icetray - Fotolia
Appliquer les correctifs reste difficile, mais plus sûr
Les mécanismes de mise à jour automatique n’ont jamais été appréciés des administrateurs de systèmes. Mais pour les experts, ils ont aujourd’hui bien mûri et s’avèrent bien moins risqués que d’attendre pour appliquer des correctifs de sécurité.
Les mécanismes de mise à jour automatique n’ont jamais été populaires auprès des administrateurs de systèmes. Mais l’adoption des terminaux mobiles et Windows 10 pourraient bien faire bouger quelque peu les lignes.
Josh Corman, fondateur de I Am The Cavalry, estime que les DSI vont tout simplement devoir ravaler leurs réserves : « si vous exécutez un logiciel, vous devez accepter la perspective de sa défaillance et vous préparer à y réagir. Fut un temps où certains n’appliquaient pas les correctifs à leur sortie de peur qu’ils n’endommagent leurs systèmes. De quoi risquer d’être piraté ».
Pour Corman, il est temps de mettre un terme à cet état d’esprit car, même si les services de mise à jour automatique introduisent une nouvelle surface d’attaque à distance, les bénéfices dépassent largement les risques.
« Nous avons, en tant qu’industrie, appris de ces erreurs commises par le passé et grandi pour trouver comment assurer des mises à jour distance de manière stable et sûre. Cela ne veut pas dire que tout le monde va le faire ainsi, mais je préfère encourager une meilleure implémentation qu’éviter toute implémentation ».
Fournir des mises à jour sûres
L’implémentation apparaît justement là clé, car les systèmes de mise à jour automatique ouvrent la voie à des attaques de type man-in-the-middle ou à la distribution de code compromis par des acteurs malveillants. Des risques qui renvoient systématiquement à l’implémentation du processus de mise à jour.
« Il n’y a pas de problème avec la cryptographie, le mécanisme de base. Je ne pense pas que qui que ce soit l’ait cassée. Le problème tient généralement à l’implémentation de ces choses-là », souligne Wolfgang Kandek, directeur technique de Qualys. « Pour certains, l’informatique quantique pourrait permettre de casser la cryptographie, mais à ce que l’on en sait, personne ne dispose de la technologie nécessaire pour le moment ».
Mais la cryptographie n’est pas la seule chose nécessaire à un système de mises à jour stable – qui ne provoque pas de défaillance de la cible –, sûr – avec authentification du délivreur et vérification de l’intégrité des contenus – et hygiénique – à savoir, où l’authenticité et la qualité du logiciel sont vérifiés avant leur signature et leur distribution.
« Si vous pouvez fournir des mises à jour authentiques, sur un canal sécurisé, de manière stable et reproductible, c’est la bonne voie. Et l’incapacité à le faire n’est pas une option. C’est peut-être difficile à réaliser, mais c’est indispensable ».
Et Kandek de reconnaître qu’il peut être effectivement difficile de créer un processus sûr pour fournir des mises à jour. Pour simplifier cela, les éditeurs doivent dès lors, selon lui, s’appuyer autant que possible sur des mécanismes centralisés, comme ceux de Windows et du mac App Store, ou encore le système de mise à jour de Chrome, que Google a versé à l’Open source.
« C’est difficile à bien faire », explique ainsi Kandek. « Et si vous voulez couvrir toutes les bases, c’est assez compliqué. Investir là-dedans en tant qu’entreprise n’est pas forcément rentable. Mieux vaut utiliser quelque chose de déjà disponible ».
Pour Corman, toutefois, une telle approche centralisée n’est pas forcément généralisable, du fait de la diversité des environnements concernés. Et de penser en particulier aux systèmes de contrôle industriels, où il lui apparaît peu probable que soit mis en place un processus de mise à jour unique pour tous.
Gérer le risque d’incompatibilité
L’autre moyen, pour les entreprises, de réduire le risque d’incompatibilité lié aux mises à jour est le passage au Cloud. Kandek relève ainsi que plus le recours à des services Cloud est important, plus les postes de travail s’avèrent génériques. Et plus simples à administrer et mettre à jour.
Mais comme le souligne Ben Jun, directeur technique de Chosen Plaintext, les éditeurs et développeurs devraient surtout chercher à faire preuve de plus de transparence lorsqu’ils poussent leurs mises à jour.
« Les administrateurs veulent savoir, dans un langage qu’ils comprennent, ce qu’un correctif va faire. Malheureusement, à ce jour, les développeurs ne sont pas capables de donner cette information. Et c’est aussi pour cela que nous rencontrons les problèmes que nous connaissons ».
Mais il reconnaît que la transparence n’est pas forcément triviale, en particulier parce que les mises à jour de sécurité sont souvent couplées avec d’autres qui peuvent tout aussi aisément casser la compatibilité.
Alors au final, pour Jun, « je pense que l’on va en venir à un point où le matériel, la plateforme elle-même, pourra fixer les limites de ce que le code peut faire. Et il y a aura alors une manière transparente de surveiller ce qu’une mise à jour est susceptible de faire au système ».
En attendant ce stade, Corman espère que le système de mises à jour de Windows 10 s’avère plus stable, soulignant au passage que certaines entreprises ne comprennent pas encore pleinement la valeur qu’elles peuvent retirer de la fourniture d’un processus de mise à jour stable et sûr. Et faisant renvoyant à la question de la satisfaction du client, il estime que « quelque chose comme une mise à jour a une valeur en termes de sécurité, mais aussi une valeur en termes de marge ».
Adapté de l’anglais.