Bonjour,
Le 17/11/2018 à 15:16, Frederic Bressy a écrit :
[...]
> Est-ce que cela arrive plus sur IE que Firefox ou autre navigateur?
>
> le code malicieux de la page visitée fonctionnera-t-il plus "aisément"
> selon la machine, pour le même navigateur?
Il n'y a pas de règle, je dirais que tous les navigateurs sont
impactés. Généralement, le code malicieux s'attaque à un navigateur ou
une version spécifique de navigateur. Donc celui le moins populaire a
plus de chance de passer à travers ... :)
En théorie, et si l'utilisateur ne fait pas d'erreur, une machine mise
à jour régulièrement ne devrait pas avoir de problème de ce type.
Généralement, les exploitations de failles de sécurité arrivent après
que les patchs soient dispos.
Le cas d'une faille de sécurité qui **soit exploitée**, et dont il
n'existe pas encore de patch, est assez rare. On appelle cela un
"zero-day", et c'est le cauchemars des administrateurs réseaux.
Cependant, depuis quelques années la politique de Microsoft aide à
l'exploitation des failles Zero-day.
- En effet, Microsoft a décidé depuis quelques années que les patchs ne
seraient disponibles que le 1er mardi de chaque mois (le "Patch
Tuesday"), afin de regrouper les patchs du mois précédent dans un
package unique.
- Cela peut simplifier la vie des utilisateurs, qui n'ont donc à
s'occuper (ou subir ...) de leurs mises à jour qu'une seule fois par mois
- Donc, les individus suspects attendent tout simplement le 1er mercredi
de chaque mois pour sortir leur "nouveautés". Cela laisse donc un mois
entier à ces cochonneries pour faire des ravages ... Soit,
potentiellement un mois de faille Zero-days !
- Il y a cependant des cas un peu exceptionnel, comme le virus
"Wannacry" de l'année dernière, où MS a sorti un patch pour Windows XP
juste après le début de l'infection, en devançant le "Patch Tuesday"
(les autres Windows avaient un patch de disponible depuis plusieurs mois).
Afin de lutter avec plus de rapidité contre les patchs non-installés,
de plus en plus d'applications non-MS installent leur propre système de
mise à jour en tant que service/daemon Windows. Et parfois, sans
demander l'avis à l'utilisateur:
- firefox
- google chrome
- adobe flash
- adobe acrobat
- et j'en passe ...
C'est une idée qui vaut ce qu'elle vaut. Mais je vois au moins 2
inconvénients :
- cela pourrit la machine de softs qui tournent en arrière plan, et qui
consomment RAM et CPU
- cela fait un programme de plus qui peut accéder aux données perso de
l'utilisateur, et qui **est conçu** pour se connecter à un serveur sur
Internet. A vous de conclure ...
- et puis, les nouvelles versions qui sont "poussées" sur les machines
peuvent venir avec un nouveau contrat de licence, qui permet au
développeur d'imposer de nouvelles règles. Généralement, pour piquer des
données à l'utilisateur ...
Personnellement, je préfère le système de Linux : Tous les packages
installés ont une source unique, et le déclenchement d'une mise à jour
met TOUT à jour : Du kernel à l'interface graphique, d'une "simple" libc
à firefox / openoffice, etc ...
Dans tous les cas, il reste un problème : Quand est-ce que les patchs
sont appliqués ? Un patch peut-être disponible depuis des mois, mais non
appliqué. Donc la machine est vulnérable
- L'utilisateur particulier hésite généralement à installer les patchs,
parce qu'il n'a aucune idée de ce qu'il va se passer après. Beaucoup de
personnes disent "mon ordi marchait mieux avant que j'installe le
patch". Parfois c'est le cas de nouveaux patchs incompatibles avec des
vieux softs installés en parallèle. Parfois aussi c'est le patch qui
fait une boulette ...
- L'utilisateur professionnel lui doit subir les patchs qui sont décidés
par son IT. C'est systématiquement la frustration d'une machine super
lente à s'arrêter ou redémarrer, le temps d'installer les patchs. Et les
mauvaises surprises au redémarrage. La dernière en date pour moi : Mon
environnement "Cygiwn/POSIX" Windows qui ne redémarre pas après
l'application de patchs, alors que j'utilise cela en permanence ...
Réinstallation en urgence, super ...
- L'administrateur réseau lui est coincé entre le marteau et l'enclume :
Si il n'installe pas les patchs, sont parc est à risque. Donc son
management ne va pas être content ...
Si il installe les patchs, les applications "métier" de ses utilisateurs
ne vont pas marcher, et les utilsiateurs vont râler ...
Donc il passe des heures à tester des patchs dans toutes sortes de
configurations, et doit les tester avec différents outils utilisés
officiellement par la société. Mais bien sûr, cela ne couvre pas tous
les corps de métiers ...
Cordialement,
Olivier
--
~~~~~~~ _____/\_____ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix / _ \/ _ \ Olivier Allard-Jacquin
/ / \ / \ \ Web: http://olivieraj.free.fr/
/___/ / \ \___\ Mail: olivieraj@???
~~~~ ///// ///\\\ \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!
