Google a dévoilé au grand jour deux failles de Windows. Ces vulnérabilités n’ont pas été corrigées par Microsoft si bien qu’une entreprise tierce propose un correctif en attendant la publication d’une solution. Faut-il l’installer ? Pour un expert en sécurité, ce n’est pas prudent.
La situation est vraiment unique. Google a volontairement rendu public des failles de Windows afin de faire réagir Microsoft. Le géant du logiciel ne semble pas vraiment inquiet de la situation puisque rien n’a été fait pour le moment.
Windows, ses failles sont corrigées par des entreprises tierces
Les utilisateurs de Windows se retrouvent donc dans une situation de danger potentiel. Une solution tierce a cependant été publiée. Signée oPatch, elle est accompagnée de cette déclaration.
« Ce correctif permet de garder les utilisateurs sécurisé jusqu’à ce que Microsoft libère une mise à jour officielle »
Il faut bien avouer que rien ne semble suffisamment important, même des questions de sécurité, pour changer les habitudes de Microsoft. Le mastodonte a son planning. Les correctifs de sécurité sont proposés dans la cadre du Patch Tuesday. En sachant que celui du mois de février a été annulé, le prochain rendez-vous est fixé au 14 mars prochain.
Du coup les révélations de Google mettent les utilisateurs Windows dans une position délicate car Microsoft ne veut pas réagir rapidement. Dans un tel contexte, les administrateurs systèmes et les responsables informatiques sont tentés de se rabattre sur des correctifs tiers comme celui proposé par oPatch. Pour un expert en sécurité, ce n’est pas le bon choix.
Windows et les patchs non officiels
Interrogé sur la question Chris Goettl, chef de produit chez Ivanti ,ne remet pas en doute la pertinence du patch d’oPatch. Le problème est ailleurs.
En fait, aucun souci ne se pose si le produit visé a été abandonné (Windows XP par exemple) ou Open-source. Ici ce n’est pas le cas. L’application en question s’accompagne d’une garantie et de conditions (Clufs ). Le déploiement d’un patch non officiel peut venir perturber cette relation entre l’éditeur et l’utilisateur. Il y a beaucoup de zones d’ombre dans cette situation.
Mieux encore, le patch que va proposer Microsoft s’appuie sur un contexte d’un OS non sécurisé sans avoir eu de solution. Une modification de l’existant peut alors perturber le processus de mise à jour. Il est expliqué
“Si quelque chose arrive avec des versions de fichiers inattendus, Microsoft sera résistant à soutenir la prise en charge de l’OS. La firme attendra un retour à la normale en clair la présence de fichiers dits de « production »”
Pour bien comprendre l’expert ajoute
“Une fois que Microsoft publie son correctif, il sera installé par-dessus les changements d’ 0Patch. Si des problèmes se produisent, qui est responsable ?”
Chris Goettl ajoute que pour éviter une telle situation, il est préférable de ne pas installer ce correctif non officiel surtout qu’une solution manuelle est possible. En attendant le prochain Patch Tuesday, il conseille un blocage des connexions SMB sortantes (ports TCP 139 et 445 et les ports UDP 137 et 138) à partir du réseau local vers le WAN.