Recherchez sur tout Techno-Science.net
       
Techno-Science.net : Suivez l'actualité des sciences et des technologies, découvrez, commentez
 A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | +
Patch Tuesday

Introduction

Le Patch Tuesday, qui survient le deuxième mardi de chaque mois, est le jour où Microsoft met à disposition de ses clients les derniers patchs de sécurité pour ses logiciels (en français, « rustines logicielles »).

Débuté avec Windows (Windows est une gamme de systèmes d'exploitation produite par Microsoft, principalement destinées aux machines compatibles PC. C'est le remplaçant de MS-DOS. Depuis les années...) 98, Microsoft (Microsoft Corporation (NASDAQ : MSFT) est une multinationale américaine de solutions informatiques, fondée par Bill Gates et Paul Allen, dont le revenu annuel a...) utilise le système Windows Update qui permet de vérifier les patchs de sécurité à appliquer à Windows. Depuis, ce système a été actualisé pour inclure aussi les mises à jour (Le jour ou la journée est l'intervalle qui sépare le lever du coucher du Soleil ; c'est la période entre deux nuits, pendant laquelle les rayons du Soleil éclairent le ciel. Son début...) des autres produits de l'entreprise, incluant Office.

Coût

Le système de mise à jour (Une mise à jour, souvent abrégé en MAJ ou MàJ, est l'action qui consiste à mettre « à jour », ou bien « à...) de Windows a souffert de deux problèmes affectant d'un côté les utilisateurs novices et de l'autre les administrateurs de grands parcs de machines.

Le premier problème touchait les utilisateurs novices qui ne le connaissaient pas et donc ne l'utilisaient pas. La solution de Microsoft a été d'introduire le système des « mises à jour (Le jour ou la journée est l'intervalle qui sépare le lever du coucher du Soleil ; c'est la période entre deux nuits, pendant laquelle les rayons du Soleil éclairent le ciel. Son début (par...) automatiques » qui informe l'utilisateur que des mises à jour sont disponibles pour son système.

Le second problème affecte les grands déploiements du système, comme le connaissent les grandes entreprises. De tels déploiements font qu'il est difficile de vérifier que tous les systèmes sont bien à jour. Le problème s'est aggravé par le fait qu'une rustine pouvait empêcher le fonctionnement correct d'une application et devait donc être désinstallée.

Afin de réduire les coûts engendrés par le déploiement des patchs, Microsoft a créé le concept de Patch Tuesday. L'idée est que des patchs sont accumulés durant un mois (Le mois (Du lat. mensis «mois», et anciennement au plur. «menstrues») est une période de temps arbitraire.) et sont ensuite distribués un jour précis pour que les administrateurs systèmes puissent se préparer. Cette date a été fixée à peu près au début de la semaine, et surtout assez loin de la fin pour que tout (Le tout compris comme ensemble de ce qui existe est souvent interprété comme le monde ou l'univers.) problème éventuel soit corrigé avant le week-end. Les administrateurs système peuvent prévoir comme étant « jour des mises à jour » le second mardi de chaque mois et se préparer en conséquence.

Le terme Patch Tuesday a été utilisé pour la première fois le troisième trimestre de l'année (Une année est une unité de temps exprimant la durée entre deux occurrences d'un évènement lié à la révolution de la Terre autour du Soleil.) 2004. Il est devenu synonyme du jour où les créateurs de logiciels mettent à disposition leurs mises à jour de sécurité. Quelques journalistes et quelques analystes parlent de Hack Wednesday, ou Exploit Wednesday, comme étant le jour d'après où les hackers (Hackers est un film américain réalisé par Iain Softley, sorti en 1995. Connu aussi sous les titres francophone de : Hackers - Les pirates du cyberespace (titre DVD) et Pirates (titre TV).) lancent des attaques en utilisant les vulnérabilités nouvellement découvertes et publiées.

Rigueur du calendrier

Dans la plupart des cas, les mises à jour de Microsoft et les correctifs sont seulement diffusés le jour du Patch Tuesday. Cependant, des cas où les mises à jour sont délivrées en dehors de cette date ne sont pas rares, et se produisent, en moyenne (La moyenne est une mesure statistique caractérisant les éléments d'un ensemble de quantités : elle exprime la grandeur qu'auraient chacun des membres de l'ensemble s'ils étaient tous identiques sans...), plusieurs fois par année.

Les critiques disent que le rapport entre les vulnérabilités choisies par Microsoft qui sont comblées chaque mois et l'importance de ces failles n'est pas suffisamment élevé. Il y a eu des cas où les vulnérabilités ont été jugées comme « hautement critiques », exploitées activement par des vers informatiques et qui n'avaient pas reçu de correctifs, alors que d'autres jugées moins sévères avaient été comblées lors du Patch Tuesday.

Conséquences en termes de sécurité

La conséquence la plus évidente est que les corrections de problèmes de sécurité ne sont pas proposées aux utilisateurs le plus rapidement, leurs systèmes peuvent donc être vulnérables durant une période allant jusqu'à un mois après la réalisation effective d'un correctif. Implicitement, cette politique suppose que la plupart des attaques soient le fait de méthodes de rétro-ingénierie plutôt que de failles du lendemain zero day. On ne sait pas dans quelles mesures cette prétention se vérifie.

Dans le passé (Le passé est d'abord un concept lié au temps : il est constitué de l'ensemble des configurations successives du monde et s'oppose au futur sur une échelle des temps centrée sur le présent. L'intuition du...), il y a eu des cas où les vulnérabilités ont été rendues publiques le lendemain ou quelques jours après permettant la propagation de vers informatiques. Ceci ne laisse pas à Microsoft suffisamment de temps (Le temps est un concept développé par l'être humain pour appréhender le changement dans le monde.) pour incorporer ses mises à jour, et donc théoriquement, une ouverture d'un mois pour que les attaquants et les vers informatiques exploitent le trou de sécurité avant qu'un patch ne résolve le problème.

Source: Wikipédia publiée sous licence CC-BY-SA 3.0. Vous pouvez soumettre une modification à cette définition sur cette page.

La liste des auteurs de cet article est disponible ici.
Page générée en 0.053 seconde(s) - site hébergé chez Amen
Ce site fait l'objet d'une déclaration à la CNIL sous le numéro de dossier 1037632
Ce site est édité par Techno-Science.net - Informations légales