Vous sentez-vous plus en sécurité ? Votre expérience informatique est-elle plus fiable de nos jours ?
Sérieusement, vous lisez cet article sur un ordinateur ou un téléphone, vous vous connectez à ce site sur un Internet partagé avec votre grand-mère ainsi que des pirates russes, des attaquants nord-coréens et de nombreux adolescents regardant des vidéos TikTok. Cela fait 20 ans que le PDG de Microsoft, Bill Gates, a écrit son Mémo informatique fiable où il a mis l’accent sur la sécurité des produits de l’entreprise.
Alors sommes-nous réellement plus en sécurité maintenant ?
Je vais garder à l’esprit les effets secondaires des mises à jour de sécurité du Patch Tuesday de la semaine dernière et les prendre en compte dans ma réponse. Tout d’abord, la bonne nouvelle : je ne vois pas d’effets secondaires majeurs sur les PC non connectés aux domaines Active Directory (et je n’ai vu aucun écueil lors des tests de mon matériel à la maison). Je peux toujours imprimer sur mes imprimantes HP et Brother locales. Je peux surfer et accéder aux fichiers. Donc, bien que je ne sois pas encore prêt à donner le feu vert pour installer les mises à jour de janvier, je doute que vous voyiez des effets secondaires.
Mais pour les entreprises, les mises à jour de ce mois-ci livrent une histoire confuse et trouble. Microsoft n’a pas vraiment été un bon partenaire informatique digne de confiance ce mois-ci. Au lieu de prendre les deux dernières décennies pour développer des systèmes résistants et à l’épreuve des balles, nous obtenons des serveurs entrant dans des boucles de démarrage et les administrateurs devant démarrer en mode DOS et exécuter des commandes pour désinstaller les mises à jour.
Ce n’est pas là où nous étions censés être à ce stade.
Comme Gates l’a dit il y a 20 ans : « Disponibilité : nos produits doivent toujours être disponibles lorsque nos clients en ont besoin. Les pannes de système devraient appartenir au passé grâce à une architecture logicielle qui prend en charge la redondance et la récupération automatique. L’autogestion devrait permettre la reprise du service sans intervention de l’utilisateur dans presque tous les cas.
Et pourtant, je retarde toujours les mises à jour sur mes systèmes informatiques car les dernières mises à jour, notamment, ont montré que les serveurs pouvaient avoir des problèmes de récupération. Exemple : « Les contrôleurs de domaine des serveurs Windows peuvent redémarrer de manière inattendue. » Cela est apparu après les correctifs de sécurité de la semaine dernière sur toutes les plates-formes de serveur Windows prises en charge. Comme noté dans le rédaction d’un problème connu, cela se produit après avoir utilisé les propres conseils recommandés par Microsoft pour le renforcement d’Active Directory, qui incluaient l’utilisation de Shadow Principals dans Enhanced Security Admin Environment (ESAE) ou des environnements avec Privileged Identity Management (PIM). Les systèmes concernés incluent Windows Server 2022 (KB5009555); Serveur Windows, version 20H2 (KB5009543); Windows Serveur 2019 (KB5009557); Windows Serveur 2016 (KB5009546); Windows Server 2012 R2 (KB5009624) Windows Serveur 2012 (KB5009586).
J’ai également vu des rapports selon lesquels, suite aux conseils de renforcement de la sécurité d’Active Directory (créés après la Communiqués de sécurité de novembre) déclenchera le problème de redémarrage si vous avez définissez la valeur PACRequestorEnforcement sur 2.
Même avec les services cloud, les problèmes de disponibilité restent non résolus. Par exemple, Microsoft 365 a un Compte Twitter dont l’objectif est de communiquer sur les problèmes de disponibilité avec le service. Il se passe rarement une semaine sans que je reçoive une alerte concernant un problème de service. Les services cloud sont renforcés, mais je ne vois pas beaucoup de progrès ni avec les serveurs locaux ni avec les services cloud. Au lieu de planifier une récupération automatique, nous devons nous assurer que nous disposons de services alternatifs et d’autres moyens de communication si nos systèmes sont touchés par des correctifs ou par des ransomwares.
Plus de Gates : « Sécurité : Les données que nos logiciels et services stockent au nom de nos clients doivent être protégées contre tout dommage et utilisées ou modifiées uniquement de manière appropriée. Les modèles de sécurité doivent être faciles à comprendre pour les développeurs et à intégrer à leurs applications. »
Et pourtant, les versions de sécurité de la semaine dernière incluaient une communication confuse concernant une faille potentiellement vermifuge. Le bogue https sous la forme de CVE-2022-21907 est pas clair sur quelles versions sont vulnérables. La clarification et l’analyse devaient provenir de sources externes avant que nous puissions comprendre que Windows 10 version 1809 et Server 2019 ne sont pas vulnérables par défaut — sauf si la clé de registre HKLM:\System\CurrentControlSet\Services\HTTP\Parameter\EnableTrailerSupport est définie sur 1. Versions de Windows 10 après 1809 sont vulnérable par défaut. Je dirais que 20 ans après la publication du mémo informatique fiable, nos modèles de sécurité – et tout aussi important, notre communication de sécurité – ne sont toujours pas faciles à comprendre.
Nous suivons également problèmes avec les serveurs HyperV sur Server 2012R2 (et, semble-t-il, uniquement cette plate-forme) où les machines virtuelles ne démarrent pas après l’application de KB5009624 sur des appareils utilisant UEFI. Si vous avez des serveurs virtuels hébergés sur Server 2012R2, évitez d’installer des mises à jour sur ces plates-formes.
Et les utilisateurs de postes de travail Windows 10 qui s’appuient sur des réseaux privés virtuels pour l’accès à distance doivent désinstaller les mises à jour de janvier en raison d’un effet secondaire qui interrompt l’accès VPN sur les systèmes Windows 10 ou Windows 11. Pour ceux qui comptent sur le VPN L2TP ou le VPN IPsec, vous ne parvient pas à se connecter à l’aide du VPN après avoir installé les mises à jour.
Gates a clôturé son mémo par ceci : « À l’avenir, nous devons développer des technologies et des politiques qui aident les entreprises à mieux gérer des réseaux toujours plus grands de PC, de serveurs et d’autres appareils intelligents, sachant que leurs systèmes commerciaux critiques sont à l’abri des dommages. Les systèmes devront devenir autogérés et intrinsèquement résilients. Nous devons nous préparer dès maintenant au type de logiciel qui rendra cela possible, et nous devons être le type d’entreprise sur laquelle les gens peuvent compter pour le fournir.
Alors, comment cela a-t-il fonctionné ? Nous sommes au même endroit où nous étions il y a 20 ans; nous devons toujours compter sur nous-mêmes pour décider du bon moment pour installer les mises à jour.
Alors, que pensez-vous vraiment de la sécurité ? Participez à la discussion dans le Forums AskWoody!
Copyright © 2022 IDG Communications, Inc.