Connexion
Abonnez-vous

WannaCrypt relance le débat sur les dangers des failles stockées par les États

Et ils sont nombreux

WannaCrypt relance le débat sur les dangers des failles stockées par les États

Le 19 mai 2017 à 15h23

Depuis une semaine environ, les évènements autour de WannaCrypt ont largement relancé les débats autour de la gestion des failles de sécurité. Selon l’acteur impliqué, les intérêts sont particulièrement divergents. Nous faisons donc le point, alors que des entreprises appellent à une révision profonde du processus de validation aux États-Unis.

Particulièrement virulent, WannaCrypt a fait au moins 200 000 victimes dans le monde. La plupart sont situées en Russie, mais c’est au Royaume-Uni que le ransomware a fait le plus parler de lui, à cause de plusieurs hôpitaux touchés, des opérations ayant dû être reportées à cause d’une informatique en panne.

Au centre de cette menace se trouve une faille de sécurité qui était en possession de la NSA. On s’en souvient, ces informations avaient été dérobées par les Shadow Brokers, des pirates décidés à plomber les capacités d’attaque de l’agence américaine. Les détails de la faille, ainsi que d’autres données, ont été publiés le mois dernier. Microsoft avait corrigé la vulnérabilité en mars, ce qui ne laissait malheureusement pas assez de temps pour que l’intégralité du parc soit mis à jour.

L’exploitation de cette faille a largement relancé les débats autour de leur traitement, et la propension de certains gouvernements à les stocker dans l’attente de pouvoir les exploiter. Missions de renseignement, espionnage, déstabilisation ou sabotage, les brèches de sécurité constituent aujourd’hui un précieux arsenal. Problème, ce stockage n’est pas sans risque.

La validation des failles aux États-Unis

Pour bien comprendre la problématique centrale sur laquelle WannaCrypt braque les projecteurs, il faut savoir qu’aux États-Unis, chaque faille découverte par une agence fédérale est analysée. Il s’agit d’un cheminement particulier, nommé VEP – Vulnerabilities Equities Process– qui permet de séparer le « bon grain de l’ivraie ».

Le bon grain ici, ce sont les failles dont le potentiel de pénétration est important pour la mise en place d’attaques spécifiques. Correctement exploitées, elles peuvent débloquer l’accès à de précieuses ressources. Qu’importe le produit, il suffit qu’il soit suffisamment utilisé ou concerne un équipement utilisé par des cibles intéressantes. Systèmes d’exploitation, logiciels, applications mobiles, routeurs, objets connectés et autres sont tout autant concernés.

De l’autre côté, l’ivraie représente les vulnérabilités dont les agences n’auront pas d’utilité. Les critères sont nombreux à prendre en compte, mais l’un d’entre eux est déterminant : la faille a-t-elle des chances d’être découverte rapidement par d’autres acteurs ? Si tel est le cas, elle perd automatiquement en valeur.

Ce que le VEP doit finalement déterminer, c’est si une brèche doit être transformée en arme ou communiquée à l’éditeur associé pour correction. Or, cet embranchement si particulier est d’autant plus problématique que la NSA a un double visage, passé au second plan ces dernières années, notamment depuis les révélations d’Edward Snowden.

La NSA doit ménager la chèvre et le chou

La mission de la National Security Agency est contenue dans son nom : protéger les États-Unis. Contrairement à ce que pourrait laisser supposer l’actualité des dernières années et nombre de films ou de séries qui abordent cette thématique, la NSA ne fait pas qu’espionner : elle doit assurer la protection du territoire.

Dans son cas, la notion de défense est associée à celle d'attaque. Et c’est ici que les choses se corsent singulièrement. Chaque fois qu’une faille se présente, elle représente à la fois un moyen d’obtenir des informations qui, en retour, pourraient aider à protéger le pays, ainsi qu’une défense générale contre des pirates.

Ce rôle double a été récemment pointé du doigt par Guillaume Poupart, directeur de l’ANSSI, à Libération : « Ce que j’observe, c’est que cela légitime complètement le modèle français, qui a consisté à séparer l’attaque et la défense. Lorsque l’on confie ces deux missions à une même entité, comme c’est le cas aux États-Unis, le conflit d’intérêts est permanent. Et j’ai des doutes sur le niveau d’arbitrage… ».

Les documents dérobés par Edward Snowden à la NSA ont largement accentué les soupçons. Certains montraient ainsi comment l’agence avait volontairement placé des failles dans certains produits ou protocoles. Il est devenu également courant de se détourner des protocoles estampillés NIST (National Institute of Standards and Technology). Des articles du Guardian et du New York Times pointaient vers des relations troubles avec la NSA, qui aurait été autorisée à placer certaines faiblesses dans des générateurs de nombres pseudo-aléatoires, qui sont à la base du chiffrement.

Un contexte particulièrement obscur qui avait même conduit l’Allemagne à faire stopper toutes les importations de produits réseau américains, en attendant de pouvoir contrôler leur fonctionnement.

Les failles, un matériau hautement explosif

Mais quoi que la NSA, ou plus globalement le gouvernement américain, puisse faire pour protéger son stock de failles, le risque ne peut qu’augmenter avec le temps.

La valeur d’une vulnérabilité dépend pour beaucoup du secret qui l’entoure. Il faut donc leur assurer une bonne protection. Cependant, rien ne peut être fait contre une découverte fortuite par un autre groupe, quel qu’il soit. Si le groupe en question maintient lui aussi le secret et prépare une attaque, ils auront entre les mains le vecteur idéal : une faille 0-day, c’est-à-dire révélée publiquement sans que l’éditeur n’ait jamais été mis au courant.

C’est là que l’histoire de WannaCrypt prend toute son ampleur. Puisque le ransomware exploitait une faille dont les détails avaient été dérobés à la NSA, cela signifie que l’agence était au courant depuis un certain temps. Plutôt que de prévenir Microsoft dès le départ, elle a gardé la faille en réserve. La publication des Shadow Brokers a changé la donne, et il est probable que ce soit l’agence qui ait prévenu finalement l’éditeur. Trop tard.

Ce danger est pointé depuis des années par de nombreux experts en sécurité. On se souvient notamment comment Edward Snowden avait accusé la NSA et les gouvernements de « mettre le feu au futur d’Internet », en gardant pour elles des informations cruciales sur la sécurité des protocoles. De telles informations, si elles tombaient entre de « mauvaises » mains, pourraient alors permettre de vastes attaques contre lesquelles il serait difficile de se protéger.

Le VEP désormais remis en cause

Dans un document publié en janvier 2016 par l’EFF (Electronic Frontier Foundation), le VEP est décrit par le gouvernement comme une politique commune pour fluidifier la mécanique de gestion des failles. Une politique qui ne repose en fait sur aucune base juridique, car ses rouages ne sont présents dans aucune loi.

Ce flou a particulièrement fait grincer des dents Microsoft le week-end dernier en pleine crise WannaCrypt. Le directeur juridique de l’entreprise, Brad Smith, tirait ainsi à gros boulets rouges sur le stockage des failles. Car s’il reconnait que les entreprises doivent faire toujours plus de progrès dans la sécurité et que les utilisateurs doivent faire eux aussi quelques efforts, ces travaux restent vains si les principales clés sont dans d’autres mains.

« C’est un modèle qui émerge en 2017. Nous avons vu des failles stockées par la CIA apparaître sur WikiLeaks, et maintenant cette vulnérabilité de la NSA affecte des clients partout dans le monde. Encore une fois, des exploitations de failles entre les mains de gouvernements ont fuité dans le domaine public et causé de vastes dégâts. Un scénario équivalent avec des armes conventionnelles reviendrait à voler à l’armée américaine des missiles Tomahawk ».

Smith insistait également sur un point crucial : le lien « inattendu et troublant entre une action soutenue par un État et le crime organisé ». Selon certains chercheurs en effet, tout porte à croire que le but premier de WannaCrypt était de semer la panique. Qui que soient les auteurs, ils avaient pour remplir leur mission un arsenal d’État, en l’occurrence des failles stockées par les États-Unis.

Une seule solution pour certains : légiférer

En septembre dernier, Mozilla était déjà montée au créneau sur ces sujets. La fondation émettait d’ailleurs une série de recommandations pour améliorer le processus de validation, et toutes allaient dans le sens d’une meilleure transparence.

Plus particulièrement, le père de Firefox réclamait des agendas et limites claires pour le temps d’évaluation, un vrai travail commun de toutes les agences concernées pour un lot précis de critères, une supervision indépendante, un rattachement du secrétariat du VEP au DHS (Department of Homeland Security) et, surtout, une codification de son fonctionnement dans une loi.

Ce point est désormais central. Le 15 mai, Mozilla remettait le couvert et appelait à une réforme profonde du VEP. Le 17, rebelote, cette fois pour indiquer l’envoi d’un courrier au Congrès américain pour soutenir un projet de loi nommé PATCH, pour « Protecting Our Ability to Counter Hacking Act », porté par les sénateurs Cory Gardner, Ron Johnson, Brian Schatz, ainsi que les députés Blake Farenthold et Ted Lieu, formant une coalition républicains/démocrates sur le sujet.

Objectif principal de la loi, codifier justement le fonctionnement du VEP et le rendre plus transparent. Dans sa lettre au Congrès, Mozilla appuie largement le projet, indiquant qu’il couvre justement les cinq grands points souhaités l’automne dernier par l’éditeur. Mais que changerait réellement la loi si elle devait être votée ?

Principalement, l’obligation d’être appliquée. Le fonctionnement du VEP étant flou, personne ne peut être sûr actuellement qu’il est bien utilisé chaque fois qu’une faille se présente. L’EFF, craignant que la faille Heartbleed dans OpenSSL soit exploitée par la NSA, avait déclenché une procédure FOIA (Freedom of Information Act) pour obtenir les rapports correspondants du VEP. Surprise, la fondation avait découvert qu’il était loin d’être systématiquement appliqué et n’avait été mis en place qu’en février 2010. En outre, la Maison Blanche avait nié une telle exploitation.

Rendu obligatoire, un VEP transparent et supervisé par un organe indépendant pourrait donc produire une meilleure protection générale grâce à un signalement plus systématique des failles aux éditeurs. Cela étant, une telle loi ne remettrait pas en cause le fondement même du problème, qui est le stockage potentiel des failles, puisqu’elle valide l’idée qu’elles puissent être mises de côté. Le problème pourrait donc être réduit (en théorie), mais pas complètement résolu.

Les marchés gris et noirs ont de beaux jours devant eux

Tant que les failles ne feront pas toutes l’objet d’un signalement automatique et clair aux éditeurs concernés, elles constitueront autant de menaces. La complexité des projets informatiques tend toujours à laisser des bugs, malgré les contrôles plus ou moins intensifs réalisés. La seule solution est de les corriger au fur et à mesure et de s’assurer que les utilisateurs appliquent les précieux correctifs.

Comme on a pu le voir encore une fois avec WannaCrypt, l’objectif « 100 % de machines à jour » est impossible à remplir, car il existera toujours des utilisateurs qui pourront ou voudront pas installer les mises à jour. C’est cet écart qui peut être exploité. Et tant que des pirates pourront en tirer un bénéfice financier ou que des agences en obtiendront des données, il existera toujours plusieurs marchés, que la Navy par exemple n'hésite pas à exploiter.

Il existe actuellement un statut quo très particulier sur les failles de sécurité. Les éditeurs leur courent après pour les corriger, mais d’autres les exploitent, les collectionnent ou les revendent. S’il existe depuis bien longtemps un marché noir pour de telles transactions, il y a également un marché gris, avec d’authentiques entreprises dont c’est le cœur d’activité. Exemple, Zerodium, qui paye grassement les découvreurs de faille dans des concours dont le premier prix peut grimper jusqu’à 1,5 million de dollars pour une faille dans iOS.

Le cas d’iOS rappelle la lutte acharnée qui a opposé Apple au FBI. Le Bureau, en possession d’un iPhone 5c récupéré après la fusillade meurtrière de San Bernardino, a essayé pendant plusieurs mois d’obtenir d’Apple le moyen de récupérer les données. Problème, le code PIN à six chiffres choisi par l’utilisateur fait partie intégrante de la clé de chiffrement utilisée sur le smartphone.

Menaçant Apple d’un long procès via une plainte, le FBI avait finalement trouvé son salut dans une faille achetée à un groupe de chercheurs. Le prix exact n’est pas connu, mais à cause d’une indiscrétion de James Comey, directeur du FBI (récemment limogé par Donald Trump), on sait qu’il est d’au moins 1,3 million de dollars. Inversion alors des rôles, Apple courant après le Bureau pour obtenir les détails de cette brèche pour la corriger. Ce que le FBI avait refusé.

La situation actuelle et le projet de loi PATCH illustrent bien dans tous les cas les intérêts très divergents qui existent autour des failles. D’un point de vue strictement sécurité, les stocker revient à introduire des portes dérobées dans le chiffrement : d’autres peuvent les trouver et s’en servir, profitant d’une faiblesse généralisée. Le statut quo est peut-être sur le point de basculer, mais la situation ne sera probablement toujours pas idéale après la décantation qui se profile. Si elle se produit.

Commentaires (27)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

la loi je vois pas le rapport avec patch, ça fait poacha

votre avatar



Puisque le ransomware exploitait une faille dont les détails avaient été dérobés à la NSA, cela signifie que l’agence était au courant depuis un certain temps. Plutôt que de prévenir Microsoft dès le départ, elle a gardé la faille en réserve. La publication des Shadow Brokers a changé la donne, et il est probable que ce soit l’agence qui ait prévenu finalement l’éditeur. Trop tard.



ben trop tard, oui et non. la faille est patchée depuis mars.

le souci à ce niveau c’est le support XP et la politique de mises à jour des entreprises.

à priori peu de particuliers (qui font leurs updates) ont été touchés.





Tant que les failles ne feront pas toutes l’objet d’un signalement automatique et clair aux éditeurs concernés, elles constitueront autant de menaces. La complexité des projets informatiques tend toujours à laisser des bugs, malgré les contrôles plus ou moins intensifs réalisés. La seule solution est de les corriger au fur et à mesure et de s’assurer que les utilisateurs appliquent les précieux correctifs.



soyons réalistes: les failles intéressantes (donc majeures) découvertes par un service de renseignement ne seront jamais signalées, pour la bonne et simple raison que les exploiter est la raison d’être de ce service.



Sans compter que pour un chercheur en sécu qui découvre une faille, il est sans doute plus intéressant de la vendre (par exemple à une boite comme Zerodium comme cité dans l’article) que de jouer le jeu du bug bounty: Apple (Apple quoi, la boite qui pèse des centaines de milliards!) refile 200 000 $ pour une faille du secure boot. Zerodium propose 7 fois cette somme. ^^

votre avatar



“Un scénario équivalent avec des armes conventionnelles reviendrait à voler à l’armée américaine des missiles Tomahawk”

Brad Smith, directeur juridique de Microsoft.





heu… ca veut dire que les failles de windows sont explicitement conçues par Microsoft pour servir d’armes ?



<img data-src=" />

votre avatar







darkbeast a écrit :



la loi je vois pas le rapport avec patch, ça fait poacha



Moi non plus, je ne vois pas le rapport avec moi…







hellmut a écrit :



ben trop tard, oui et non. la faille est patchée depuis mars.



Pas sur 8 et XP. Et sur beaucoup de réseaux où les MAJ sont gérées via WSUS, ca a été mis en application en urgence car en attente de tests avant.


votre avatar

Bof, sur les WSUS c’était déjà publié depuis mars pour ceux qui maintiennent leur parc à jour… Et en plus y avait rien de particulier à craindre avec ces correctifs. Le cumulatif de mars regroupait déjà la faille smb.

votre avatar

“L’attaque” des derniers jours a permis à certains de nos clients (dont aucun n’a été atteint et je me demande comment ???) de prendre conscience qu’il y avait un risque à avoir de vieux systèmes non patchés/protégés.



Pour les plus fortunés, nous proposons la solution Watchguard (revendeur oblige) et pour les autres pfsense dans une VM/PC recyclé.



Pour ce qui concerne les pourriels et autres joyeusetés, nous préconisons Mail In Black. Je ne connaissais pas il y a 3 mois, mais c’est plutôt pas mal et limite les saloperies reçues <img data-src=" />.

votre avatar







matroska a écrit :



Abon les postes clients remettent en cause la sécurité du réseau du Ministère de la Justice ? C’est pas un poste seven qui va planter l’intra du Ministère, au pire tu paralyses l’utilisateur, mais pas l’ensemble du réseau pour une ou deux màj Windows plantées…

 

<img data-src=" />







matroska a écrit :



Non mais depuis mars t’as largement eu le temps de tester avant de déployer en masse… C’est de la mauvaise volonté, c’est tout. Et puis même, ce genre de correctif n’aurait pas remis en cause la stabilité des réseaux et des applications.



<img data-src=" />



Tu as l’air d’être un grand spécialiste en applications. Tu devrais postuler auprès de la SDIT de la Justice, ils te prendront immédiatement tellement tu es visionnaire! <img data-src=" />


votre avatar

La question à se poser est de savoir si l’application du patch peut être plus néfaste que le problème qu’il est censé corriger.



Il est toujours possible de patcher quelques machines pour les tester pendant quelques jours avant de balancer la màj sur tous les postes.

votre avatar







janiko a écrit :



Jusqu’à présent tous les Etats utilisent des armes offensives pour assurer leur sécurité. C’est donc pareil en cybersécurité. Quelqu’un a déjà essayé d’interdire les armes dans le monde ? Bon courage. Ca serait bien, c’est sûr, mais je suis pas sûr qu’on y arrive rapidement.

Ca ne veut rien dire : TOUT matériel peut être “dévoyé”. Il n’y a que moi pour ne pas être étonné que les espions espionnent ? Du temps des machines à écrire, on cherchait à faire des photos des documents écrits, à récupérer le ruban pour “rejouer” ce qui avait été tapé…

Les techniques changent, mais même sans l’introduction volontaire de portes dérobées, il y a de facto des tonnes de vulnérabilités involontaires qui existent partout. Les espions et les criminels ont encore de beaux jours devant eux via les systèmes informatiques.







La différence de la machine à écrire de la grand mère avec l’informatique de nos jours c’est que pour savoir ce qui était écris il fallait accéder à la machine en question et “hacker” que cette machine et pas les autres.

(en plus de se déplacer physiquement)



En informatique, la conservation d’une faille impacte directement beaucoup de monde.


votre avatar

.

votre avatar

La soi disant mise à jour de sécurité Microsoft qui bloque Windows Update



Puisqu’elle bloque Windows Update, qu’un patch peut réactiver, c’est donc une faille volontairement ouverte par Microsoft.

votre avatar







matroska a écrit :



Bof, sur les WSUS c’était déjà publié depuis mars pour ceux qui maintiennent leur parc à jour…



Notre parc est à jour. Mais hors urgence on a toujours un décalage de plusieurs mois entre la publication de MS et la MAJ réelle de nos postes. Le temps d’effectuer des tests en profondeur, et voir si ca fait foirer nos applis internes (voire les postes ou les serveurs) ou pas. Quand les tests valident que tout reste stable, c’est déployé.







matroska a écrit :



Et en plus y avait rien de particulier à craindre avec ces correctifs. Le cumulatif de mars regroupait déjà la faille smb.



Sans aucun test, tu arrives à savoir qu’une MAJ est sans danger pour la stabilité des systèmes? Ah ouai quand même…


votre avatar

Ah parce qu’il y a un débat sur le fait que c’est de la merde de stocker des failles ? Tout le monde n’est pas d’accord ? <img data-src=" />

votre avatar

C’est fréquent des maj qui font foirer tout le parc ou vos applis ?

Sur un serveur ou sur des postes avec des outils particuliers je peux comprendre, mais d’une manière générale n’y a-t-il pas une grande majorité de postes qui utilisent juste office et qui peuvent accepter les mises à jour les yeux fermés ?

votre avatar







ErGo_404 a écrit :



C’est fréquent des maj qui font foirer tout le parc ou vos applis ?

Sur un serveur ou sur des postes avec des outils particuliers je peux comprendre, mais d’une manière générale n’y a-t-il pas une grande majorité de postes qui utilisent juste office et qui peuvent accepter les mises à jour les yeux fermés ?





Quand on a 150000 postes à gérer, il y a toujours des surprises. La gestion des patchs est une des activités les plus difficile de l’IT dès qu’on dépasse 5 machines dans un parc : connaître son parc, son état, ses dépendances est extrêmement difficile, et tu ne peux pas imaginer le nombre de postes “standards” qu’une mise à jour “standard” a fait planter.





ErGo_404 a écrit :



Ah parce qu’il y a un débat sur le fait que c’est de la merde de stocker des failles ? Tout le monde n’est pas d’accord ? <img data-src=" />



Bien sûr qu’il y a débat : prefères-tu que ça soit une organisation d’état ou une mafia qui stocke des failles ? Autant tu peux espérer interdire une organisation d’état de stocker des failles, autant interdire à des cybercriminels de le faire est totalement illusoire. Par ailleurs, comment lutter contre des failles sans les connaître ? Bref il faut plutôt penser à apprendre à vivre avec… hélas.





votre avatar

Dans les grandes entreprises, c’est rare d’utiliser juste Office. La majorité des postes font tourner au moins une application métier incontournable, quand c’est pas dix.

votre avatar

Cela démontre juste que notre économie est devenu extrêmement indépendant des technologie de l’information et d’avoir laisser des quasi monopole à des états étrangers sur la production logiciel et matériels leurs donnent la possibilité de voler, piller, détruire en toute impunité.



Il est je trouve irresponsable de continuer à utiliser des logiciels et du matériel qui peut être dévoyé par des services de renseignement manifestement peux scrupuleux. (pas tant au niveau privé, mais par nos entreprises et services public)

votre avatar







ErGo_404 a écrit :



C’est fréquent des maj qui font foirer tout le parc ou vos applis ?

Sur un serveur ou sur des postes avec des outils particuliers je peux comprendre, mais d’une manière générale n’y a-t-il pas une grande majorité de postes qui utilisent juste office et qui peuvent accepter les mises à jour les yeux fermés ?







T’as même des patchs qui plantent l’office alors le reste…. Le truc c’est que même si t’as que Windows et l’office, ms n’as pas pu testé le patch sur l’ensemble du matos différent qui existe. Et quand on voit que même chez apple avec leur systèmes fermé, certains patch peuvent causer des sous à certaines machines.


votre avatar

Bravo pour cet article très détaillé qui nous éclaire sur un sujet

bien obscur, voire inconnu, pour la plupart des utilisateurs de

“matériel informatique”.

(Nouvel abonné)

votre avatar

Oui mais de nombreuses applications ne sont pas du tout impactées par les mises à jour. Chez les particuliers par exemple même avec du matos un peu hors du commun 99% des mises à jour se déroulent sans soucis et ne provoquent pas de problème. A partir de quand est-ce que les tests en amont prennent plus de temps que la réparation de quelques postes un fois la mise à jour déployée ?



J’imagine que si les entreprises fonctionnent comme ça c’est que c’est la bonne façon de faire, mais ça m’étonne quand même :)

votre avatar

Je préfère que l’Etat ait un service qui cherche et trouve des failles et qui avertisse rapidement l’éditeur du logiciel. Après tout la cybersécurité reste de la sécurité et l’état est là pour protéger la sécurité de ses citoyens.

votre avatar







ErGo_404 a écrit :



…la cybersécurité reste de la sécurité et l’état est là pour protéger la sécurité de ses citoyens.





Jusqu’à présent tous les Etats utilisent des armes offensives pour assurer leur sécurité. C’est donc pareil en cybersécurité. Quelqu’un a déjà essayé d’interdire les armes dans le monde ? Bon courage. Ca serait bien, c’est sûr, mais je suis pas sûr qu’on y arrive rapidement.





essa a écrit :



…Il est je trouve irresponsable de continuer à utiliser des logiciels et du matériel qui peut être dévoyé…



Ca ne veut rien dire : TOUT matériel peut être “dévoyé”. Il n’y a que moi pour ne pas être étonné que les espions espionnent ? Du temps des machines à écrire, on cherchait à faire des photos des documents écrits, à récupérer le ruban pour “rejouer” ce qui avait été tapé…

Les techniques changent, mais même sans l’introduction volontaire de portes dérobées, il y a de facto des tonnes de vulnérabilités involontaires qui existent partout. Les espions et les criminels ont encore de beaux jours devant eux via les systèmes informatiques.


votre avatar







ErGo_404 a écrit :



C’est fréquent des maj qui font foirer tout le parc ou vos applis ?

Sur un serveur ou sur des postes avec des outils particuliers je peux comprendre, mais d’une manière générale n’y a-t-il pas une grande majorité de postes qui utilisent juste office et qui peuvent accepter les mises à jour les yeux fermés ?



Ca serait arrivé un certain nombre de fois de planter la majorité des postes s’il n’y avait pas de test effectué avant, oui. Et là où je bosse 95% de nos postes utilisent des applis pros spécifiques (sans compter que tous sont reliés au réseau local par un domaine foutu bizarrement, pour y accéder il y a un applicatif qui s’installe sur le poste), il n’y a guère que le secrétariat de direction qui n’a rien de spécial en dehors de la suite MSO…


votre avatar







ErGo_404 a écrit :



A partir de quand est-ce que les tests en amont prennent plus de temps que la réparation de quelques postes un fois la mise à jour déployée ?



A partir du moment où une MAJ foireuse plantant à peine 10% des postes peuvent potentiellement paralyser l’ensemble des établissements judiciaires et pénitentiaires, et par conséquent provoquer un problème de sûreté et sécurité au niveau national :)


votre avatar

Je peux te confirmer que la mise à jour d’un logiciel peut avoir un gros impact dans une entreprise. On devait mettre à jour le logiciel pour héberger un site en interne : résultat il ne marchait plus du tout …

Les fonctions php utilisées n’était plus valide avec la nouvelle version …



Donc oui, dans une entreprise on ne peut pas mettre à jour des serveurs facilements

votre avatar

Non mais depuis mars t’as largement eu le temps de tester avant de déployer en masse… C’est de la mauvaise volonté, c’est tout. Et puis même, ce genre de correctif n’aurait pas remis en cause la stabilité des réseaux et des applications.



<img data-src=" />

votre avatar

Abon les postes clients remettent en cause la sécurité du réseau du Ministère de la Justice ? C’est pas un poste seven qui va planter l’intra du Ministère, au pire tu paralyses l’utilisateur, mais pas l’ensemble du réseau pour une ou deux màj Windows plantées…

&nbsp;

<img data-src=" />

WannaCrypt relance le débat sur les dangers des failles stockées par les États

  • La validation des failles aux États-Unis

  • La NSA doit ménager la chèvre et le chou

  • Les failles, un matériau hautement explosif

  • Le VEP désormais remis en cause

  • Une seule solution pour certains : légiférer

  • Les marchés gris et noirs ont de beaux jours devant eux

Fermer