Correction du processus de mise à jour de sécurité

Des recherches récentes montrent que l'utilisateur typique de PC doit installer une mise à jour de sécurité environ tous les cinq jours afin d'utiliser en toute sécurité Microsoft Windows et tous les programmes tiers qui s'exécutent généralement dessus. En réponse, une entreprise danoise de sécurité informatique a annoncé qu'elle lancerait bientôt un nouveau service gratuit qui automatiserait silencieusement l'installation de mises à jour de sécurité pour des dizaines de produits logiciels les plus couramment utilisés.





Le chiffre sur cinq jours provient d'informations recueillies par Secunia, qui s'est penchée sur les statistiques de quelque deux millions d'utilisateurs de son logiciel gratuit. Inspecteur de logiciels personnels (PSI), un programme conçu pour alerter les utilisateurs sur les logiciels obsolètes et non sécurisés exécutés sur leurs machines. Secunia a découvert que l'utilisateur type de Microsoft Windows dispose de plus de 66 programmes de plus de 22 fournisseurs de logiciels différents sur son ordinateur.

Même si la version actuelle du logiciel PSI inclut des liens vers les dernières mises à jour pour chaque application obsolète, de nombreux utilisateurs trouvent encore le processus de mise à jour trop lourd, explique Thomas Kristensen, directeur de la sécurité de Secunia.

La plupart des utilisateurs ne veulent pas être dérangés par toutes ces mises à jour, dit Kristensen. Même lorsque nous leur fournissons les liens de téléchargement appropriés pour les mises à jour, beaucoup d'utilisateurs disent : « Non, je ne veux pas cliquer sur toutes ces choses. » Nous aimerions réduire le nombre d'utilisateurs qui quittent le processus de correction à ce stade.



Il existe de nombreuses preuves suggérant que l'utilisateur moyen ne peut pas se donner la peine d'installer les mises à jour de sécurité en temps opportun, à moins que le processus ne soit plus ou moins automatisé. Dans une étude publiée l'été dernier, des chercheurs de Google Suisse et du Ecole polytechnique fédérale de Suisse ont découvert que les navigateurs qui incluaient des mises à jour automatiques et silencieuses, tels que Firefox de Mozilla et Chrome de Google, fonctionnaient bien mieux et plus rapidement pour fournir des correctifs que le mécanisme d'installation manuelle utilisé par les navigateurs de concurrents comme Microsoft, Opera et Apple.

Alors que les pirates s'attaquent de plus en plus aux failles de sécurité des logiciels avant que les fournisseurs ne puissent envoyer des correctifs pour les colmater, la mise à jour rapide des correctifs est plus vitale que jamais, déclare Wolfgang Kandek, directeur de la technologie chez Qualys , une société de sécurité informatique basée à Redwood Shores, en Californie, qui aide les entreprises à gérer le déploiement de correctifs. Kandek dit que Microsoft a fait de grandes percées avec Windows XP Service Pack 2, qui a incité les utilisateurs à activer les mises à jour automatiques pour le système d'exploitation. Mais il ajoute que trop peu de grands fabricants de logiciels tiers incluent des mécanismes de mise à jour automatique similaires.

Prenez les anciennes versions du logiciel d'Adobe, qui n'ont pas de composant de mise à jour, dit Kandek. Les utilisateurs sur ceux-ci resteront simplement à la version qu'ils utilisent et ne mettront jamais à jour. Alan Paller, directeur de recherche pour le Bethesda, MD-based SANS Institute , un groupe de formation à la sécurité informatique, affirme que Microsoft a envisagé il y a de nombreuses années de proposer son service Windows Update à des fournisseurs de logiciels tiers comme moyen de mise à jour, mais a finalement abandonné l'idée en raison de problèmes de responsabilité légale.



Kristensen de Secunia affirme que l'outil de son entreprise évitera tout problème de responsabilité en téléchargeant les correctifs exactement de la même manière pour chaque application qu'un utilisateur ordinaire le ferait. Pourtant, dit-il, tous les fournisseurs de logiciels ne sont pas susceptibles de faciliter les choses.

Les problèmes de responsabilité surviennent si nous commençons à modifier les correctifs ou à les mettre dans notre propre référentiel de mises à jour, explique Kristensen. Une chose que nous pouvons garantir, c'est que cela ne fonctionnera pas pour 100 % des logiciels. Nous serions ravis de le faire, mais cela nécessiterait une coopération à 100 % de la part de nombreux fournisseurs qui n'ont pas un bon historique de cela.

Selon Paller, le principal défi de Secunia est d'attirer les utilisateurs qui ne connaissent pas suffisamment la sécurité pour savoir qu'ils doivent déployer des mises à jour tierces. C'est pourquoi je pense qu'un service comme celui-ci - s'il doit avoir un impact décent - doit être proposé par le biais des [fournisseurs d'accès Internet], dit-il. Mon objectif serait de dire que si vous allez être un FAI, vous devez fournir un service comme celui-ci.



L'outil de correctifs de Secunia aura probablement besoin de tests sérieux avant de pouvoir être déployé à une si grande échelle. Secunia a déjà adapté la version d'entreprise de PSI pour déployer des mises à jour tierces, mais faire de même pour les ordinateurs grand public serait un défi bien plus grand, en particulier pour faire fonctionner le logiciel sur toutes les différentes implémentations en langues étrangères de ces produits tiers. .

L'objectif est de rendre cela évolutif et légal, et pour ce faire, nous devrons, au moins dans un premier temps, donner la priorité aux produits que nous corrigeons en fonction de ceux qui sont le plus largement installés, car nous ne pourrons en aucun cas faire 13 000 applications à la fois, dit Kristensen.

Secunia vise à avoir une version préliminaire disponible en avril pour les utilisateurs experts de PC, et une version bêta pour une consommation plus publique quelques mois après cela.



cacher