Patch Tuesday

Le système de mise à jour de Windows a souffert de deux problèmes affectant d'un côté les utilisateurs novices et de l'autre les administrateurs de grands parcs de machines.

Le premier problème touchait les utilisateurs novices qui ne le connaissaient pas et donc ne l'utilisaient pas. La solution de Microsoft a été d'introduire le système des « mises à jour automatiques » qui informe l'utilisateur que des mises à jour sont disponibles pour son système.

Le second problème affecte les grands déploiements du système, comme le connaissent les grandes entreprises. De tels déploiements font qu'il est difficile de vérifier que tous les systèmes sont bien à jour. Le problème s'est aggravé par le fait qu'une rustine pouvait empêcher le fonctionnement correct d'une application et devait donc être désinstallée.

Afin de réduire les coûts engendrés par le déploiement des patchs, Microsoft a créé le concept de Patch Tuesday. L'idée est que des patchs sont accumulés durant un mois et sont ensuite distribués un jour précis pour que les administrateurs systèmes puissent s'y préparer. Cette date a été fixée à peu près au début de la semaine et surtout suffisamment loin de sa fin pour que tout problème éventuel puisse être corrigé avant le week-end. Les administrateurs système peuvent prévoir comme étant « jour des mises à jour » le second mardi de chaque mois et s'y préparer en conséquence.

Le terme Patch Tuesday a été utilisé pour la première fois le troisième trimestre de l'année 2004. Il est devenu synonyme du jour où les créateurs de logiciels mettent à disposition leurs mises à jour de sécurité. Quelques journalistes et quelques analystes parlent de Hack Wednesday, ou Exploit Wednesday, comme étant le jour d'après où les hackers lancent des attaques en utilisant les vulnérabilités nouvellement découvertes et publiées.

La conséquence la plus évidente est que les corrections de problèmes de sécurité ne sont pas proposées aux utilisateurs le plus rapidement, leurs systèmes peuvent donc être vulnérables durant une période allant jusqu'à un mois après la réalisation effective d'un correctif. Implicitement, cette politique suppose que la plupart des attaques soient le fait de méthodes de rétro-ingénierie plutôt que de failles zero day du lendemain. On ne sait pas dans quelle mesure cette hypothèse est vérifiée en pratique.

Dans le passé, il y a eu des cas où les vulnérabilités ont été rendues publiques le lendemain ou quelques jours plus tard, permettant ainsi la propagation de vers informatiques. Cela ne laisse pas à Microsoft suffisamment de temps pour incorporer ses mises à jour et donc théoriquement, une ouverture d'un mois pour que les attaquants et les vers informatiques exploitent le trou de sécurité avant qu'un patch ne résolve le problème.

Dans la plupart des cas, les mises à jour de Microsoft et les correctifs sont seulement diffusés le jour du Patch Tuesday. Cependant, des cas où les mises à jour sont délivrées en dehors de cette date ne sont pas rares et se produisent, en moyenne, plusieurs fois par année.

Les critiques disent que le rapport entre les vulnérabilités choisies par Microsoft qui sont comblées chaque mois et l'importance de ces failles n'est pas suffisamment élevé. Il y a eu des cas où les vulnérabilités ont été jugées comme « hautement critiques », exploitées activement par des vers informatiques et qui n'avaient pas reçu de correctifs, alors que d'autres jugées moins sévères avaient été comblées lors du Patch Tuesday. Cela vient du fait que plusieurs failles sont analysées en même temps par l'équipe de développement et les plus simples sont résolues plus rapidement. La résolution d'une faille est affectée à un développeur en fonction de ses compétences. Les résolutions les plus complexes nécessitent la collaboration de plusieurs personnes et de partenaires extérieurs qui sont déjà occupés sur d'autres sujets importants.

Beaucoup d'exploits sont conçus peu de temps après la publication d'une mise à jour. En analysant la mise à jour, les concepteurs d'exploits peuvent facilement renseigner les autres sur les méthodes d'exploitation d'une vulnérabilité précise. Par conséquent, le terme Exploit Wednesday a été introduit[2].

La bande passante Internet est utilisée pendant plusieurs minutes à cause du nombre important de mises à jour et de la grande taille de certaines d'entre elles. Pour ceux qui optent pour les mises à jour recommandées en plus des mises à jour critiques, il faut compter encore plus de fichiers. Pour ceux qui optent pour Microsoft Update, les mises à jour concernent aussi les autres logiciels de Microsoft (Office, SQL Server, ...).

Windows Update / Microsoft Update utilisent le protocole BITS qui télécharge les mises à jour en laissant la priorité aux actions de l'utilisateur. Il sait reprendre un téléchargement là où il en était avant l'arrêt de l'ordinateur. Mais BITS ne sait pas ce que font les autres ordinateurs du même réseau donc plusieurs ordinateurs qui téléchargent en même temps peuvent bloquer l'accès Internet pendant plusieurs heures.

Il est recommandé aux entreprises de mettre en place leur serveur de mises à jour WSUS. Celui-ci récolte chaque mise à jour, puis la met à disposition des Windows du parc informatique de l'entreprise. De plus, WSUS permet de valider celles que l'on accepte de déployer.

À partir de Windows 10, BITS télécharge les mises à jour en priorité depuis les autres ordinateurs du même réseau informatique. Si aucun ordinateur du réseau local ne répond alors la mise à jour demandée est téléchargée depuis les serveurs de Microsoft. Le processus est donc plus rapide et la bande passante Internet est économisée. BITS peut toujours se connecter au WSUS si l'administrateur informatique de l'entreprise le paramètre ainsi.