Pourquoi vous devriez vraiment faire les mises à jour dès qu'elles tombent (et c'est Microsoft qui le dit)

Nathan Le Gohlisse
Spécialiste Hardware
08 novembre 2022 à 17h00
7
David Irlweg / Shutterstock.com
David Irlweg / Shutterstock.com

Ne traînez pas avant d'installer les mises à jour qui apparaissent pour votre PC dans Windows Update, ou sur vos autres appareils électroniques. Dans un rapport, Microsoft rappelle à notre bon souvenir que les pirates, eux, savent mettre à profit notre lenteur et la banalisation, rapidement après leur découverte, des vulnérabilités les plus graves.

De plus en plus de hackers et d'États comptent sur la lenteur à installer les mises à jour pour exploiter des failles zero-day qui n'ont pas encore été patchées et ainsi pénétrer dans des environnements ciblés insuffisamment protégés. C'est ce que nous dit Microsoft dans un long rapport dont les meilleurs extraits nous sont relayés par The Hacker News. La firme explique notamment avoir « observé une réduction du délai entre l'annonce d'une vulnérabilité et la banalisation de cette vulnérabilité ». Ce facteur tend à privilégier l'action des pirates. Pour Microsoft, les géants de la tech et les utilisateurs doivent donc jouer contre la montre.

Des attaques plus agressives contre les failles récemment découvertes

Comme le souligne The Hacker News, les remarques de Microsoft rappellent les conclusions formulées par la Cybersecurity and Infrastructure Security Agency (CISA), cette fois dans un autre rapport publié en avril dernier. La CISA rapportait notamment avoir observé une « agressivité » accrue des attaques portant sur des failles récemment découvertes… n'ayant potentiellement pas encore été comblées.

Microsoft estime par ailleurs qu'une vulnérabilité reste en moyenne 14 jours exploitable « dans la nature » après avoir été rendue publique, ce qui laisse un important créneau aux pirates pour en tirer profit. Et en l'occurrence, certains États se seraient fait une spécialité d'exploiter ces failles. La firme explique ainsi que la Chine serait notamment devenue « particulièrement compétente » en matière de découverte et d'exploitation de failles zero-day.

La durée de vie d'une faille après sa découverte © Microsoft
La durée de vie d'une faille après sa découverte © Microsoft

La Chine très douée pour transformer ces failles en « cyber-armes »

L'exploitation de ces failles est une denrée précieuse pour les activités d'espionnage destinées à faire progresser les intérêts économiques et militaires de la Chine, explique Microsoft. L'année dernière, la CAC (Cyberspace Administration of China) a d'ailleurs fait adopter une loi relative au signalement de ces vulnérabilités. Cette nouvelle réglementation impose désormais que les failles de sécurité soient signalées au gouvernement avant même d'être partagées avec les développeurs des logiciels et produits concernés.

Cela permettrait à l'État d'avoir une longueur d'avance pour les exploiter entre-temps et les transformer pendant quelques jours ou quelques semaines en véritables armes cyber. Ces dernières ouvrent alors la porte au vol de propriétés intellectuelles et peuvent donner accès à des réseaux critiques.

Source : The Hacker News

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (7)

jvachez
Le problème n’est pas que du côté utilisateur il est aussi en face.<br /> Beaucoup font ce qu’ils appelent de la diffusion par lot qu’il est impossible de contourner ça affiche que l’on a la dernière version alors qu’il en existe une plus récente.<br /> Il y a aussi ceux comme Microsoft justement qui attendent un jour précis (le mardi chez MS) pour diffuser leurs mises à jour.
Guik
Oui et de nos jours , les premiers pirates sont comme tu dis en face
max_971
Si les mises à jour ne font pas crasher l’ordi, je dis oui mais vu les problèmes rencontrés auparavant je ne me presse pas.
LeToi
On a l’impression parfois que les mises à jour ne sont pas testées à assez grande échelle et que des bugs apparaissent, nécessitant d’autres correctifs par la suite, ce qui incite pas dur élève à se presser pour les mises à jour, aussi…
Than
Comme les commentaires précédents.<br /> Faire la maj, oui, bien sûr.<br /> Se précipiter à la faire, non, peut-être. Parce que le nombre de fois où une mise a fait planter le système… le rendant plus ou moins inopérant, beeen, c’est pas toujours acceptable selon les contextes. Par rapport au risque d’infection.
Voir tous les messages sur le forum