Patch Tuesday
Tuesday Patch (Patch Tuesday)
|
||||
| |
Le "Patch Tuesday" (ou "Tuesday Patch") est le second mardi de chaque mois. C'est ce jour là que Microsoft publie ses correctifs mensuels.
Ceci est en place depuis octobre 2003. Avant, Microsoft publiait ses correctifs (dont les correctifs de sécurité), au fur et à mesure de leur sortie. Cette manière de faire présentait quelques inconvénients, en particulier :
Le second mardi de chaque mois a été choisi pour ne pas introduire de surcharge de travail et de risque d'instabilité des systèmes en début de mois et en fin de mois dans les entreprises (périodes plus sensibles - on peut, par exemple, penser aux payes, facturations des clients, déclarations sociales, fiscales, reporting comptables etc. ...). Le mardi relève de la même démarche : pas en début de semaine mais pas en fin de semaine non plus de manière à ce que tout soit déployé et stable avant le week-end (période, on, le sait, où les grosses sociétés travaillent mais ses informaticiens sont injoignables !
).
En procédant ainsi, les mises à jours sont livrées par paquets spectaculaires et bénéficient d'une couverture médiatique simultanée de tous les médias, ce qui permet à l'information de mieux pénétrer la foule passive des utilisateurs.
L'inconvénient est que certaines mises à jour urgentes (corrections de failles dites "critiques") vont être différées jusqu'au "Patch Tuesday".
Par dérision, le lendemain du "Patch Tuesday" a été appelé le "Hack Wednesday", jour où les hackers se lancent dans l'analyse des correctifs pour y découvrir de nouvelles failles et lancer de nouveaux types d'attaques (Microsoft n'étant pas connu pour sa réactivité aux failles de sécurité ni pour sa grande maîtrise de la sécurité en général - Microsoft est plutôt qualifié de "générateur de failles en flux continu" même si l'introduction de la notion de "moindre privilège" corrige un peu le tir).
Enfin, on peut remarquer certains écarts de conduites de Microsoft et, plusieurs fois l'an, le "Patch Tuseday" est violé par la publication, hors calendrier, de correctifs.
D'autre part, certaines failles de sécurité qualifiées par Microsoft de "Critiques" sont corrigées plus lentement que d'autres présentant moins de risques.
Ceci est en place depuis octobre 2003. Avant, Microsoft publiait ses correctifs (dont les correctifs de sécurité), au fur et à mesure de leur sortie. Cette manière de faire présentait quelques inconvénients, en particulier :
- Les mises à jour au fil de l'eau ne bénéficiaient pas d'un couverture médiatique particulière (ce n'était pas "évènementiel") et n'était pas, de ce fait, suivie par les particuliers qui n'y attachaient aucune importance. L'introduction de l'automatisme corrige le laxisme des utilisateurs (trop parfois, avec des solutions intrusives comme le Push que Microsoft a introduit secrètement dans Windows et qui lui permet d'imposer du code quand bien même Microsoft Update est volontairement bloqué par un outil de sécurité comme le pare-feu).
- Chez les gros clients Microsoft, les ordinateurs, chacun équipé de Windows Update (puis, plus tard, de Microsoft Update), se mettaient à jour au petit bonheur la chance, lorsqu'ils étaient connectés et que l'utilisateur pensait à lancer la recherche de correctifs. Pire : certains correctifs introduisaient des blocages d'applications et il fallait aux directions informatiques redresser en urgence un parc anarchiquement mis à jour. L'idée de mises à jour automatiques est née de cette constatation : le parc informatique doit être au même niveau partout en même temps.
Le second mardi de chaque mois a été choisi pour ne pas introduire de surcharge de travail et de risque d'instabilité des systèmes en début de mois et en fin de mois dans les entreprises (périodes plus sensibles - on peut, par exemple, penser aux payes, facturations des clients, déclarations sociales, fiscales, reporting comptables etc. ...). Le mardi relève de la même démarche : pas en début de semaine mais pas en fin de semaine non plus de manière à ce que tout soit déployé et stable avant le week-end (période, on, le sait, où les grosses sociétés travaillent mais ses informaticiens sont injoignables !
).En procédant ainsi, les mises à jours sont livrées par paquets spectaculaires et bénéficient d'une couverture médiatique simultanée de tous les médias, ce qui permet à l'information de mieux pénétrer la foule passive des utilisateurs.
L'inconvénient est que certaines mises à jour urgentes (corrections de failles dites "critiques") vont être différées jusqu'au "Patch Tuesday".
Par dérision, le lendemain du "Patch Tuesday" a été appelé le "Hack Wednesday", jour où les hackers se lancent dans l'analyse des correctifs pour y découvrir de nouvelles failles et lancer de nouveaux types d'attaques (Microsoft n'étant pas connu pour sa réactivité aux failles de sécurité ni pour sa grande maîtrise de la sécurité en général - Microsoft est plutôt qualifié de "générateur de failles en flux continu" même si l'introduction de la notion de "moindre privilège" corrige un peu le tir).
Enfin, on peut remarquer certains écarts de conduites de Microsoft et, plusieurs fois l'an, le "Patch Tuseday" est violé par la publication, hors calendrier, de correctifs.
D'autre part, certaines failles de sécurité qualifiées par Microsoft de "Critiques" sont corrigées plus lentement que d'autres présentant moins de risques.
| Historique des révisions de ce document : |
|
Historique
|
Rédigé en écoutant :
Music
Music