Qu’est-ce que le Patch Tuesday de Microsoft ?
Si vous utilisez un ordinateur Windows, vous connaissez probablement les fenêtres contextuelles ou notifications habituelles vous indiquant que votre appareil doit redémarrer pour terminer l'installation des mises à jour ; ou vous demandant de planifier le redémarrage à un moment plus opportun. Ces mises à jour sont généralement publiées par Microsoft lors d'une journée spéciale connue sous le nom dePatch mardi.
Patch Tuesday (également connu sous le nom de Update Tuesday) est un terme informel utilisé pour désigner le moment où Microsoft publie régulièrement des correctifs logiciels pour ses produits logiciels tels que le système d'exploitation Windows, Microsoft Office et d'autres applications logicielles Microsoft. Le Patch Tuesday a lieu le deuxième, et parfois le quatrième mardi de chaque mois en Amérique du Nord.
Microsoft n’a pas de garantie quant à l’heure à laquelle ces correctifs seront publiés. Mais la tendance au fil des années est que les mises à jour arrivent généralement vers 10 heures du matin, heure normale du Pacifique (UTC−8), mais elles peuvent être publiées plus tard dans la journée. Les mises à jour apparaissent dans le Centre de téléchargement avant d'être ajoutées à Windows Update (WU). Ces correctifs sont publiés pour corriger les bogues de son application logicielle qui pourraient entraîner des vulnérabilités et améliorer la sécurité des applications Microsoft. La plupart de ces vulnérabilités sont découvertes par des chercheurs externes qui les signalent de manière responsable à Microsoft via le Programme de primes de bogues Microsoft . Centre de réponse de sécurité Microsoft enquête sur les vulnérabilités signalées et propose des solutions pour aider à atténuer les risques de sécurité.
L'idée principale derrière Patch Tuesday est de rendre le processus de mise à jour aussi prévisible que possible afin d'éviter aux administrateurs Windows d'avoir à gérer des mises à jour publiées selon un calendrier irrégulier. Cela leur permet de planifier leur test et leur installation. D'autres sociétés telles qu'Adobe et Oracle ont adopté le même calendrier du Patch Tuesday pour faciliter la gestion des correctifs pour les administrateurs système.
Des mises à jour plus petites sont souvent publiées à d’autres moments (hors bande), surtout si elles sont urgentes et critiques.
Article similaire: Meilleurs outils de gestion des pièces
Comment tout a commencé
Windows 98 a été le premier système d'exploitation Microsoft à proposer la possibilité de vérifier et d'installer les mises à jour du système d'exploitation. Au cours de cette période, les mises à jour des produits Microsoft ont été publiées de manière irrégulière et aléatoire jusqu'en octobre 2003, date à laquelle le deuxième mardi du mois a été choisi comme « jour de mise à jour », devenu ce que l'on appelle désormais dans l'industrie le Patch Tuesday.
Le processus de publication et de distribution irrégulière de ces correctifs logiciels coûte à Microsoft et aux organisations beaucoup d'argent, de temps et d'efforts, en particulier les organisations disposant d'un grand nombre de machines Windows. Vous pouvez imaginer à quel point il peut être long de mettre à jour manuellement chaque ordinateur Windows séparément. Microsoft a introduit le « Patch Tuesday » pour réduire le coût de distribution des correctifs. La nouvelle approche permet aux correctifs de sécurité de s'accumuler sur un mois et de les distribuer tous le deuxième mardi de chaque mois.
Avant l'avènement du Patch Tuesday, les mises à jour étaient publiées dès qu'elles étaient prêtes (expédiées quand elles étaient prêtes) sans avertissement ni annonce préalable. Même si cela permettait de publier les correctifs presque immédiatement, cela représentait une charge pour les administrateurs Windows et les utilisateurs qui devaient parfois redémarrer leur ordinateur plusieurs fois pour appliquer de nouvelles mises à jour, plutôt qu'un seul redémarrage pour appliquer une mise à jour cumulative.
Selon Microsoft, mardi a été choisi pour deux raisons :
- Fournir aux utilisateurs un jour (lundi) pour gérer les problèmes inattendus qui auraient pu survenir au cours du week-end précédent.
- Pour donner aux utilisateurs suffisamment de temps pour tester les mises à jour et les déployer sur les appareils, puis répondre à tout problème pouvant survenir pendant le reste de la semaine.
Pourquoi c'est important?
Le Patch Tuesday est devenu un gros problème pour les utilisateurs et les administrateurs Windows. Obtenir les dernières mises à jour de sécurité pour vos ordinateurs de bureau et vos serveurs devrait être quelque chose à espérer chaque mois. Ces mises à jour sont importantes et critiques pour la santé globale de vos systèmes et serveurs. Chaque organisation est encouragée à appliquer les correctifs lors du Patch Tuesday. Pourquoi est-ce important?
Les mises à jour logicielles sont importantes pour la santé globale de vos systèmes. Une sécurité renforcée est vitale pour toutes les organisations, en particulier celles qui utilisent des systèmes qui stockent ou ont accès à des données sensibles telles que des informations personnelles. Les systèmes d'exploitation et autres applications qui ne sont pas mis à jour sont susceptibles de devenir vulnérables aux cyberattaques. Les attaquants exploitent souvent des systèmes obsolètes : ils exploitent des vulnérabilités pour lesquelles des correctifs sont disponibles mais non appliqués. Pour cette raison, Microsoft recommande aux clients de faire de l’application des correctifs une priorité. Les correctifs peuvent corriger des bugs potentiels et des failles de sécurité tout en augmentant l'efficacité des systèmes d'exploitation et des applications logicielles qui s'exécutent sur ceux-ci.
Les mises à jour de sécurité les plus importantes et les correctifs permettant de corriger les bogues ou vulnérabilités critiques sont publiés le Patch Tuesday. Même les vulnérabilités du jour zéro sont également corrigées lors du Patch Tuesday, à moins que la vulnérabilité ne soit critique et hautement exploitée, auquel cas une mise à jour de sécurité hors bande est publiée pour résoudre cette vulnérabilité particulière. De nombreux événements d'exploitation sont observés peu de temps après la publication d'un correctif. En fait, le lendemain du Patch Tuesday est souvent appelé Exploit Wednesday. Les attaquants ont trouvé un moyen de procéder à une ingénierie inverse des correctifs pour identifier les vulnérabilités sous-jacentes, puis de créer des méthodes pour exploiter la vulnérabilité. Ils profitent ensuite de cette opportunité pour attaquer les ordinateurs qui n’ont pas mis à jour les correctifs de la veille.
C'est le manque de correctifs qui a permis au Attaque du rançongiciel WannaCry qui a eu lieu en mai 2017 pour se propager si rapidement. Bien que Microsoft ait déjà publié des correctifs pour corriger la vulnérabilité WannaCry, une grande partie de sa propagation provenait d'organisations qui n'avaient pas appliqué le correctif ou qui utilisaient des systèmes Windows plus anciens qui avaient dépassé leur fin de vie. Ces correctifs sont essentiels à la cybersécurité d’une organisation, mais nombre d’entre eux n’ont pas été appliqués en raison de la nécessité de ne pas interrompre les opérations.
Comment savez-vous ce qui est publié ?
Microsoft publie des mises à jour liées à la sécurité pour Windows (éditions de bureau et serveur), Office et les produits associés le deuxième mardi de chaque mois. Le quatrième mardi de chaque mois est réservé aux mises à jour non liées à la sécurité. Parfois, Microsoft publie ce qu'on appelle une mise à jour « hors bande » (mise à jour publiée un jour en dehors de la routine normale de mise à jour du mardi) pour des problèmes de sécurité critiques. En règle générale, cela se produit uniquement lorsqu’un problème de sécurité est extrêmement grave et est activement exploité dans la nature.
Le Patch Tuesday est également connu au sein de Microsoft sous le nom de version « B », pour le distinguer des versions « C » et « D » qui apparaissent respectivement au cours des troisième et quatrième semaines du mois. Les versions « C » et « D » contiennent uniquement des mises à jour non liées à la sécurité et sont destinées à fournir une visibilité et des tests sur les correctifs non liés à la sécurité prévus pour la version Update Tuesday du mois prochain. Ces mises à jour sont ensuite expédiées dans le cadre de la version « B » ou Update Tuesday du mois suivant.
Chaque mise à jour de sécurité publiée par Microsoft (que ce soit lors du Patch Tuesday ou en tant que version hors bande) est accompagnée de Avis de sécurité et bulletins qui sont publiés par le Centre de réponse de sécurité Microsoft (MSRC) à peu près au même moment où les mises à jour sont publiées. Le MSRC publie ces documents dans le cadre des efforts continus visant à aider les utilisateurs à gérer les risques de sécurité et à protéger leurs systèmes. Les avis et bulletins de sécurité comprennent les éléments clés suivants :
- Résumés des bulletins de sécurité : Fournir un aperçu de haut niveau des bulletins de sécurité publiés chaque mois par le MSRC. Les résumés fournissent des informations pour aider les utilisateurs à prioriser les mises à jour de sécurité mensuelles.
- Bulletins de sécurité : fournissez une description des mesures d'atténuation disponibles ainsi que des articles de la base de connaissances (KB) contenant des informations supplémentaires sur les mises à jour.
- Avis de sécurité : corrigez les modifications de sécurité qui peuvent ne pas nécessiter de bulletin de sécurité, mais qui peuvent néanmoins affecter la sécurité globale des utilisateurs. Chaque avis est accompagné d'un article de la base de connaissances Microsoft pour fournir des informations supplémentaires sur les mises à jour fournies avec la version de l'avis.
- Avis de recherche sur les vulnérabilités Microsoft (MSVR) : Décrivez les vulnérabilités de sécurité que Microsoft ou des chercheurs externes ont découvertes dans des produits tiers et que Microsoft a divulguées aux fournisseurs concernés.
Les vulnérabilités sont décrites à l’aide d’un système d’identification connu sous le nom de Common Vulnerabilities and Exposures (CVE). CVE tels que CVE-2021-31184 et CVE-2021-30540 sont des identifiants uniques et communs pour les vulnérabilités de sécurité des informations connues publiquement dans les progiciels publiés publiquement. Les spécificités de chaque ensemble de correctifs varient en fonction des problèmes de sécurité résolus. Les détails de chaque ensemble de correctifs peuvent être trouvés en visitant Guide de mise à jour de sécurité MSRC de Microsoft .
Comment savoir quelles mises à jour sont les plus critiques ?
Toutes les vulnérabilités ne sont pas égales en termes de gravité et de niveau de risque associé. Pour aider les utilisateurs à comprendre le risque associé à chaque vulnérabilité corrigée, Microsoft a publié un système d'évaluation de la gravité qui évalue chaque vulnérabilité en fonction du pire résultat théorique si cette vulnérabilité devait être exploitée. Les niveaux de gravité sont décrits comme suit :
- Critique : Une vulnérabilité marquée comme « Critique » signifie que son exploitation pourrait conduire à l'exécution de code sans interaction de l'utilisateur. Les exemples incluent les logiciels malveillants auto-propagés tels que les vers. Microsoft recommande aux utilisateurs d'appliquer les mises à jour critiques immédiatement dès leur publication.
- Important : Une vulnérabilité marquée comme « Important » signifie que son exploitation pourrait compromettre la confidentialité, la disponibilité ou l'intégrité (CIA) des données des utilisateurs. Les exemples incluent les attaques par déni de service telles que les ransomwares et autres logiciels malveillants qui volent nos données. Microsoft recommande aux utilisateurs d'appliquer les mises à jour importantes dès que possible.
- Modéré : Une vulnérabilité marquée comme « Modérée » signifie que son impact est atténué dans une mesure significative par des facteurs tels que les exigences d'authentification ou l'applicabilité uniquement aux configurations autres que celles par défaut. Microsoft recommande aux utilisateurs d'envisager d'appliquer la mise à jour de sécurité.
- Faible : Une vulnérabilité marquée comme « Faible » signifie que son impact est atténué par les caractéristiques du composant affecté. Ce type de vulnérabilité nécessite normalement soit une interaction approfondie, soit une configuration inhabituelle. Microsoft recommande aux utilisateurs d'évaluer s'ils doivent appliquer la mise à jour de sécurité aux systèmes concernés.
L’évaluation de la gravité d’une vulnérabilité est différente de sa probabilité d’occurrence. Afin d'évaluer la probabilité d'occurrence, le Indice d'exploitabilité Microsoft fournit des informations supplémentaires sur la probabilité qu'une vulnérabilité corrigée dans une mise à jour de sécurité Microsoft soit exploitée. Microsoft recommande aux administrateurs système d'évaluer leurs propres environnements et de prendre des décisions concernant les mises à jour nécessaires pour assurer la protection de leurs systèmes.
Facteurs de risque et atténuation possible
Aussi importante que soit l’application des correctifs lors du Patch Tuesday pour la santé globale des systèmes informatiques et des serveurs, cela n’est pas sans défis et risques, en particulier pour les organisations disposant d’un grand nombre de systèmes Windows et d’applications personnalisées. De nombreuses organisations sont réticentes à appliquer des correctifs lors des Patch Tuesdays en raison des risques associés.
Les mises à jour du Patch Tuesday sont considérées comme une source de maux de tête pour la plupart des administrateurs Windows en raison de leur potentiel à causer davantage de problèmes et de complications. Les correctifs sont parfois incompatibles avec des logiciels tiers ou même avec les logiciels propres de Microsoft, ce qui peut entraîner des dysfonctionnements du système et des temps d'arrêt. Si l’on examine le paysage actuel des menaces, les attaques de type « jour zéro » ont augmenté de façon exponentielle au cours des dernières années, tant en termes de rapidité que de sophistication, comme en témoignent les attaques bien connues « Exploit Wednesday ».
Selon Christopher Budd (ancien employé du Microsoft Security Response Center), « lorsque Microsoft a commencé à s'éloigner du modèle « expédier une fois prêt », de nombreuses critiques ont été formulées selon lesquelles nous laissions les gens vulnérables aux attaques plus longtemps que nécessaire » – surtout quand il y a une situation zero-day et que les gens réclament une sortie « hors groupe ». « Dans ces situations, les avantages d’un processus structuré se heurtent au problème de la durée accrue pendant laquelle une vulnérabilité est ouverte aux attaques ». Cela se traduit généralement par une fenêtre d’exposition plus longue : la période entre la publication d’une vulnérabilité et la disponibilité d’un correctif.
Le Patch Tuesday peut également avoir un impact sur la bande passante Internet d’une organisation s’il n’est pas géré correctement. Cela est particulièrement visible dans les environnements où de nombreuses machines récupèrent discrètement les mises à jour via une connexion partagée à bande passante limitée, comme celles que l'on trouve dans de nombreux réseaux de groupes de travail ou dans certaines petites et moyennes entreprises. Alors, comment gérer ces facteurs de risque ?
Avant tout, en tant qu'administrateur Windows, il est recommandé de tester les correctifs dans un environnement de laboratoire ou de bac à sable et de vous assurer qu'ils sont compatibles avec vos systèmes avant de les appliquer aux systèmes de production. De plus, Microsoft propose un outil appelé Services de mise à jour du serveur Windows (WSUS) qui peut être utilisé pour fournir un déploiement contrôlé de correctifs. Cela facilite la gestion du déploiement des correctifs dans votre environnement de test et de production.
Pour minimiser l’impact sur la bande passante Internet d’une organisation, l’outil WSUS peut être utilisé pour distribuer les mises à jour localement. Cela réduira considérablement les besoins en bande passante pour l'application de correctifs à un grand nombre d'ordinateurs. En plus de WSUS, les ordinateurs Windows 10 peuvent « partager » les mises à jour de manière peer-to-peer avec d'autres ordinateurs Windows 10 sur le réseau local, ou même avec des ordinateurs Windows 10 sur Internet. Cela permet de garantir que les mises à jour sont distribuées plus rapidement tout en réduisant l'utilisation des réseaux dotés d'une connexion limitée.