Windows Update : Microsoft déploie enfin ses mises à jour via HTTPS

05 avril 2022 à 14h30
17
Microsoft logo
© Microsoft

Généralement consistant en matière de sécurité, Microsoft aura paradoxalement mis beaucoup de temps avant de diffuser ses mises à jour Windows Update via le protocole HTTPS. Tout finissant visiblement par arriver un jour où l'autre, la situation vient d’évoluer.

Alors que la firme de Redmond nous rappelait il y a peu qu’Internet Explorer ferait prochainement ses adieux, le service de distribution de mises à jour Windows Update profite quant à lui d'une petite nouveauté liée à sa sécurité…

Une connexion (enfin) sécurisée pour Windows Update

Microsoft Update Catalog est le site Web qui distribue les mises à jour des systèmes d'exploitation de Microsoft, Windows 11 inclus. Bien qu'en service depuis de nombreuses années, il restait, jusqu'à récemment, sous le protocole HTTP, sans doute en raison du grand nombre d’entreprises qui utilisaient encore d’anciens navigateurs Web, tel que ce bon vieux Internet Explorer désormais en fin de vie.

Or, relayé par Softpedia News, le site Deskmodder a constaté un changement opéré dernièrement en toute discrétion. Le site Web du catalogue de mises à jour de Windows Update désormais passé en HTTPS, assurant ainsi une connexion et des téléchargements sécurisés.

Voilà une nouvelle, qui, sans être d'une importance capitale, pourrait malgré tout concerner plusieurs d'entre vous. D'autant que lorsqu'il s'agit de sécurité, il est toujours bon de faire passer l'information.

Source : Softpedia News

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
17
11
NumLOCK
Quoi, ils n’étaient pas encore en HTTPS ? Mythique !
Baxter_X
Faut pas non plus exagérer, il s’agit de mise à jour, pas de données bancaires.<br /> Alors oui c’est mieux en chiffrant le traffic, mais ce n’est pas non plus si grave.
Paul_Hewson
Les fichiers de mise à jour sont signés, aucun risque à ce niveau.<br /> Comme le dit Baxter_X, il s’agit de chiffrer le trafic de téléchargement, rien de bien grave.
Popoulo
« Microsoft déploie enfin etc. » : m’attendais à avoir une explication un peu plus poussée que « des téléchargements sécurisés ». En quoi cela change réellement le schmibilik ? Techniquement parlant ? Y a pas une vérification de l’intégrité des fichiers interne au WU au cas ou ? Dommage, c’est un sujet intéressant mais il n’y a aucune information dans l’article
Blap
C’est grave pour toutes les transactions. Tu peux très facilement faire ce que tu veux avec une connexion HTTP<br /> Encore plus pour un truc aussi sensible que ca, tu pouvais envoyer n’importe quel exécutable a la personne attaquée. Exécutable qui sera appliqué sans trop réfléchir par l’utilisateur car il s’attend a avoir un patch Microsoft
Baxter_X
Il est impossible d’envoyer l’exécutable que tu veux. Les fichiers de mise à jour sont signés par MS.
kgp
C’est une bonne chose… en même temps les downloads sont « signés », donc de toute façon windows ne laisse pas installer n’importe quoi. HTTPS n’a que très peu de valeur ajoutée dans ce cas.<br /> De plus j’ai déjà eu d’anciennes version d’android, ou macos qui ont des certificats qui ont été révoqués. C’est très difficile de les mettre à jour! Le « https » dans ce cas empêche une forme de sécurité.
Blap
Justement dans la source c’est spécifié que non. Le téléchargement de fichier n’était pas sécurisé.<br /> D’ailleurs même si c’était le cas tu pourrais toujours compromettre une machine en filant un deuxième executable
Fodger
Tu m’étonnes ils se sont bien gardés de le signaler les fourbes …
dimebag
Le téléchargement n’était pas sécurisé et les fichiers de mise à jour étaient sécurisés, c’est bon ?
Blap
Ca ne veut rien dire « les fichiers de mises a jour étaient sécurisés » dans le cas présent.<br /> Un exécutable c’est un exécutable, et si la personne le lance il se fiche qu’un fichier hypothétique quelque part sur internet ou sur l’ordi de X personnes soit sécurisé.<br /> C’est exactement si je mettais un .exe sur ce forum. Ce n’est pas parce que un fichier est signé quelque part dans le monde que ca rend ce .exe moins dangereux pour autant.
vVD
Ça bouffe inutilement du temps CPU pour le chiffrage qui pourrait être utilisé pour des choses utiles…<br /> Qui a eu un problème ?
Blap
Sauf que pas forcement car le HTTP est archaïque et ne bénéficie pas des mises a jour des différents protocoles, du coup on peut consommer moins tout en servant plus de personne avec la même matos.<br /> Et si ca consomme plus de CPU c’est ~1%, totalement négligeable vu tout ce que ca apporte
Baxter_X
Niveau conso CPU ce n’est même pas négligeable ! Et le chiffrement c’est la norme maintenant. Ça ne viendrait à aucun constructeur automobile de vendre une voiture sans ceinture de sécurité.
Baxter_X
Non, ce 'est pas comme si tu étais sur un forum a mettre à dispo un exe vérolé. C’est ce que l’on essaye de t’expliquer. Les mise à jour MS ne fonctionnent pas comme cela, il y a un système de signature. Si tu envoie n’importe quel exe, il ne sera pas pris en compte.
JerryGollet
L’HTTPS pour ce cas spécifique n’a aucun internet, les mises à jour étant signées.<br /> Au contraire ça empêche la mise en place d’un cache simple via proxy (mais bon, il y a d’autres solutions officielles pour ça comme WSUS).
Baxter_X
Je pense que la tu te perds. Même si les maj sont signées, le https reste intéressant car la norme maintenant. Pas aussi indispensable que la navigation en https, mais cela reste intéressant.<br /> Et la solution d’un cache simple est obsolète. Comme tu le dis toi même, il y a plein d’autres solutions.
Voir tous les messages sur le forum

Lectures liées

Airbnb jette l’éponge en Chine
Apple : vous voulez savoir pourquoi Jony Ive, designer vedette, est parti ?
Le kit de réparation d'Apple est-il plus intéressant financièrement pour vous ?
Ne coupez pas votre caméra pendant une visio ! Cela pourrait nuire à votre carrière
M6 va céder la chaîne 6ter à Altice
Ce site recense les pires dossiers des GAFAM
Chez Meta (Facebook), la perte de certains avantages provoque la colère les employés
Pour la première fois, la capitalisation boursière d'AMD dépasse celle d'Intel
Amazon et Apple seraient intéressés par le rachat de Peloton, le fabricant de machines de sport
Apple a passé d'excellentes fêtes avec un chiffre d'affaires record
Haut de page