Patch Tuesday
Le « Patch Tuesday » (aussi connu comme l'« Update Tuesday »[1]) est un terme non officiel faisant se référence à l’évènement programmé tous les deuxièmes mardis de chaque mois, jour où la société Microsoft met en ligne pour ses clients les derniers patchs - en français, « mises à jour » - de sécurité de ses logiciels. Avec Windows 98, Microsoft a commencé à utiliser son système Windows Update, qui permet de vérifier les patchs de sécurité à appliquer à Windows. Depuis, ce système a été actualisé pour inclure aussi les mises à jour des autres produits de l'entreprise, incluant Office. CoûtLe système de mise à jour de Windows a souffert de deux problèmes affectant d'un côté les utilisateurs novices et de l'autre les administrateurs de grands parcs de machines. Le premier problème touchait les utilisateurs novices qui ne le connaissaient pas et ne l'utilisaient donc pas. La solution de Microsoft a été d'introduire le système des « mises à jour automatiques », qui informe l'utilisateur que des mises à jour sont disponibles pour son système. Le second problème affectait les grands déploiements du système, comme dans les grandes entreprises. De tels déploiements font qu'il est difficile de vérifier que tous les systèmes sont bien à jour, le problème ayant été aggravé par le fait qu'une rustine pouvait empêcher le fonctionnement correct d'une application, et qu'elle devait donc être désinstallée. Afin de réduire les coûts engendrés par le déploiement des patchs, Microsoft a créé le concept de Patch Tuesday. L'idée est que des patchs sont accumulés pendant un mois et sont ensuite distribués un jour précis afin que les administrateurs système puissent s'y préparer. Cette date a été fixée au début de la semaine, et surtout, suffisamment loin de sa fin, pour que tout problème éventuel puisse être corrigé avant le week-end suivant. Les administrateurs système peuvent planifier le second mardi de chaque mois comme étant « jour des mises à jour », et s'y préparer en conséquence. Le terme Patch Tuesday a été utilisé pour la première fois le troisième trimestre de l'année 2004. Il est devenu synonyme du jour où les éditeurs de logiciels mettent à disposition leurs mises à jour de sécurité. A la suite de quoi, quelques journalistes et quelques analystes se sont mis à utiliser le terme de Hack Wednesday ou d'Exploit Wednesday pour désigner le jour suivant où les hackers lancent des attaques en utilisant les vulnérabilités nouvellement découvertes et publiées. Conséquences en matière de sécuritéLa conséquence la plus évidente est que les corrections de problèmes de sécurité ne sont pas proposées aux utilisateurs le plus rapidement possible, et que leurs systèmes restent donc vulnérables pendant une période pouvant aller jusqu'à un mois après la réalisation d'un correctif. Implicitement, cette politique suppose que la plupart des attaques sont le fait de méthodes de rétro-ingénierie plutôt que de failles zero day du lendemain. On ne sait pas dans quelle mesure cette hypothèse est vérifiée en pratique. Dans le passé, des vulnérabilités ont été rendues publiques le lendemain ou quelques jours plus tard, permettant ainsi la propagation de vers informatiques. Cela ne laisse pas à Microsoft suffisamment de temps pour réaliser et diffuser ses mises à jour, ouvrant donc ainsi théoriquement une fenêtre d'un mois aux attaquants et aux vers informatiques pour exploiter le trou de sécurité, avant qu'un nouveau patch ne puisse résoudre le problème. Rigueur du calendrierDans la plupart des cas, les mises à jour de Microsoft et les correctifs sont seulement diffusés le jour du Patch Tuesday. Cependant, les cas où des mises à jour sont fournies en dehors de cette date ne sont pas rares, et se produisent en moyenne plusieurs fois par an. Les critiques disent que le rapport entre les vulnérabilités choisies par Microsoft qui sont comblées chaque mois et l'importance de ces failles n'est pas suffisamment élevé. Il y a eu des cas où des vulnérabilités, jugées comme « hautement critiques » et activement exploitées comme telles par des vers informatiques, n'ont pas reçu de correctifs ; alors que d'autres, jugées moins sévères, ont été comblées entre-temps lors d'un Patch Tuesday. Cela vient du fait que plusieurs failles peuvent être analysées simultanément par l'équipe de développement et que les plus simples sont résolues plus rapidement. La résolution des failles étant affectée aux développeurs en fonction de leurs compétences et les résolutions les plus complexes pouvant nécessiter la collaboration de plusieurs personnes incluant des partenaires extérieurs, ceux-ci peuvent être déjà occupés sur d'autres sujets plus importants. Exploit du mercrediBeaucoup d'exploits sont conçus peu de temps après la publication d'une mise à jour. En analysant la mise à jour, les concepteurs d'exploits peuvent facilement renseigner les autres sur les méthodes d'exploitation d'une vulnérabilité précise, ce qui a conduit à l'introduction du terme Exploit Wednesday[2]. Occupation de la bande passanteLa grande taille de certaines mises à jour peut entrainer l'utilisation d'une importante bande passante pendant une durée de plusieurs minutes, encore augmentée pour ceux ayant opté pour les mises à jour recommandées en plus des mises à jour critiques. Pour ceux ayant activé Microsoft Update, les mises à jour concernent aussi les autres logiciels de Microsoft (Office, SQL Server, etc.). Windows Update / Microsoft Update utilisent le protocole BITS qui télécharge les mises à jour en laissant la priorité aux actions de l'utilisateur. Ce protocole est capable de reprendre un téléchargement là où il était arrivé avant un arrêt de l'ordinateur. Mais BITS ignore ce que font les autres ordinateurs du même réseau ; en conséquence, plusieurs ordinateurs téléchargeant simultanément une mise à jour peuvent bloquer l'accès Internet pendant une durée pouvant aller jusqu'à plusieurs heures sur une liaison à débit limité. En conséquence, il est recommandé aux entreprises de mettre en place un serveur de mises à jour WSUS, qui récupère chaque mise à jour, puis la met à disposition des machines Windows du parc informatique de l'entreprise. De plus, WSUS permet de valider celles que l'on accepte de déployer. Depuis Windows 10, BITS télécharge les mises à jour en priorité depuis les autres ordinateurs du même réseau informatique. Si aucun ordinateur du réseau local ne répond à sa demande, alors la mise à jour demandée est téléchargée directement depuis les serveurs de Microsoft. Le processus est donc plus rapide et la bande passante Internet est ainsi économisée, BITS pouvant toujours se connecter au WSUS si l'administrateur informatique de l'entreprise l'a paramétré en ce sens. Notes et références
AnnexesBibliographie
Articles connexesLiens externes
|