Ivanti partage dans cet avis d’expert ses prévisions pour le Patch Tuesday d’octobre, dans lesquelles il contextualise l’importance des mises à jour de façon générale et plus particulièrement au vu des évènements récents et de certaines vulnérabilités.
Les cyberattaques continuent à sévrir dans le monde entier et poursuive leur exploitation de la vulnérabilité EternalBlue v1SMB. Des annonces récentes parlent de l’introduction d’un cheval de Troie dans un système bancaire en Europe et au Japon, et de l’attaque d’un système de réservation d’hôtel complexe en Europe et au Moyen-Orient. Dans les deux cas, le but de l’attaque était de collecter des références d’authentification utilisateur (nom de connexion et mot de passe).
Aux Etats-Unis, la récente faille de sécurité Equifax fait les gros titres en matière de sécurité. Tous les détails n’ont pas encore été communiqués, mais il s’agissait clairement d’une faille dans un processus de sécurité, qui a affecté 145 millions de personnes. La vulnérabilité exploitée se trouvait dans l’application Apache Struts, utilisée par le portail Web de l’entreprise. Un correctif pour cette vulnérabilité a été publié le 6 mars ; le premier signalement d’un problème dans Equifax n’a eu lieu en interne qu’en mai. Equifax avait mis en place une stratégie d’application trimestrielle des correctifs, qui l’a clairement desservi.
Nous recommandons à chacun de réviser sa stratégie d’application des correctifs. Il faut se demander, au vu des événements récents, si l’on est prêt à accepter ces risques pour nos systèmes, critiques ou non. En appliquant les correctifs tous les trimestres, peut-on se permettre d’exécuter des systèmes sans correctif jusqu’à trois mois, en attendant le démarrage du cycle de correctifs suivant ? Ceux qui ont mis en place des contrôles pour limiter les risques doivent au moins penser aux conséquences. Les fournisseurs sont devenus bien plus efficaces pour réagir aux vulnérabilités de leurs logiciels. Maintenant, il en va de la responsabilité des professionnels de la sécurité : ils doivent s’assurer que nous appliquons les correctifs et protégeons nos systèmes au bon moment.
Pour conclure, il convient de s’attarder sur la vulnérabilité BlueBorne. Cette vulnérabilité, initialement signalée par la sécurité d’Armis, se trouve dans le protocole Bluetooth. Cela peut poser problème, parce que Bluetooth s’exécute avec un niveau de privilèges élevé pour se connecter efficacement à une large gamme de périphériques. Microsoft et Google ont publié des correctifs, mais il leur faudra peut-être du temps pour atteindre les périphériques finaux, il faut donc être conscients du problème. Apple iOS 10 n’est pas vulnérable. Il peut être judicieux d’envoyer un avertissement aux utilisateurs et de leur demander d’éteindre le Bluetooth sur leurs périphériques mobiles, sauf en cas de nécessité absolue.
Prévisions pour octobre :
- Ce mois-ci, les mises à jour d’OS Microsoft habituelles sont à prévoir. Après la publication de YUGE pour Office le mois dernier (51 articles de base de connaissances) et la publication de .NET, nous espérons qu’il y aura peu de correctifs en dehors des mises à jour d’OS habituelles.
- Mozilla vient de publier une nouvelle version majeure de Firefox (la semaine dernière), alors il n’y aura sans doute pas de nouvelle version la semaine prochaine.
- L’histoire tend à se répéter, il faut donc s’attendre comme d’habitude à une mise à jour d’Adobe Flash.
- Une mise à jour CPU d’Oracle. Ils publient des mises à jour tous les trimestres et c’est le premier mois de la période, donc Oracle va publier le mardi 17 octobre des mises à jour pour tous ses logiciels, y compris Java. Nous verrons peut-être également une annonce concernant le futur de la prise en charge de Solaris et SPARC. Oracle a supprimé début septembre un grand nombre de postes parmi son personnel, à la fois pour les logiciels et pour le matériel.