Mises à jour automatiques
Mises à jour automatiques
|
||||
| |
Mises à jour automatiques
Il s'agit de la capacité qu'ont certains programmes de se mettre à jour automatiquement en allant chercher le nouveau code par eux-mêmes et en l'installant. Ce qui suit ne s'applique pas aux mises à jour des bases de signatures des antivirus pour lesquels il est bon d'avoir une mise à jour automatique.
Les mises à jour automatiques posent le simple problème de la capacité donnée à des programmes de télécharger du code non vérifié sur nos ordinateurs et de l'exécuter ! Ces dispositifs sont des failles de sécurité majeures.
L'avènement du Net permet des mises à jour plus fréquentes et plus fluides de nos logiciels, directement depuis les sites de nos éditeurs préférés. Fini les courses chez nos revendeurs pour acheter (ou se faire faire une copie) de la dernière disquette ou du dernier cd de correctifs, de la dernière mise à jour, toujours avec du retard etc. ... Internet a marqué la fin des réseaux de type "pédibus jambis". Et puis il est plus facile de savoir si un correctif nouveau est publié ou une nouvelle version d'un logiciel ou un correctif du correctif...
Mais les mises à jour automatique nécessitent l'existence d'outils sur nos ordinateurs, un outil pour chaque éditeur de logiciel et pour chaque logiciel, ce qui fait beaucoup d'outils. Pourquoi faire ? Pour dire au site sur lequel se connecte l'outil de mise à jour quelque chose du genre "Coucou... j'en suis à la version chose du logiciel tartempion. Est-ce que tu as du nouveau pour moi ?". C'est petits outils sont souvent des contrôles ActiveX qui peuvent être dirigés à distance. Ils peuvent, par destination, introduire du code sur nos ordinateurs et l'exécuter.
Mais nos éditeurs préférés sont des petits sournois et, sous couvert de mises à jour en ligne et AUTOMATIQUES, ils en profitent pour copier notre base de registre, savoir si nos versions sont légales ou pirates, savoir qu'est-ce que nous utilisons d'autre, de chez eux ou de chez leurs concurrents etc. ... Et certains, suivez mon regard, en profitent, en plus, pour modifier nos paramètres et nos réglages, installer des trucs dont on ne veut pas, empêcher certains programmes de fonctionner etc. ...
Et, à force de savoir ce que nous avons sur nos disques, ils ont les moyens de nous profiler, de faire du profiling.
Les modules "Mise à jour automatique" que l'on trouve maintenant dans tous les programmes, ressemblent de plus en plus à des spywares et des chevaux de Troie.
Enfin, tout le monde n'est pas connecté au Net, loin s'en faut, y compris pour des raisons de sécurité et de confidentialité. Donc les mises à jour, lorsqu'elles existent, doivent aussi être disponibles sur d'autres supports.
Après un passage sur Windows Update de Microsoft, pensez à inhiber son GUID.
Nota : de très nombreuses malveillances disposent de capacités d'auto mises à jour et de téléchargement de code. Leurs découvertes sur une machine posent ou mettent en évidence 3 problèmes.
Il s'agit de la capacité qu'ont certains programmes de se mettre à jour automatiquement en allant chercher le nouveau code par eux-mêmes et en l'installant. Ce qui suit ne s'applique pas aux mises à jour des bases de signatures des antivirus pour lesquels il est bon d'avoir une mise à jour automatique.
Les mises à jour automatiques posent le simple problème de la capacité donnée à des programmes de télécharger du code non vérifié sur nos ordinateurs et de l'exécuter ! Ces dispositifs sont des failles de sécurité majeures.
L'avènement du Net permet des mises à jour plus fréquentes et plus fluides de nos logiciels, directement depuis les sites de nos éditeurs préférés. Fini les courses chez nos revendeurs pour acheter (ou se faire faire une copie) de la dernière disquette ou du dernier cd de correctifs, de la dernière mise à jour, toujours avec du retard etc. ... Internet a marqué la fin des réseaux de type "pédibus jambis". Et puis il est plus facile de savoir si un correctif nouveau est publié ou une nouvelle version d'un logiciel ou un correctif du correctif...
Mais les mises à jour automatique nécessitent l'existence d'outils sur nos ordinateurs, un outil pour chaque éditeur de logiciel et pour chaque logiciel, ce qui fait beaucoup d'outils. Pourquoi faire ? Pour dire au site sur lequel se connecte l'outil de mise à jour quelque chose du genre "Coucou... j'en suis à la version chose du logiciel tartempion. Est-ce que tu as du nouveau pour moi ?". C'est petits outils sont souvent des contrôles ActiveX qui peuvent être dirigés à distance. Ils peuvent, par destination, introduire du code sur nos ordinateurs et l'exécuter.
Mais nos éditeurs préférés sont des petits sournois et, sous couvert de mises à jour en ligne et AUTOMATIQUES, ils en profitent pour copier notre base de registre, savoir si nos versions sont légales ou pirates, savoir qu'est-ce que nous utilisons d'autre, de chez eux ou de chez leurs concurrents etc. ... Et certains, suivez mon regard, en profitent, en plus, pour modifier nos paramètres et nos réglages, installer des trucs dont on ne veut pas, empêcher certains programmes de fonctionner etc. ...
Et, à force de savoir ce que nous avons sur nos disques, ils ont les moyens de nous profiler, de faire du profiling.
Les modules "Mise à jour automatique" que l'on trouve maintenant dans tous les programmes, ressemblent de plus en plus à des spywares et des chevaux de Troie.
Enfin, tout le monde n'est pas connecté au Net, loin s'en faut, y compris pour des raisons de sécurité et de confidentialité. Donc les mises à jour, lorsqu'elles existent, doivent aussi être disponibles sur d'autres supports.
Après un passage sur Windows Update de Microsoft, pensez à inhiber son GUID.
Nota : de très nombreuses malveillances disposent de capacités d'auto mises à jour et de téléchargement de code. Leurs découvertes sur une machine posent ou mettent en évidence 3 problèmes.
- la capacité d'auto mise à jour introduit une nouvelle faille de sécurité
- la malveillance introduit son action malveillante propre
- elle révèle qu'une faille préalable a permis son introduction et son installation
| Historique des révisions de ce document : |
|
Historique |
Rédigé en écoutant :
Music
Music