07-11-2022, 10:09
Il faut trop de temps aux éditeurs de logiciels pour fournir des mises à jour de correctifs de sécurité après l'apparition de problèmes. Ce n'est donc plus acceptable pour les grandes entreprises.
Les responsables informatiques sont de plus en plus préoccupés par la mise en réseau de leurs entreprises et les défis de sécurité qui les accompagnent. Mais toutes les peurs sont infondées et, à l'inverse, une fausse panique peut nous empêcher de contrer la possibilité d'une cyberattaque. Certaines personnes pensent qu'elles doivent payer des "frais de maintenance" annuels et installer des correctifs logiciels sans fin. Il ignore la nature des menaces de sécurité actuelles et reconnaît que la plupart des éditeurs de logiciels ne sont pas, et ne seront probablement pas, des experts en sécurité. Dans la plupart des cas, les correctifs fournis par les fournisseurs ERP ne servent qu'à corriger les bogues. Pour la plupart, il s'agit d'une forme glorifiée et avantageuse du jeu de la taupe avec un code bogué sans fin.
Devancer le lancement des correctifs de sécurité
De manière générale, les éditeurs de logiciels étudient les bogues pour en déterminer la validité et l’importance, un processus aussi long que compliqué. Ils doivent en effet identifier tous les endroits où la bibliothèque ou la base de code affectée a été utilisée, sur quelles plateformes, et pendant combien de temps. Dans nombre de cas, cette méthode permet aux éditeurs de se rendre compte qu’un bogue existe parfois depuis longtemps, jusqu’à 20 ou 30 ans. Il arrive même qu’un problème donné soit « patché » une nouvelle fois bien des années plus tard ; il est en effet relativement simple de passer à côté d’un bogue.
Anticiper le risque de faille avant l`apparition du problème
Vient le jour où un correctif est publié, et c`est là que commencent les ennuis pour la plupart des entreprises. Appliquer un correctif est un processus généralement long et fastidieux, en particulier pour les plateformes qui intègrent un grand nombre de personnalisations potentiellement mises en danger par certains effets secondaires du patch. Même dans le cas des entreprises qui ont choisi d`appliquer les correctifs « rapidement » (ce qui est rare, le rythme étant plutôt annuel, au mieux mensuel), une année entière peut s`écouler jusqu`à ce que le patch téléchargé soit installé, testé dans l`environnement opérationnel et, in fine, mis en production. Les clients doivent ainsi attendre que les correctifs soient publiés, puis procéder à de rigoureux tests de régression, vérifier le niveau d`assurance qualité, exécuter des tests auprès des utilisateurs finaux et réparer les éléments mis à mal par les correctifs — le tout, multiplié par chaque instance de base de données ou d`application en service dans l`entreprise. Ces multiples tâches prennent énormément de temps, ne sont pas sans soulever certains risques et phénomènes de rupture, et induisent un coût relativement élevé. Aussi, si une situation similaire se reproduit, le mécanisme doit être redémarré. Les fabricants de logiciels sont souvent heureux de mettre sur liste noire les commandes qui sont normalement ignorées par la commande suivante, et les clients doivent répéter ce cycle des centaines de fois.
Par exemple, la vulnérabilité qui a affecté Apache Struts et conduit à la vulnérabilité d'Equifax était due à une désérialisation non sécurisée (CWE-502, l'un des nombreux CWE-20 : validation d'entrée impropre) et à la faille A courante dans la plupart des applications. Cependant, le correctif publié pour résoudre le problème ne corrige toujours pas les vulnérabilités CWE-502 ou CWE-20, uniquement l'exposition (CVE-2017-5638). À peu près au même moment, un autre correctif a été publié pour corriger une vulnérabilité similaire (CVE-2017-9805). Par conséquent, des centaines de correctifs ont été publiés pour corriger cette désérialisation non sécurisée, dont la plupart ont été contournés à plusieurs reprises. En plus des éléments corrigés, tenez compte des vulnérabilités qui ont fait la une des journaux au fil des ans : Marriott, Target, AdultFriendFinder ou eBay. Aucun n'a été corrigé par des correctifs fournis par l'éditeur d'origine. Ces organisations peuvent être victimes de mauvaises configurations, de menaces internes, d'un comportement laxiste des administrateurs, de la non-application des politiques de sécurité, etc. Ces mêmes menaces laissent les utilisateurs ERP se demander s'ils sont vraiment protégés en déléguant les politiques de sécurité au fournisseur d'origine. En pratique, les correctifs fournis par les fournisseurs sont complexes et restent limités dans leur portée même après leur application. Il s'agit de résoudre le problème découvert, pas l'intégralité de l'erreur. Bien sûr, il existe de meilleures solutions.
Les responsables informatiques sont de plus en plus préoccupés par la mise en réseau de leurs entreprises et les défis de sécurité qui les accompagnent. Mais toutes les peurs sont infondées et, à l'inverse, une fausse panique peut nous empêcher de contrer la possibilité d'une cyberattaque. Certaines personnes pensent qu'elles doivent payer des "frais de maintenance" annuels et installer des correctifs logiciels sans fin. Il ignore la nature des menaces de sécurité actuelles et reconnaît que la plupart des éditeurs de logiciels ne sont pas, et ne seront probablement pas, des experts en sécurité. Dans la plupart des cas, les correctifs fournis par les fournisseurs ERP ne servent qu'à corriger les bogues. Pour la plupart, il s'agit d'une forme glorifiée et avantageuse du jeu de la taupe avec un code bogué sans fin.
Devancer le lancement des correctifs de sécurité
De manière générale, les éditeurs de logiciels étudient les bogues pour en déterminer la validité et l’importance, un processus aussi long que compliqué. Ils doivent en effet identifier tous les endroits où la bibliothèque ou la base de code affectée a été utilisée, sur quelles plateformes, et pendant combien de temps. Dans nombre de cas, cette méthode permet aux éditeurs de se rendre compte qu’un bogue existe parfois depuis longtemps, jusqu’à 20 ou 30 ans. Il arrive même qu’un problème donné soit « patché » une nouvelle fois bien des années plus tard ; il est en effet relativement simple de passer à côté d’un bogue.
Anticiper le risque de faille avant l`apparition du problème
Vient le jour où un correctif est publié, et c`est là que commencent les ennuis pour la plupart des entreprises. Appliquer un correctif est un processus généralement long et fastidieux, en particulier pour les plateformes qui intègrent un grand nombre de personnalisations potentiellement mises en danger par certains effets secondaires du patch. Même dans le cas des entreprises qui ont choisi d`appliquer les correctifs « rapidement » (ce qui est rare, le rythme étant plutôt annuel, au mieux mensuel), une année entière peut s`écouler jusqu`à ce que le patch téléchargé soit installé, testé dans l`environnement opérationnel et, in fine, mis en production. Les clients doivent ainsi attendre que les correctifs soient publiés, puis procéder à de rigoureux tests de régression, vérifier le niveau d`assurance qualité, exécuter des tests auprès des utilisateurs finaux et réparer les éléments mis à mal par les correctifs — le tout, multiplié par chaque instance de base de données ou d`application en service dans l`entreprise. Ces multiples tâches prennent énormément de temps, ne sont pas sans soulever certains risques et phénomènes de rupture, et induisent un coût relativement élevé. Aussi, si une situation similaire se reproduit, le mécanisme doit être redémarré. Les fabricants de logiciels sont souvent heureux de mettre sur liste noire les commandes qui sont normalement ignorées par la commande suivante, et les clients doivent répéter ce cycle des centaines de fois.
Par exemple, la vulnérabilité qui a affecté Apache Struts et conduit à la vulnérabilité d'Equifax était due à une désérialisation non sécurisée (CWE-502, l'un des nombreux CWE-20 : validation d'entrée impropre) et à la faille A courante dans la plupart des applications. Cependant, le correctif publié pour résoudre le problème ne corrige toujours pas les vulnérabilités CWE-502 ou CWE-20, uniquement l'exposition (CVE-2017-5638). À peu près au même moment, un autre correctif a été publié pour corriger une vulnérabilité similaire (CVE-2017-9805). Par conséquent, des centaines de correctifs ont été publiés pour corriger cette désérialisation non sécurisée, dont la plupart ont été contournés à plusieurs reprises. En plus des éléments corrigés, tenez compte des vulnérabilités qui ont fait la une des journaux au fil des ans : Marriott, Target, AdultFriendFinder ou eBay. Aucun n'a été corrigé par des correctifs fournis par l'éditeur d'origine. Ces organisations peuvent être victimes de mauvaises configurations, de menaces internes, d'un comportement laxiste des administrateurs, de la non-application des politiques de sécurité, etc. Ces mêmes menaces laissent les utilisateurs ERP se demander s'ils sont vraiment protégés en déléguant les politiques de sécurité au fournisseur d'origine. En pratique, les correctifs fournis par les fournisseurs sont complexes et restent limités dans leur portée même après leur application. Il s'agit de résoudre le problème découvert, pas l'intégralité de l'erreur. Bien sûr, il existe de meilleures solutions.
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
