Patch Tuesday

Patch Tuesday

Le Patch Tuesday, qui survient le deuxième mardi de chaque mois, est le jour où Microsoft met à disposition de ses clients les derniers patchs de sécurité pour ses logiciels (en français, « rustines logicielles »).

Débuté avec Windows 98, Microsoft utilise le système Windows Update qui permet de vérifier les patchs de sécurité à appliquer à Windows. Depuis, ce système a été actualisé pour inclure aussi les mises à jour des autres produits de l'entreprise, incluant Office.

Sommaire

Coût

Le système de mise à jour de Windows a souffert de deux problèmes affectant d'un côté les utilisateurs novices et de l'autre les administrateurs de grands parcs de machines.

Le premier problème touchait les utilisateurs novices qui ne le connaissaient pas et donc ne l'utilisaient pas. La solution de Microsoft a été d'introduire le système des « mises à jour automatiques » qui informe l'utilisateur que des mises à jour sont disponibles pour son système.

Le second problème affecte les grands déploiements du système, comme le connaissent les grandes entreprises. De tels déploiements font qu'il est difficile de vérifier que tous les systèmes sont bien à jour. Le problème s'est aggravé par le fait qu'une rustine pouvait empêcher le fonctionnement correct d'une application et devait donc être désinstallée.

Afin de réduire les coûts engendrés par le déploiement des patchs, Microsoft a créé le concept de Patch Tuesday. L'idée est que des patchs sont accumulés durant un mois et sont ensuite distribués un jour précis pour que les administrateurs systèmes puissent se préparer. Cette date a été fixée à peu près au début de la semaine, et surtout assez loin de la fin pour que tout problème éventuel soit corrigé avant le week-end. Les administrateurs système peuvent prévoir comme étant « jour des mises à jour » le second mardi de chaque mois et se préparer en conséquence.

Le terme Patch Tuesday a été utilisé pour la première fois le troisième trimestre de l'année 2004. Il est devenu synonyme du jour où les créateurs de logiciels mettent à disposition leurs mises à jour de sécurité. Quelques journalistes et quelques analystes parlent de Hack Wednesday, ou Exploit Wednesday, comme étant le jour d'après où les hackers lancent des attaques en utilisant les vulnérabilités nouvellement découvertes et publiées.

Conséquences en termes de sécurité

La conséquence la plus évidente est que les corrections de problèmes de sécurité ne sont pas proposées aux utilisateurs le plus rapidement, leurs systèmes peuvent donc être vulnérables durant une période allant jusqu'à un mois après la réalisation effective d'un correctif. Implicitement, cette politique suppose que la plupart des attaques soient le fait de méthodes de rétro-ingénierie plutôt que de failles du lendemain zero day. On ne sait pas dans quelles mesures cette prétention se vérifie.

Dans le passé, il y a eu des cas où les vulnérabilités ont été rendues publiques le lendemain ou quelques jours après permettant la propagation de vers informatiques. Ceci ne laisse pas à Microsoft suffisamment de temps pour incorporer ses mises à jour, et donc théoriquement, une ouverture d'un mois pour que les attaquants et les vers informatiques exploitent le trou de sécurité avant qu'un patch ne résolve le problème.

Rigueur du calendrier

Dans la plupart des cas, les mises à jour de Microsoft et les correctifs sont seulement diffusés le jour du Patch Tuesday. Cependant, des cas où les mises à jour sont délivrées en dehors de cette date ne sont pas rares, et se produisent, en moyenne, plusieurs fois par année.

Les critiques disent que le rapport entre les vulnérabilités choisies par Microsoft qui sont comblées chaque mois et l'importance de ces failles n'est pas suffisamment élevé. Il y a eu des cas où les vulnérabilités ont été jugées comme « hautement critiques », exploitées activement par des vers informatiques et qui n'avaient pas reçu de correctifs, alors que d'autres jugées moins sévères avaient été comblées lors du Patch Tuesday.

Exploitation du mercredi

Beaucoup d'exploits sont conçus peu de temps après la publication d'une mise à jour. En analysant la mise à jour, les concepteurs d'exploits peuvent facilement renseigner les autres sur les méthodes d'exploitation d'une vulnérabilité précise. Par conséquence, le terme Exploit Wednesday a été introduit[1].

Annexes

Bibliographie

Références

  1. (en) Kerry Maxwell, « Word of the Week - Hotfix », Macmillan, 9 juillet 2007. Mis en ligne le 9 juillet 2007, consulté le 12 décembre 2008

Articles connexes

Liens externes


Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Patch Tuesday de Wikipédia en français (auteurs)

Игры ⚽ Поможем написать реферат

Regardez d'autres dictionnaires:

  • Patch Tuesday — is usually the second Tuesday of each month, on which Microsoft releases security patches.[1][2][3] Starting with Windows 98, Microsoft included a Windows Update system that would check for patches to Windows and its components, which Microsoft… …   Wikipedia

  • Tuesday — For other uses, see Tuesday (disambiguation). The god Týr or Tiw, identified with Mars, after whom Tuesday is named. Tuesday ( …   Wikipedia

  • Black Tuesday (disambiguation) — Black Tuesday may refer to: *Wall Street Crash of 1929, an American stock market crash * Black Tuesday (film), a 1954 film starring Edward G. Robinson *Black Tuesday bushfires or 1967 Tasmanian fires, an Australian natural disaster *Black Monday… …   Wikipedia

  • Windows Update — A component of Microsoft Windows Windows Update running on Windows 7 …   Wikipedia

  • Development of Windows Vista — This article is part of a series on Windows Vista New features Overview Technical and core system Security and safety Networking technologies I/O technologies Management and administration Removed features …   Wikipedia

  • Computer worm — Morris Worm source code disk at the Computer History Museum …   Wikipedia

  • Timeline of computer viruses and worms — Contents 1 1960–1969 1.1 1966 2 1970–1979 2.1 1 …   Wikipedia

  • Windows 2000 — Part of the Microsoft Windows family Screenshot of Windows 2000 Professional …   Wikipedia

  • TWiT.tv (network) — Infobox Website name = Twit.tv logo = caption = TWiT Logo url = [http://twit.tv] alexa = commercial = type = Internet Media Station language = English registration = owner = Leo Laporte author = launch date = current status = Active revenue =… …   Wikipedia

  • Microsoft Update — Pour les articles homonymes, voir AUD. Microsoft Update …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”