Pour son Tueday Patch de décembre, Microsoft établit un nouveau record avec pas moins de 17 mises à jour. Deux d'entre elles corrigent des failles déjà exploitées par les pirates. Andrew Storms, responsable des questions de sécurité chez nCircle se dit même étonné par ce nombre : « Je m'attendais à une dizaine de mises à jour au maximum, mais pas à 17 ! » a-t-il déclaré. C'est aussi une mise à jour de plus qu'en octobre 2010. Quant aux 40 correctifs, c'est, selon Microsoft, 9 de moins que le record établi en octobre dernier, mais 6 de plus que les plus gros mois d'octobre 2009, de juin et août de cette année. Le nombre total de bulletins émis cette année - 106 - est aussi un record, de même que les 266 vulnérabilités corrigées. Mike Reavey, directeur du Microsoft Security Response Center (MSRC), défend dans un blog le rythme de correctifs livrés en 2010. « Celui-ci est dû en parti à la légère augmentation des rapports de vulnérabilité sur les produits Microsoft et au fait que l'éditeur assure le suivi de ses produits sur des périodes allant jusqu'à dix ans,» écrit-il. «Les anciennes versions sont l'objet d'attaques utilisant des méthodes plus récentes, et ce facteur est aggravé par une augmentation globale de la vulnérabilité, d'où un nombre plus élevé de rapports. »

Un nombre élevé pour une fin d'année

Néanmoins, c'est la valeur élevée du mois de décembre qui a attiré l'attention d'Andrew Storms. «Le nombre est assez surprenant, » estime-t-il en effet. « Au cours des trois dernières années, Microsoft n'a jamais publié plus de 9 mises à jour ce mois-là, » a-t-il comptabilisé. « Certes, Microsoft ne se fie pas nécessairement à ce qui se passe ailleurs, mais le fait est que de nombreuses entreprises n'appliqueront pas la plupart de ces correctifs avant le premier jour de l'année à venir, » a-t-il ajouté. D'une part, les entreprises informatiques sont en effectifs réduits ce mois-ci - à cause des jours fériés et des vacances -, mais par ailleurs, elles ne prendront pas le risque de devoir affronter les problèmes qui pourraient éventuellement résulter de ces correctifs à un moment de l'année très important pour leur entreprise. « Ne rien faire est pour elles un moindre risque, » a déclaré Andrew Storms. « C'est particulièrement vrai pour les entreprises du secteur financier par exemple, qui ont verrouillé leurs systèmes depuis début novembre. Beaucoup interdisent d'effectuer des mises à jour les deux derniers mois de l'année pour s'assurer que leur matériel continuera à fonctionner, » a-t-il expliqué.

Des mises à jour très importantes pour Windows, Exchange et Sharepoint

Deux des 17 mises à jour sont qualifiées de « critiques » par Microsoft, soit la note la plus élevée en terme de menace dans son échelle de gravité à 4 niveaux. Les 14 autres sont classées « importantes », soit au deuxième rang, tandis que la dernière est considérée comme « modérée. » Dix failles pourraient être mises à profit par des hackers pour injecter à distance du code malveillant sur des PC, indique par ailleurs Microsoft dans sa notification préliminaire habituelle. L'éditeur de Redmond qualifie souvent les failles permettant l'exécution de code à distance - les plus dangereuses - d'« importantes », dans le cas où les éléments vulnérables ne sont pas activés par défaut, ou lorsque d'autres circonstances atténuantes, comme des mesures défensives de type ASLR et DEP, peuvent protéger certains utilisateurs. « Parmi les correctifs du prochain Tuesday Patch, on trouvera celui qui corrige une vulnérabilité déjà décrite dans toutes les versions d'IE, » a déclaré Mike Reavey. Début novembre, Microsoft dévoilait un bug «zero-day » dans IE et confirmait que les attaques exploitant la faille étaient déjà en cours. Mais l'éditeur n'avait pas été en mesure de développer et de tester un patch dans les temps pour l'inclure dans sa mise à jour de sécurité mensuelle, prévue six jours après. La mise à jour d'IE à paraître est l'une des deux qualifiées de critique, et sera applicable à toutes les versions du navigateur, à l'exception peut-être d'IE9, toujours en preview.

Crédit photo D.R.

[[page]]

« Microsoft a également l'intention de corriger la dernière des quatre vulnérabilités de Windows utilisées par le ver Stuxnet  pour infiltrer les systèmes de contrôle industriel, » a précisé Mike Reavey. D'après l'éditeur, le bug, qui permet aux attaquants de s'octroyer des privilèges d'accès sur le PC infecté, n'a pas été exploité par d'autres malwares que Stuxnet. Cependant, le code d'exploitation de cette vulnérabilité était disponible sur Internet pendant plusieurs semaines.

Sur les 17 mises à jour, 13 concernent une ou plusieurs versions de Windows, 2 corrigent Office et Microsoft Works, et les 2 dernières comblent des failles dans Exchange et SharePoint Server respectivement. Andrew Storms s'interroge sur l'update d'Exchange. «Chaque fois qu'une mise à jour concerne l'e-mail, on est forcément préoccupé, parce que le serveur est confronté au monde extérieur, et qu'il peut y avoir des vecteurs d'attaque facile à exploiter. Au contraire, SharePoint est généralement très bien protégé à l'intérieur du réseau, » dit-il.

Des mises à jour délicates à installer en décembre

La mise à jour nommée simplement « Bulletin 2 » par Microsoft a également attiré l'attention d'Andrew Storms. « Celle-ci concerne toutes les versions de Windows, mais elle est qualifiée de « critique » pour les nouvelles éditions seulement, notamment Windows Vista, Seven et Server 2008. Le même bulletin est qualifié d'« important » pour les anciennes versions des systèmes Windows XP et Server 2003. » La taille du correctif de décembre sera aussi difficile à gérer pour les administrateurs, à cause de certains évènements particuliers, à savoir la publication des télégrammes diplomatiques américains confidentiels par WikiLeaks et les représailles qui ont suivi sous forme d'attaques par déni de service (DDoS) contre des sociétés comme Amazon, MasterCard et PayPal. «Les administrateurs ont déjà suffisamment à faire pour se protéger des attaques DDoS contre WikiLeaks, dont n'importe qui pourrait très rapidement devenir la cible. Voilà en plus que les entreprises doivent aussi appliquer ce Tuesday Patch de Microsoft et ses 17 mises à jour, » a déclaré Paul Henry, analyste en sécurité informatique chez Lumension. « Il y a déjà fort à faire à part ce Tuesday Patch, » a confirmé Andrew Storms. «Les attaques continues contre ou pour WikiLeaks. Et puis il y a toujours quelques « zero-days » qui surgissent aux alentours de Noël ! » Celui-ci ne doute pas que Microsoft proposera des solutions de contournement pour parer aux bugs les plus flagrants corrigés la semaine prochaine, de façon à permettre aux entreprises et aux utilisateurs de se protéger, s'ils n'étaient pas en mesure d'appliquer les mises à jour de sécurité. « Microsoft a été assez bon dans ce domaine dernièrement, » a déclaré Andrew Storms. « Je m'attends donc à ce que l'éditeur propose une série de mesures probantes pour limiter les risques. » Les 17 mises à jour seront livrées vers 13h00 (côte Est des États-Unis) le 14 décembre.