A l'occasion de la divulgation de deux failles à "zéro jour" dans des produits Microsoft, le Zert (Zeroday Emergency Response Team) et la société Determina ont volé la vedette à Microsoft, publiant avant elle leur propre patch.
Pour se prémunir contre l'exploitation de vulnérabilités non encore corrigées par un éditeur, les entreprises doivent-elles désormais se tourner provisoirement vers ces solutions, dans l'attente d'un patch officiel ?
Avec seulement 15 000 téléchargements du patch fourni par le Zert corrigeant la faille critique VML d'Internet Explorer, il semble que les entreprises soient toujours aussi réticentes. Pour Elisabeth Conseil, experte en sécurité chez Telindus, "la grande majorité des entreprises ne prendront pas le risque de recourir à un patch développé par un tiers. Et nous ne leur recommanderions pas de le faire. Ce serait véritablement jouer avec le feu."
Pour Bernard Ourghanlian, directeur technique et sécurité de Microsoft, la réponse est là aussi catégorique : "d'une façon générale, nous ne cautionnons pas ces patchs, entre guillemets pirates. Les entreprises qui, malgré tout, souhaitent y recourir prennent leurs responsabilités. Nous considérons que ces patchs, sortis d'une manière un peu sauvage, ne sont pas testés avec le niveau requis."
Sans remettre en cause - en aucune façon - les compétences des membres du Zert ou de tout autre concepteur de rustines provisoires, les correctifs tiers présentent un risque dont les entreprises doivent impérativement tenir compte.
"Ne serait-ce que pour un patch officiel, nombre d'entreprises préfèrent attendre, en raison des impacts que ce dernier peut avoir sur les applications et la production", rappelle d'ailleurs Elisabeth Conseil.
| Des procédures de test moins approfondies |
Les tests représentent souvent la majeure partie du temps consacré par l'éditeur dans le processus de conception d'un correctif. "Le cycle normal de développement d'un patch est de 6 semaines. Au niveau de la création à proprement parler, cela ne nécessite que quelques heures. Tout le restant du temps est consacré aux tests. Si nous publions nos bulletins de sécurité avec un délai, c'est pour l'essentiel dans le but de nous assurer que la correction ne fait pas plus de mal que de bien", explique Bernard Ourghanlian.
Recourir à des correctifs tiers ne simplifie pas non plus la politique de déploiement des patchs des entreprises. Bien au contraire. Ainsi, lorsqu'un patch officiel est délivré, un utilisateur qui a patché provisoirement devra préalablement revenir en arrière sur tous les postes de travail concernés, avant de pouvoir enfin installer la version définitive. Cela représente donc un double travail.
Pour l'experte de Telindus, "avec la grande mode des publications sur le Web des "exploits", cela peut poser souci de ne pas bénéficier rapidement d'un correctif. Mais malgré tout, la course au patch est un faux débat. Si vous voulez être totalement sécurisé, vous ôtez Windows et vous mettez Linux", ironise-t-elle.
"Au moment de l'apparition du ver Sasser, nous étions en mission au sein d'une grande entreprise française. Le patch était publié, mais le véritable problème auquel nous nous sommes trouvés confrontés, plutôt que la durée de disponibilité, était la capacité, dans une structure éclatée, à le mettre à disposition et à le faire appliquer sur tous les postes dans un délai très court", poursuit-elle.
Se prémunir contre l'exploitation d'une vulnérabilité ne repose pas uniquement sur l'application d'un correctif, qu'il soit le fait d'un tiers ou de l'éditeur du logiciel incriminé.
| Des patchs qui complexifient les déploiements ultérieurs |
"Dans le cas d'une urgence caractérisée, nous publions d'une part une alerte en précisant à nos clients des actions à appliquer immédiatement. D'autre part, nous faisons le maximum pour sortir une correction le plus rapidement possible", déclare le directeur technique de Microsoft.
Pour Elisabeth Conseil, "les solutions alternatives reposant sur des outils comme les IPS ou des campagnes de sensibilisation auprès des utilisateurs peuvent également s'appliquer."
Qu'un tiers soit à même de publier un correctif plus rapidement que l'éditeur concerné peut parfois ternir l'image de ce dernier et laisser croire que le niveau de risque est mal évalué.
Pour Bernard Ourghanlian, "le problème d'image a clairement ses limites. Si nous faisions le patch en 2 jours et qu'il générait un bug sur les 250 à 300 millions machines sous Windows, ce serait pire que le pire des virus."
"Il ne faudrait pas que cela dédouane les éditeurs de publier des patchs dans des délais tenant compte de l'importance du risque. Mais je ne crois pas que ce puisse être le cas. Ce serait aberrant", conclut Elisabeth Conseil.
|
Dossier 
