Le mois de mai a connu un tir groupé de correctifs majeurs.
Thierry Berthier est Maître de Conférences en mathématiques à l'Université de Limoges et enseigne dans un département informatique. Il est chercheur au sein de la Chaire de cybersécurité & cyberdéfense Saint-Cyr – Thales -Sogeti et est membre de l'Institut Fredrik Bull.
Atlantico : Le mois de mai a été une période chargée pour les mises à jour de sécurité, avec le navigateur Chrome de Google et le système d'exploitation Android et iOS d'Apple qui ont publié des correctifs pour corriger de graves vulnérabilités. Microsoft, Cisco, Nvidia et Zoom ont aussi sorti des correctifs pour des défauts urgents. Quelles ont été les principales mises à jour pour Apple et iOS ? Pourquoi sont-elles intervenues ?
Thierry Berthier : Les 34 mises à jour de sécurité publiées le 16 mai par Apple concernent iOS 15.5 et iPadOS 15.5. Certaines d’entre elles s’appliquent au noyau du système d’exploitation et revêtent un caractère prioritaire ou critique. Dans cet ensemble figurent par exemple la vulnérabilité Apple AVD CVE-2022-26702 et son patch correctif qui déclare qu’une application peut être en mesure d'exécuter du code arbitraire avec les privilèges du noyau. La vulnérabilité CVE-2022-26751 AppleGraphicsControl, quant à elle, montre que le traitement d'une image conçue de manière malveillante peut entraîner l'exécution de code arbitraire et qu’un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées. Les vulnérabilités affectant les pilotes GPU, le Noyau, le DriverKit, IOKit, ImageIO, AVEVideoEncoder sont particulièrement critiques puisqu’elles permettent à une application d’exécuter du code arbitraire avec les privilèges du noyau. En d’autres termes, un attaquant pourrait exploiter ces failles de sécurité pour s’introduire dans le système, élever ses privilèges et en prendre le contrôle avec un objectif de vol de données et/ou de demande de rançon après le chiffrement de ces données (rançongiciel). La vulnérabilité CVE-2022-26731 de navigation privée Safari montre qu’un site Web malveillant peut être en mesure de suivre les utilisateurs en mode de navigation privée Safari et que le problème a été résolu par une meilleure gestion des états. Dans chaque cas, il s’agit de vulnérabilités critiques qui engagent la sécurité de la machine. Il est donc primordial d’effectuer, sans délai, les mises à jour de sécurité préconisées. Ces annonces de sécurité sont évidemment très suivies par les groupes cybercriminels qui peuvent les exploiter sur les systèmes non corrigés.
Au vu des problèmes corrigés par les dernières mises à jour de mai-début juin, à quel point est-il important que ces dernières soient faites rapidement ?
A l’instant même de leur publication, ces vulnérabilités sont autant de clés potentielles pour ouvrir des portes dans un système et construire des attaques ciblées ou opportunistes. Une course contre la montre est engagée dans laquelle les perdants sont toujours les retardataires n’ayant pas effectué leurs mises à jours et patch correctifs. D’un point de vue purement systémique, la négligence est le premier vecteur de risque : parfois, nous refusons ou retardons les mises à jour par manque de temps, de disponibilité ou par lassitude et nous offrons instantanément de nouvelles surfaces d’attaques aux attaquants et acteurs malveillants. Cette négligence par défaut affecte chaque utilisateur à un instant ou à un autre. Le « facteur humain » est en général le maillon faible dans la chaine de sécurité. Nos biais cognitifs, notre niveau de fatigue, de conscience ou de disponibilité, associés aux failles de sécurité et aux vulnérabilités des systèmes, à la motivation et au professionnalisme des groupes cybercriminel, favorisent et produisent le risque cyber. Les mises à jour de sécurité, le choix de mots de passe robustes, la méfiance par défaut dans l’ouverture de fichiers joints ou de mails douteux doivent devenir des automatismes d’hygiène numérique.
Quels sont les risques pour un appareil sans mise à jour ? Le risque est-il le même selon les systèmes d’exploitation ?
Tous les systèmes d’exploitation sont concernés par les vulnérabilités et les mises à jour de sécurité, y compris Linux et les OS mobiles comme Android. Chaque système offre une surface d’attaque spécifique avec des failles de sécurité spécifiques. Il faut distinguer le risque et l’impact. Une machine non mise à jour peut présenter un risque élevé de prise de contrôle ou de destructions par un rançongiciel mais avec un impact faible ou limité à un seul utilisateur et ses activités personnelles. Quand un smartphone est connecté au système d’information d’une entreprise, l’impact peut devenir gigantesque pour l’organisation. Tout dépend du périmètre d’utilisation du système et de son niveau de connectivité avec d’autres services. Un ordinateur, une tablette ou un smartphone non mis à jour constituent par défaut un système vulnérable exploitable par des attaquants qui appliquent le principe de simplicité ou parcimonie d’Ockham (ou rasoir d’Ockham). Les attaquants optimisent leurs efforts. Ils sont généralement opportunistes et ciblent en priorité les systèmes les plus vulnérables, c’est-à-dire les plus simples à « taper ». Toutefois, lorsqu’il s’agit d’une attaque ciblée de haut niveau, furtive, sophistiquée, le principe d’Ockham peut être contredit compte tenu des enjeux de l’attaque et des gains attendus. L’attaquant choisira alors la méthode ayant le plus de chance d’aboutir sans laisser de trace mais pas forcément la plus simple à mettre en œuvre. Dans tous les cas, les systèmes non patchés sont des opportunités à saisir !
Le contexte actuel de recrudescence des cyberattaques rend-il les mises à jour plus importantes que jamais ?
Certainement. Le niveau de risque cyber est en croissance permanente pour toutes les organisations, entreprises, PME, grands groupes, mais aussi pour les particuliers. Les entreprises disposent en général d’un service informatique et parfois d’un DSI (Directeur de la sécurité) responsable de la stratégie de sécurité de la structure. Les doctrines et protocoles de mise à jour, de sauvegardes régulières des données et de protection du système d’information constituent le socle de sécurité de l’entreprise. Les très petites entreprises, PME, commerces, collectivités territoriales constituent des cibles privilégiées. Certaines ont bien pris en compte le risque cyber, d’autres moins. Les contextes de risques sont ceux où des employés utilisent et connectent leurs tablettes ou smartphone personnels au système de leur entreprise, dans le cadre de travail à distance, de visioconférence ou de travail collaboratif. Si cette machine personnelle présente des failles de sécurité, elle met en danger l’ensemble du système. L’hyperconnectivité facilite le travail tout en augmentant les surfaces d’attaques et le risque cyber. Les mises à jour systématiques sont alors indispensables pour faire baisser ce risque.
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !