Accueil / Actualités / Logiciels / Windows / Windows et ses failles de sécurité, attention aux correctifs non officiels
Windows de Microsoft
Système d'exploitation Windows de Microsoft

Windows et ses failles de sécurité, attention aux correctifs non officiels

Google a dévoilé au grand jour deux failles de Windows. Ces vulnérabilités n’ont pas été corrigées par Microsoft si bien qu’une entreprise tierce propose un correctif en attendant la publication d’une solution. Faut-il l’installer ? Pour un expert en sécurité, ce n’est pas prudent.

Microsoft - Patchs de sécurité

La situation est vraiment unique. Google a volontairement rendu public des failles de Windows afin de faire réagir Microsoft. Le géant du logiciel ne semble pas vraiment inquiet de la situation puisque rien n’a été fait pour le moment.

Windows, ses failles sont corrigées par des entreprises tierces

Les utilisateurs de Windows se retrouvent donc dans une situation de danger potentiel. Une solution tierce a cependant été publiée. Signée oPatch, elle est accompagnée de cette déclaration.

« Ce correctif permet  de garder les utilisateurs sécurisé jusqu’à ce que Microsoft libère une mise à jour officielle »

Il faut bien avouer que rien ne semble suffisamment important, même des questions de sécurité, pour changer les habitudes de Microsoft. Le mastodonte a son planning. Les correctifs  de sécurité sont proposés dans la cadre du Patch Tuesday. En sachant que celui du mois de février a été annulé, le prochain rendez-vous est fixé au 14 mars prochain.

Du coup les révélations de Google mettent les utilisateurs Windows dans une position délicate car Microsoft ne veut pas réagir rapidement. Dans un tel contexte, les administrateurs systèmes et les responsables informatiques sont tentés de se rabattre sur des correctifs tiers comme celui proposé par oPatch. Pour un expert en sécurité, ce n’est pas le bon choix.

Windows et les patchs non officiels

Interrogé sur la question Chris Goettl, chef de produit chez Ivanti ,ne remet pas en doute la pertinence du patch d’oPatch. Le problème est ailleurs.

En fait, aucun souci ne se pose si le produit visé a été abandonné (Windows XP par exemple) ou Open-source. Ici ce n’est pas le cas. L’application en question s’accompagne d’une garantie et de conditions (Clufs ). Le déploiement d’un patch non officiel peut venir perturber cette relation entre l’éditeur et l’utilisateur. Il y a beaucoup de zones d’ombre dans cette situation.

Mieux encore, le patch que va proposer Microsoft s’appuie sur un contexte d’un OS non sécurisé sans avoir eu de solution. Une modification de l’existant peut alors perturber le processus de mise à jour. Il est expliqué

« Si quelque chose arrive avec des versions de fichiers inattendus, Microsoft sera résistant à soutenir la prise en charge de l’OS. La firme attendra un retour à la normale en clair la présence de fichiers dits de « production » »

Pour bien comprendre l’expert ajoute

« Une fois que Microsoft publie son correctif, il sera installé par-dessus les changements d’ 0Patch. Si des problèmes se produisent, qui est responsable ? »

Chris Goettl ajoute que pour éviter une telle situation, il est préférable de ne pas installer ce correctif non officiel surtout qu’une solution manuelle est possible.  En attendant le prochain Patch Tuesday, il conseille un blocage des connexions SMB sortantes (ports TCP 139 et 445 et les ports UDP 137 et 138) à partir du réseau local vers le WAN.

Laisser une réponse

Votre adresse email ne sera pas publiéeLes champs requis sont surlignés *

*

x

Check Also

Microsoft Security Essentials

Microsoft Security Essentials, un antivirus aussi performant qu’Avast et AVG

Dans sa dernière étude, AV-Test annonce que la solution Antivirus native de ...

Etude Avast PC Trends Report – Q1 2017

Windows XP a plus d’utilisateurs que ceux de Windows Vista et Windows 8 additionnés

Dans son rapport  Trends Report Q1 2017, Avast confirme que Windows 7 ...

Processeur Ryzen 7 series d'AMD

Windows 7, Microsoft interdit les processeurs Ryzen et Kaby Lake

Aussi surprenant que cela puisse paraitre, Microsoft annonce l’arrivée d’une erreur sous ...

banner