l'onglet Avancé, recherchez les cases à cocher de la catégorie Sécurité.

  3. Assurez-vous que SSL 2.0, SSL 3.0, TLS 1.0, Utiliser TLS 1.1 et Utiliser TLS 1.2 soient tous cochés.

  4. Cliquez sur OK.

Si une de ces cases à cocher manque, c'est peut-être qu'il vous manque des mises à jour de POSReady 2009.

Installer un proxy HTTPS pour TLS 1.3

TLS 1.2, c'est bien gentil, mais de plus en plus de serveurs restreignent à TLS 1.3 ou nécessitent des algorithmes de chiffrement ou d'échange de clés qui ne sont pas pris en charge. Une façon simple et efficace de résoudre ce problème est d'utiliser un proxy HTTPS local.

Des proxies de ce genre, comme mitmproxy, sont souvent utilisés plutôt à des fins d'inspection des requêtes HTTP. Ils s'exécutent uniquement sur votre machine et vont jouer le rôle d'intermédiaire entre toutes les applications et le réseau extérieur. Cela peut donner lieu à des comportements étranges ou des alertes de sécurité, car pour pouvoir changer de version de TLS, il va falloir permettre au proxy de déchiffrer les données moins sécurisées pour en faire des données plus sécurisées.

Plus concrètement, ça veut dire qu'un proxy aura besoin d'installer un certificat d'autorité lui-même qui sera utilisé pour approuver absolument n'importe quel site. Toutes les requêtes apparaîtront comme relevant de cette autorité de certification, et le proxy HTTPS pourra ainsi faire l'échange de clés avec une version plus basse de SSL ou TLS, obtenir des données en clair, puis répéter la requête à sa vraie destination en utilisant un protocole plus récent et en vérifiant lui-même les certificats.

Je n'avais initialement que peu de problèmes liés à TLS parce que j'utilise une version de Firefox suffisamment récente pour déjà disposer de TLS 1.3. Mais depuis, j'ai fait bien plus de choses que juste utiliser un navigateur, et disposer d'un support TLS 1.3 intégrable à quasiment tout le système sans avoir à recompiler tout pour le prendre en charge est quand même bien plus intéressant. Un peu par chance, j'ai suivi un tutoriel pour prendre en charge TLS 1.3 pour Escargot, un serveur non-officiel pour MSN. Ce tutoriel fournit un installeur particulier qui installe ProxHTTPSProxyMII, TrayIt, et un utilitaire de mise à jour des certificats d'autorité, Cert Updater 1.6.

ProxHTTPSProxyMII est une réécriture de ProxHTTPSProxy, un utilitaire qui vient compléter Proxomitron, un proxy HTTP conçu pour le filtrage de noms de domaine dans les réseaux d'entreprise. Cet utilitaire permet de fournir un proxy HTTP et HTTPS qui va intercepter les requêtes HTTPS, les transformer en requête HTTP, les faire passer à travers Proxomitron, puis les retransformer en HTTPS pour les faire sortir sur Internet. C'est en quelque sorte un proxy pour proxy. Dans notre cas, on n'a aucun autre proxy, donc les requêtes vont juste passer pour rien à travers cette machine de Rube Goldberg.

Ce proxy HTTPS est écrit en Python, et a été compilé pour nous pour être compatible avec Windows sans avoir à installer Python lui-même. Il a cependant l'inconvénient de ne pas être capable de se cacher : c'est un utilitaire en ligne de commande, il s'ouvre donc dans une invite de commandes MS-DOS et n'a pas accès à des contrôles comme se réduire dans la zone de notifications. L'installeur du tutoriel nous fournit par conséquent TrayIt, un utilitaire qui permet de réduire n'importe quelle fenêtre dans la zone de notifications. Enfin, le Cert Updater est un utilitaire venu d'un autre forum qui permet de mettre à jour facilement les certificats d'autorité du système pour éviter la plupart des erreurs de certificats expirés dans tout le système, y compris dans ce même proxy.

Voici en résumé les instructions à suivre pour installer ce proxy :

  1. Téléchargez l'installeur.

  2. Installez le programme avec ses deux « extras ».

  3. Ouvrez le dossier d'installation du proxy, généralement C:\Program Files\ProxHTTPSProxy.

  4. Lancez ProxHTTPS Cert Install.exe pour installer le certificat d'autorité du proxy ; c'est celui que Windows verra pour toutes les requêtes HTTPS via le proxy, comme si le proxy certifiait l'intégralité d'Internet.

  5. Ouvrez une invite de commandes, par exemple en utilisant Exécuter dans le menu Démarrer et en tapant cmd.exe.

  6. Dans l'invite de commandes, entrez dans le dossier du proxy : cd "C:\Program Files\ProxHTTPSProxy"

  7. Exécutez le script qui va configurer automatiquement le proxy au niveau du système pour vous : ProxySwitch.bat A

  8. Fermez l'invite de commandes et lancez ProxHTTPSProxy_PSwitch.exe.

  9. Si une invite du Pare-feu Windows s'affiche, cliquez sur Débloquer.

  10. Lancez TrayIt!.exe.

  11. Avec la touche Shift enfoncée, cliquez sur le bouton pour réduire la fenêtre de l'invite de commandes du proxy. Cela réduira le proxy dans la zone de notifications.

  12. Réduisez la fenêtre de TrayIt!, qui ira lui aussi dans la zone de notifications.

À chaque démarrage de Windows, TrayIt! et ProxHTTPSProxyMII démarreront automatiquement. Vous n'aurez qu'à réduire avec Shift le proxy et réduire la fenêtre de TrayIt.

Si vous utilisez une version de Firefox qui supporte TLS 1.3 et rencontrez des erreurs de certificat, deux options s'offrent à vous :

Mettre à jour les certificats d'autorité

Une dernière étape pour rattraper le retard dans la sécurité HTTPS : il faut mettre à jour les certificats d'autorité. Derrière le proxy, tous les logiciels ne verront que le certificat d'autorité du proxy lui-même, comme si le proxy garantissait l'authenticité de tout Internet, mais le proxy lui-même fait la vérification des véritables certificats. Par conséquent, on risque d'avoir beaucoup d'erreurs si le proxy n'a pas accès à des véritables certificats d'autorité à jour, et ceux de Windows XP ne sont plus mis à jour par Microsoft.

L'installeur susmentionné de ProxHTTPSProxyMII nous fournit déjà Cert Updater 1.6, qu'il est donc possible d'exécuter en lançant directement Cert_Updater_1.6.exe. Cet utilitaire télécharge des URLs venues de versions plus récentes de Windows et applique automatiquement les ajouts ou révocations de certificats.

Avec ça, la grande majorité des requêtes HTTPS sur le système vont aboutir, ce qui devrait restaurer un bon nombre de fonctionnalités ou de logiciels. Si des requêtes HTTPS ne fonctionnent pas, c'est peut-être qu'un logiciel donné n'utilise pas le proxy ou ne prend pas en charge des options de proxy, ce qui est possible s'il a été implémenté naïvement ; si des paramètres de proxy ne sont donc pas disponibles, vous n'aurez pas beaucoup d'options à votre disposition...

Conclusion

Cet article peut donner l'impression qu'il n'y a finalement pas tant que ça de travail pour refaire marcher Windows XP. Techniquement, c'est vrai, il n'y a pas grand chose à faire de plus pour que le système puisse communiquer avec le monde. Mais pour pouvoir faire des choses vraiment intéressantes, il va quand même falloir remplir ce système avec divers logiciels. On fera donc prochainement une visite commentée de mon dossier Tous les programmes...

Il y a une communauté non-négligeable de personnes qui veulent faire survivre les anciennes versions de Windows, et pas seulement XP. Si vous voulez vous lancer dans ce genre de choses, je vous recommande de vous promener sur le forum MSFN pour demander de l'aide, ou pour accéder à un très grand nombre de tutoriels de ce genre ; quasiment tout ce que je présente ici vient de ce forum.


Commentaires

Il n'y a pour l'instant aucun commentaire. Soyez le premier !