Microsoft doit-il abandonner le Patch Tuesday ?
Dès sa mise en place, le mécanisme de mensualisation des correctifs Microsoft soulevait un certain nombre d'interrogations. Avec le temps, les « problèmes potentiels » (mais parfaitement prévisibles) de l'époque sont devenus de véritables casse-tête pour RSSI et administrateurs chargés du déploiement. « Should Microsoft change its patching process? » s'interroge Security News. Et de citer plusieurs témoins qui craignent l'accroissement de la fenêtre de vulnérabilité, la brusque montée en puissance des attaques ZDE, voir le mutisme de l'éditeur face à certains problèmes connus depuis très longtemps, défaut pouvant même parfois servir les intérêts de diffuseurs de spam, d'adwares publicitaires, de spywares marketing ou de codes parfois plus nocifs. Pourtant, Security News n'a pas tout à fait raison. Ou plus exactement, l'article ne va peut-être pas assez loin. Les arguments avancés par les RSSI interrogés ne représentent qu'une petite partie de la population cliente de Microsoft. A côté de ces responsables réseau, il existe un parc de machines considérablement plus important que le leur. C'est l'immense flotte d'ordinateurs appartenant aux petites « moyennes » entreprises, aux TPE, aux artisans, sans oublier les millions de systèmes détenus par les particuliers. Autant d'usagers qui ne bénéficient pas du savoir d'un responsable sécurité ou d'un administrateur compétent -du moins en permanence-, autant de cas pour qui la rapidité de réaction de Microsoft est souvent une question de vie ou de mort de l'entreprise ou des données personnelles. Que pèsent, face à ces dangers, les exigences de confort d'un CSO se plaisant à planifier un déploiement de correctifs, ou jouant avec ses diagrammes de Gant pour mieux évaluer les temps de tests de non-récession ? Chaque Windows qui s'infecte chez un particulier est AUSSI une menace pour l'entreprise. Chaque virus « Botnet » qui s'installe, chaque poste zombifié par un troyen spammeur, c'est un peu moins de bande passante générale, un peu plus de charge sur les passerelles de filtrage, un peu plus de risque d'infection « interne »... car ne perdons pas de vue que la machine « faisandée » du particulier qui tourne de 18H à 20 H en semaine, et de 10H à 22H le week-end, appartient souvent à la même personne qui, de 9H à 17H30, assure une fonction de comptable, de dactylo ou de DRH. Doit-on entonner le couplet des bonnes pratiques sur les risques de contamination liées à l'informatique personnelle ? Qu'importe. Chaque artisan qui se fait infecter est également un sous-traitant, un partenaire qui ne respectera pas ses délais, avec les répercutions financières que cela implique. Windows et Office ne peuvent donc souffrir du moindre retard dans la publication des correctifs, surtout si la plus petite rumeur de « Preuve de faisabilité » ou d'exploit se répand dans les milieux autorisés. En faisant de son noyau un outil « grand public », Microsoft doit en accepter les conséquences et les contraintes. Ce serait une erreur fondamentale que d'appliquer à ces logiciels les mêmes logiques de « patch cycles » que l'on observe dans le domaine des serveurs de messagerie ou des bases de données. Et encore, observait-on la semaine dernière, même chez Oracle, les choses ne sont pas aussi définies et stables. Pour preuve, le ton légèrement échauffé du récent dialogue Litchfield/ Kornbrust,. Ajoutons enfin que cette politique du « dogmatisme du patch métronomique » fait le jeu des « black hats » de tout crin. La situation fait penser à ces films des années 50, dans lesquels les perceurs de coffre opérent entre deux rondes de gardiens, protégés par le sacro-saint respect de la routine. Enfin, ce ronronnement rassurant camouffle une conséquence excessivement perverse. Comme le faisait remarquer Noam Eppel, ces fréquentes occurrences de « périodes de risque quasi-certain » habituent le monde informatique à vivre dans un bruit de fond permanent de menaces, situation qui a pour premier effet de banaliser la menace. De là, un certain endormissement de la vigilance, entrecoupé de réveils brutaux chaque fois qu'un Sasser ou qu'un Mydoom rappelle qu'un virus, ça peut être très douloureux. Le mal ne frappe peut-être pas les professionnels aguerris, les DSI qui savent « relativiser » et évaluer un risque. Mais comment faire passer ce message à tout ceux pour qui l'antivirus est un bouclier magique et le firewall intégré au routeur ADSL (celui qui se configure comme par miracle) le plus pure concentré de technologie sécuritaire ?
