Windows Update : Microsoft déploie enfin ses mises à jour via HTTPS

Mérouan Goumiri
Publié le 05 avril 2022 à 14h30
© Microsoft
© Microsoft

Généralement consistant en matière de sécurité, Microsoft aura paradoxalement mis beaucoup de temps avant de diffuser ses mises à jour Windows Update via le protocole HTTPS. Tout finissant visiblement par arriver un jour où l'autre, la situation vient d’évoluer.

Alors que la firme de Redmond nous rappelait il y a peu qu’Internet Explorer ferait prochainement ses adieux, le service de distribution de mises à jour Windows Update profite quant à lui d'une petite nouveauté liée à sa sécurité…

Une connexion (enfin) sécurisée pour Windows Update

Microsoft Update Catalog est le site Web qui distribue les mises à jour des systèmes d'exploitation de Microsoft, Windows 11 inclus. Bien qu'en service depuis de nombreuses années, il restait, jusqu'à récemment, sous le protocole HTTP, sans doute en raison du grand nombre d’entreprises qui utilisaient encore d’anciens navigateurs Web, tel que ce bon vieux Internet Explorer désormais en fin de vie.

Or, relayé par Softpedia News, le site Deskmodder a constaté un changement opéré dernièrement en toute discrétion. Le site Web du catalogue de mises à jour de Windows Update désormais passé en HTTPS, assurant ainsi une connexion et des téléchargements sécurisés.

Voilà une nouvelle, qui, sans être d'une importance capitale, pourrait malgré tout concerner plusieurs d'entre vous. D'autant que lorsqu'il s'agit de sécurité, il est toujours bon de faire passer l'information.

Mérouan Goumiri
Par Mérouan Goumiri

Amateur de séries, de cinéma et de nouvelles technologies, c’est mon penchant pour le jeu vidéo qui a eu raison de moi. Me perdre entre Libertalia, les mers de Sea of Thieves et Kaer Morhen, telle est la vie que j’ai décidé de mener entre la rédaction de deux articles.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

A découvrir en vidéo

Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (10)
NumLOCK

Quoi, ils n’étaient pas encore en HTTPS ? Mythique !

Baxter_X

Faut pas non plus exagérer, il s’agit de mise à jour, pas de données bancaires.
Alors oui c’est mieux en chiffrant le traffic, mais ce n’est pas non plus si grave.

Paul_Hewson

Les fichiers de mise à jour sont signés, aucun risque à ce niveau.

Comme le dit Baxter_X, il s’agit de chiffrer le trafic de téléchargement, rien de bien grave.

Popoulo

« Microsoft déploie enfin etc. » : m’attendais à avoir une explication un peu plus poussée que « des téléchargements sécurisés ». En quoi cela change réellement le schmibilik ? Techniquement parlant ? Y a pas une vérification de l’intégrité des fichiers interne au WU au cas ou ? Dommage, c’est un sujet intéressant mais il n’y a aucune information dans l’article :frowning:

Blap

C’est grave pour toutes les transactions. Tu peux très facilement faire ce que tu veux avec une connexion HTTP
Encore plus pour un truc aussi sensible que ca, tu pouvais envoyer n’importe quel exécutable a la personne attaquée. Exécutable qui sera appliqué sans trop réfléchir par l’utilisateur car il s’attend a avoir un patch Microsoft

Baxter_X

Il est impossible d’envoyer l’exécutable que tu veux. Les fichiers de mise à jour sont signés par MS.

kgp

C’est une bonne chose… en même temps les downloads sont « signés », donc de toute façon windows ne laisse pas installer n’importe quoi. HTTPS n’a que très peu de valeur ajoutée dans ce cas.

De plus j’ai déjà eu d’anciennes version d’android, ou macos qui ont des certificats qui ont été révoqués. C’est très difficile de les mettre à jour! Le « https » dans ce cas empêche une forme de sécurité.

Blap

Justement dans la source c’est spécifié que non. Le téléchargement de fichier n’était pas sécurisé.
D’ailleurs même si c’était le cas tu pourrais toujours compromettre une machine en filant un deuxième executable

Fodger

Tu m’étonnes ils se sont bien gardés de le signaler les fourbes …

dimebag

Le téléchargement n’était pas sécurisé et les fichiers de mise à jour étaient sécurisés, c’est bon ?