icetray - Fotolia
Meltdown/Spectre : le cauchemar de la mise à jour
L’installation du correctif proposé par Microsoft pour Windows ne va pas sans peine, entre contraintes draconiennes et incidents de déploiement.
Déployer le correctif de Microsoft pour Meltdown et Spectre n’est pas une mince affaire. Surtout lorsque l’on utilise certaines solutions de protection du poste de travail, celles qui n’activent pas encore automatiquement la clé de registre spécifique requise par Microsoft.
A en croire la liste compilée par Kevin Beaumont, c’est encore le cas notamment des solutions d’AhnLab, Bitdefender (GravityZone Endpoint Security for Windows), CarbonBlack, Cisco, CrowdStrike, Cylance, Endgame, FireEye, Fortinet, G-Data, McAfee, Palo Alto ou encore SentinelOne.
Contacté par la rédaction, FireEye assume complètement ce choix : « c’est une clé de registre globale ; nous ne la définissons pas automatiquement parce que cela pourrait s’imposer à d’autres applications ». Et d’expliquer que « de nombreux clients utilisent nos solutions en cohabitation avec d’autres outils de sécurité sur leurs machines ».
Mais pour certaines solutions, ce n’est pas sans présenter un caractère quelque peu ubuesque. Et l’on pense par exemple à Traps que Palo Alto présente ouvertement comme un remplaçant de l’antivirus « patrimonial », fort notamment de tests dont les résultats plaident en ce sens.
Empiler les protections
Mais dans un tel contexte, empiler les solutions s’avère tout bonnement indispensable, à moins de vouloir définir manuellement la clé de registre exigée par Microsoft. Car ce dernier le précise : « les clients ne recevront pas les mises à jour de sécurité de janvier 2018 (ni tout autre mise à jour de sécurité suivante) », si cette clé n’est pas définie. Pour Gérôme Billois, de Wavestone, cela semble tout simplement inimaginable : « imaginez tous les particuliers et TPE/PME qui vont être vulnérables ! »
Microsoft have added the following text to their KB article to clarify that unless the AV compatibility registry key is set, Windows Update will not delivery January's *or all future* security updates. Organisations and InfoSec vendors, take strong note. https://t.co/OnScnENB5m pic.twitter.com/mrYpt1IK3f
— Kevin Beaumont (@GossiTheDog) January 8, 2018
Mais tout ne semble pas rose non plus lorsque la clé de registre est correctement définie. Sur les forums de Microsoft, des administrateurs font état de cas où l’installation, via WSUS, sur des serveurs Windows 2008R2, 2012R2 ou encore 2016, ne s’est pas faite. Alors qu’ils sont équipés de Symantec Endpoint Protection Client et que la clé de registre est correctement définie. D’autres, utilisant Avast doublé de Cylance ont fait état d’une situation comparable durant le weekend. Dans certains cas, le correctif semble même pouvoir ne pas être installé alors même que SCCM assure qu’il l’a été…
Des systèmes impossibles à corriger
Sur les forums grand public de Microsotft, de nombreux utilisateurs font également état de problèmes d’installation du correctif avec des machines animées par des processeurs AMD, avec à chaque le même code d’erreur 0x800f0845.
Mais il y a d’autres cas encore plus complexes. Et cela commence par les systèmes physiquement isolés de l’environnement sur lesquels aucun antivirus n’est installé, comme le relève un autre administrateur. Là, encore, une seule solution : la définition de la clé de registre.
D’autres évoquent d’autres risques, comme celui de voir l’application de correctifs « rendre des systèmes spécialisés optiques, cryogéniques et laser inutilisables ». Un cas, comme d’autres, où il n’est tout simplement pas possible de « pousser les correctifs si/quand ils sont disponibles ».