PAPEETE, le 29 novembre 2016 - L’association Clusir Tahiti (Club de la Sécurité de l'Information Région Tahiti, une jeune association de professionnels du secteur) publie ses 12 commandements de la sécurité informatique dans nos colonnes. Après nous avoir fait trembler avec les danger des clés USB perdues, elle s'attaque cette fois à un sujet épineux pour beaucoup d'entre nous : les mises à jour.
En matière de sécurité informatique, avoir un système où tous les logiciels sont à jour est une protection encore plus efficace qu'un anti-virus. Si ce dernier est l'antibiotique de votre ordinateur qui va lutter contre les infections, les mises-à-jours sont comme un vaccin : elles permettent de ne pas tomber malade...
Vous n'en pouvez plus de ces logiciels qui demandent tout le temps de ce mettre à jour. Windows s'amuse à mobiliser toute la bande passante et à redémarrer de son propre chef une fois par mois, VLC vous supplie d'aller télécharger la dernière version, Java boit la tasse dans votre barre des taches depuis deux ans… Bref, ça prend du temps, des ressources, les nouvelles versions suppriment vos fonctions préférées… Et ça ne sert à rien n'est-ce pas ?
Faux ! Une grande partie des victimes de vol d'identité, de détournements bancaires sur internet ou de piratage de messagerie/compte Facebook, sont en fait victimes d'un "keylogger", un logiciel malveillant qui espionne leur écran et les frappes du clavier : l'outil idéal pour voler un mot de passe ! Et ce logiciel malveillant est généralement arrivé sur cet ordinateur grâce à une faille de sécurité : site internet corrompu, fichier pdf piégé sur votre mail, clé USB indélicate…
Et ne croyez pas qu'être à Tahiti nous protège ! Les pirates visent le monde entier sans discrimination et des attaques contre les entreprises et administrations du Territoire sont régulièrement combattues. Encore récemment, des institutions et grosses entreprises locales étaient confrontées à un "ransomware", un virus qui demande une rançon pour vous rendre vos fichiers.
Faire des mises à jour régulières résout deux problèmes :
1.Les bugs
Un bug est un défaut dans la fabrication du logiciel qui peut conduire à des résultats inattendus. Le pire est le bug qui provoque l'arrêt du logiciel (c'est à dire en langage technique "le crash"). Quand c'est Windows qui crashe, vous voyez le tristement célèbre "Écran bleu de la mort" . Sur un smartphone, il va généralement redémarrer tout seul. Sur Linux et Apple, le terme consacré est "Kernel Panic". Dans tous les cas, les fichiers ouverts au moment du plantage seront perdus, incomplets ou altérés.
Ces défauts de conception et de fabrication sont inévitables. Un logiciel est extrêmement complexe, plusieurs personnes travaillent dessus pendant des mois et les programmes mélangent désormais les langages et bibliothèques de référence… Même les développeurs n'y retrouvent pas toujours leurs petits et les erreurs se multiplient. La version 1.0 est donc souvent moins bien que les versions suivantes, même si les nouvelles versions ajoutent des fonctionnalités qui ont leurs propres bugs. C'est une fuite en avant, mais les plus gros bugs sont corrigés en priorité grâce aux commentaires des utilisateurs.
Du coup, quand Windows ou Firefox veulent envoyer un rapport d'erreur, c'est utile de les y autoriser. Et si vous voyez un bug dans un logiciel, à part attendre la nouvelle version, tous les éditeurs ont des outils qui permettent de leur transmettre des rapports d'erreur. Un incident qui est souvent notifié deviendra prioritaire et sera réparé plus vite. Si c’est un logiciel professionnel acheté par votre entreprise, contacter votre responsable informatique ou votre fournisseur devrait permettre une correction rapide.
Petite astuce : si vous voulez le logiciel le plus stable possible et ne rien avoir à faire avec les nouvelles fonctionnalités, ça vaut la peine d'installer une version "long term support" ou "extended support" du logiciel.Par exemple Firefox en est à la version 50.0, mais la version ESR (Extended support release) en est à la version 45.7. C'est à dire avec cinq versions de retard mais un nombre considérable de correctifs. Cette version sera particulièrement stable ! Sur Windows, les versions XP et Vista ne reçoivent plus aucune mise à jour. Windows 7 recevra encore des mises à jour de sécurité jusqu'en 2020, et Windows 8 et 10 continuent de recevoir de nouvelles fonctionnalités et des correctifs de sécurité. Donc la version la plus stable et sécurisée est, pour encore trois ans, Windows 7.
2. Les failles de sécurité
Outre la protection de vos données contre les crashs intempestifs, les mises à jour permettent de résoudre un problème capital : les failles de sécurité qui exposent votre système aux virus, chevaux de Troie, malwares...
En matière de sécurité informatique, avoir un système où tous les logiciels sont à jour est une protection encore plus efficace qu'un anti-virus. Si ce dernier est l'antibiotique de votre ordinateur qui va lutter contre les infections, les mises-à-jours sont comme un vaccin : elles permettent de ne pas tomber malade...
Vous n'en pouvez plus de ces logiciels qui demandent tout le temps de ce mettre à jour. Windows s'amuse à mobiliser toute la bande passante et à redémarrer de son propre chef une fois par mois, VLC vous supplie d'aller télécharger la dernière version, Java boit la tasse dans votre barre des taches depuis deux ans… Bref, ça prend du temps, des ressources, les nouvelles versions suppriment vos fonctions préférées… Et ça ne sert à rien n'est-ce pas ?
Faux ! Une grande partie des victimes de vol d'identité, de détournements bancaires sur internet ou de piratage de messagerie/compte Facebook, sont en fait victimes d'un "keylogger", un logiciel malveillant qui espionne leur écran et les frappes du clavier : l'outil idéal pour voler un mot de passe ! Et ce logiciel malveillant est généralement arrivé sur cet ordinateur grâce à une faille de sécurité : site internet corrompu, fichier pdf piégé sur votre mail, clé USB indélicate…
Et ne croyez pas qu'être à Tahiti nous protège ! Les pirates visent le monde entier sans discrimination et des attaques contre les entreprises et administrations du Territoire sont régulièrement combattues. Encore récemment, des institutions et grosses entreprises locales étaient confrontées à un "ransomware", un virus qui demande une rançon pour vous rendre vos fichiers.
Faire des mises à jour régulières résout deux problèmes :
1.Les bugs
Un bug est un défaut dans la fabrication du logiciel qui peut conduire à des résultats inattendus. Le pire est le bug qui provoque l'arrêt du logiciel (c'est à dire en langage technique "le crash"). Quand c'est Windows qui crashe, vous voyez le tristement célèbre "Écran bleu de la mort" . Sur un smartphone, il va généralement redémarrer tout seul. Sur Linux et Apple, le terme consacré est "Kernel Panic". Dans tous les cas, les fichiers ouverts au moment du plantage seront perdus, incomplets ou altérés.
Ces défauts de conception et de fabrication sont inévitables. Un logiciel est extrêmement complexe, plusieurs personnes travaillent dessus pendant des mois et les programmes mélangent désormais les langages et bibliothèques de référence… Même les développeurs n'y retrouvent pas toujours leurs petits et les erreurs se multiplient. La version 1.0 est donc souvent moins bien que les versions suivantes, même si les nouvelles versions ajoutent des fonctionnalités qui ont leurs propres bugs. C'est une fuite en avant, mais les plus gros bugs sont corrigés en priorité grâce aux commentaires des utilisateurs.
Du coup, quand Windows ou Firefox veulent envoyer un rapport d'erreur, c'est utile de les y autoriser. Et si vous voyez un bug dans un logiciel, à part attendre la nouvelle version, tous les éditeurs ont des outils qui permettent de leur transmettre des rapports d'erreur. Un incident qui est souvent notifié deviendra prioritaire et sera réparé plus vite. Si c’est un logiciel professionnel acheté par votre entreprise, contacter votre responsable informatique ou votre fournisseur devrait permettre une correction rapide.
Petite astuce : si vous voulez le logiciel le plus stable possible et ne rien avoir à faire avec les nouvelles fonctionnalités, ça vaut la peine d'installer une version "long term support" ou "extended support" du logiciel.Par exemple Firefox en est à la version 50.0, mais la version ESR (Extended support release) en est à la version 45.7. C'est à dire avec cinq versions de retard mais un nombre considérable de correctifs. Cette version sera particulièrement stable ! Sur Windows, les versions XP et Vista ne reçoivent plus aucune mise à jour. Windows 7 recevra encore des mises à jour de sécurité jusqu'en 2020, et Windows 8 et 10 continuent de recevoir de nouvelles fonctionnalités et des correctifs de sécurité. Donc la version la plus stable et sécurisée est, pour encore trois ans, Windows 7.
2. Les failles de sécurité
Outre la protection de vos données contre les crashs intempestifs, les mises à jour permettent de résoudre un problème capital : les failles de sécurité qui exposent votre système aux virus, chevaux de Troie, malwares...
Java, Flash et les lecteurs de PDF sont les logiciels les plus vulnérables aux failles de sécurité.
Comme les bugs, ces failles peuvent être des erreurs de conception. Mais parfois ce sont aussi des mécanismes qui n'avaient pas été prévus au départ mais sont utilisables pour détourner le logiciel. L'une des plus célèbre était une faille qui touchait tous les navigateurs en 2009, le dépassement de tampon. Un site conçu exprès arrivait à injecter des données dans la mémoire de l'ordinateur en "débordant" de l'espace alloué au navigateur, et à exécuter des ordre arbitraires...
Les logiciels les plus propices aux failles sont Adobe Flash, les lecteurs de PDF, Java et les suites bureautiques. Le système d'exploitation est bien sûr la première cible, mais quand on les y autorise, les dernières versions se mettent désormais à jour automatiquement. Les failles découvertes sont corrigées en quelques jours.
Le problème ce sont les anciennes versions qui ne sont plus maintenues par leurs éditeurs : les vieilles version d'Android, d'iOS ou le très populaire Windows XP, ne reçoivent plus aucune mise à jour. Leurs failles de sécurité sont connues de tous et exploitées massivement… Il est temps d'investir !
Les logiciels les plus propices aux failles sont Adobe Flash, les lecteurs de PDF, Java et les suites bureautiques. Le système d'exploitation est bien sûr la première cible, mais quand on les y autorise, les dernières versions se mettent désormais à jour automatiquement. Les failles découvertes sont corrigées en quelques jours.
Le problème ce sont les anciennes versions qui ne sont plus maintenues par leurs éditeurs : les vieilles version d'Android, d'iOS ou le très populaire Windows XP, ne reçoivent plus aucune mise à jour. Leurs failles de sécurité sont connues de tous et exploitées massivement… Il est temps d'investir !
Conseils :
- Activer la mise à jour automatique de Windows et de vos logiciels
- Réaliser manuellement les mises à jour suggérées par les logiciels (accepter les mises à jour quand elles sont proposées)
- Ne pas traîner pour faire les mises à jour : les failles sont exploitées en quelques heures
- Télécharger les logiciels sur les sites officiels des éditeurs
- Sauvegarder ses données avant une mise à jour majeure
- Activer la mise à jour automatique de Windows et de vos logiciels
- Réaliser manuellement les mises à jour suggérées par les logiciels (accepter les mises à jour quand elles sont proposées)
- Ne pas traîner pour faire les mises à jour : les failles sont exploitées en quelques heures
- Télécharger les logiciels sur les sites officiels des éditeurs
- Sauvegarder ses données avant une mise à jour majeure
