Des mises à jour Microsoft plus disponibles … quelle solution ?

Les ingénieurs de Microsoft ne seront pas heureux ce mois-ci, du fait des actions d’un utilisateur faisant partie de la communauté Github et dénommé Zeffy. Insatisfait de la façon avec laquelle l’entreprise de Redmond délivre les mises à jour Microsoft, il a décidé de corriger lui-même le patch du logiciel.

Zeffy est irrité par la décision de Microsoft d’arrêter les mises à jour de Windows 7 et 8.1 sur les processeurs récents. La société, qui a travaillé dur pour inciter les utilisateurs à mettre à niveau leur système avec Windows 10, a annoncé en janvier dernier qu’il ne mettrait plus à jour les versions de ces anciens systèmes d’exploitation fonctionnant sur des processeurs de septième génération (à savoir le silicium Kaby Lake d’Intel et Bristol Ridge Silicon d’AMD). Un groupe de produits bien précis et utilisant des processeurs Skylake de sixième génération continuerait d’être mis à jour jusqu’à la mi 2017, a-t-il déclaré.

Au niveau du Patch Tuesday d’Avril, la décision est entrée en vigueur. Les messages de mises à jour Microsoft ont indiqué, aux utilisateurs d’anciens systèmes d’exploitation et utilisant des puces de septième génération, que la combinaison de leur version de Windows et de leur CPU n’était plus prise en charge. Les utilisateurs de Windows 7 et 8.1 équipés de processeurs Core de septième génération Intel, avec des puces AMD “Bristol Ridge/Ryzen/Zen” et Qualcomm 8996 se retrouveraient privés de mises à jour Microsoft, selon Bleeping Computer.

“Un doigt d’honneur géant”

Dans le fichier Readme.md sur son Dépôt Github, Zeffy appelle cela “un doigt d’honneur géant à quiconque ne se soumettrait pas à la mise à niveau vers cette aberration indescriptible qu’est Windows 10”.

Il a pris les choses en main, développant le fichier de mises à jour Microsoft afin qu’il puisse voir tous les fichiers qu’il contenait. Ensuite, il a exclu tous les codes binaires liés à Windows Update, faisant apparaitre au final 14 fichiers. Il a comparé ces derniers avec ceux déjà sur son système et a trouvé un fichier contenant deux fonctions : IsDeviceServiceable et IsCPUSupported. Il a corrigé ce fichier pour contourner ces fonctions, empêchant ainsi Windows Update de vérifier si le système méritait d’être mis à jour ou non.

Ce n’est pas la première fois qu’une personne corrige le logiciel d’un autre. Naked Security a déjà écrit au sujet de l’Opération Rosehub, un effort collectif et bénévole de plus de 50 ingénieurs pour corriger des projets Open Source qui utilisaient une version boguée de la bibliothèque Apache Common Collections. De nombreux projets ont utilisé ce code, y compris WebLogic, WebSphere, JBoss et Jenkins. Personne n’a voulu corriger ces nombreux projets Open Source qui se basaient sur la bibliothèque Apache, alors Google s’est proposé !

Un autre exemple de guerre des patchs est 0patch, un projet d’une société de conseil slovène Acros Security. Cette approche utilise ce que l’entreprise appelle “micro-patching“, dans lequel le code binaire n’est absolument pas modifié. Au lieu de cela, les correctifs se résument à des modifications au niveau de la mémoire, généralement plus courtes qu’un tweet, qui bloquent les malwares qui essaient d’exploiter une vulnérabilité particulière.

L’idée est de corriger rapidement des fichiers binaires vis à vis d’exploits spécifiques avant que l’éditeur ne le fasse. Dans de nombreux cas, il est plus facile d’installer un correctif en mémoire de manière ciblée, plutôt que d’essayer de tester un ensemble de patchs différents qui affecteront directement les fichiers binaires, a expliqué Mitja Kolsek, cofondateur d’Acros.

Contourner des politiques de patchs inadéquates

Ces différentes approches dans cette guérilla du patch mettent en lumière les problèmes existants avec les mises à jour logicielles.

0patch est intéressant car c’est un moyen plus simple pour les administrateurs au sein d’entreprises de protéger leur logiciel sans compter sur des correctifs binaires susceptibles d’endommager les systèmes. Le projet a maintenant émis plus de 300 patchs pour divers produits, dont beaucoup n’étaient pas des zero-days.

Comme 0patch, Operation Rosehub est également intéressant car, dans certains cas, les éditeurs de logiciels ne corrigent pas les vulnérabilités rapidement. Dans le cas de Google, le problème vient des projets Open Source pour lesquels personne n’a la responsabilité. Cela met en évidence l’un des problèmes clés de l’Open Source : de nombreuses personnes peuvent être à l’origine d’un problème de sécurité informatique, mais personne ne se précipitera pour le résoudre !

Le cas de Zeffy met en évidence un aspect différent : les corrections sélectives, conçues pour contrecarrer la volonté d’un éditeur au détriment de ses utilisateurs. La décision de Microsoft d’arrêter la mise à jour de Windows 7 et 8.1 sur les processeurs de génération actuelle répond à sa propre volonté, qui a toujours été de forcer le plus d’utilisateurs de Windows possible à passer sur Windows 10.

Microsoft se défend en expliquant que les développeurs devraient travailler trop dur pour supporter les “spécificités de Windows 7” lorsqu’il fonctionne sur des puces récentes. Ainsi, il retient les utilisateurs de versions anciennes en otage, et c’est ce qui dérange vraiment Zeffy.

C’est malheureux, car le combat de la cybersécurité est déjà assez difficile. Nous devrions pouvoir compter sur des éditeurs de logiciels pour supporter leurs produits sur toutes les plateformes jusqu’à leur fin de vie officielle. Microsoft a promis d’offrir un support étendu pour Windows 7, qui comprend des mises à jour Microsoft de sécurité sans frais supplémentaires, jusqu’en janvier 2020. Windows 8 bénéficie d’un support étendu jusqu’en janvier 2023.

Si les correctifs eux-mêmes deviennent un combat à part entière, et que les utilisateurs qui ne veulent pas mettre à niveau leur système d’exploitation doivent partir à la chasse aux outils qui leur permettront de corriger les patchs délivrés par les éditeurs, alors la protection du système, qui s’avère être déjà un processus complexe et incertain, devient encore plus redoutable pour cette vaste majorité d’utilisateurs qui veulent simplement se sentir en sécurité lorsqu’ils utilisent leur système d’exploitation. La solution radicale de Zeffy pourrait ne pas être la dernière !

Follow @ SophosFrance //platform.twitter.com/widgets.js
Billet inspiré de What happens when a vendor doesn’t patch its software?, par Danny Bradbury, Sophos NakedSecurity.