Micropatching : une solution aux vulnérabilités informatiques ?

5 min
17
0
0
Publié le

Le micropatching consiste à appliquer des correctifs sur des programmes et logiciels où des vulnérabilités ont été détectées. Les patchs permettent de corriger des failles logiques et bien délimitées en attendant souvent une mise à jour de sécurité de la part du propriétaire de la solution. Ces correctifs ne proviennent donc pas directement des fournisseurs et fabricants. Leur élaboration est confiée à des entreprises spécialisées ou aux équipes internes du SI. En tant que salarié ou freelance IT vous pouvez donc être amené à concevoir ou installer un micropatch…. Alors en quoi consiste exactement le micropatching et cette technique est-elle vraiment une réponse aux vulnérabilités informatiques ? Découvrez-le dans cet article !

Qu’est-ce que le micropatching ?

Le micropatching est un moyen de réduire le temps entre des mises à jour (ou d’attendre leur parution) en utilisant un petit morceau de code : le patch. Cette technique s’apparente aux correctifs de type Microsoft Quick Fix Engineering et ne nécessite généralement pas de temps d’arrêt ou de redémarrage du système. Le micropatching repose en effet sur la technique du « fonction hooking ».  

Le « fonction hooking » consiste à injecter le code du patch à un certain point dans le processus d’exécution afin que le logiciel « contourne » le code vulnérable. Le timing est ici essentiel. À chaque fois que l’exécutable est chargé dans la mémoire principale, un agent automatique doit charger le fichier à patcher juste après la vérification de la signature (car le micropatch ne peut pas utiliser les signatures du fabricant), mais avant que le code binaire ne soit exécuté.

Le micropatching s’est développé en grande partie à cause des difficultés de gestion des correctifs par les entreprises et organisations.

Selon le « Rapport statistique sur les vulnérabilités 2021 » d’Edgescan, une société de service de sécurité informatique, le temps moyen entre le moment où une vulnérabilité est détectée et celui où la mise à jour de sécurité est effectuée est de 60,3 jours. En parallèle, il faut environ 48 heures pour qu’un code malveillant soit programmé dès qu’une vulnérabilité est rendue publique.

De nombreuses vulnérabilités ne sont aussi jamais corrigées du tout. Des logiciels malveillants et ransomwares tirent encore parti de failles qui sont pourtant connues depuis 5 ans ou plus… Pourquoi les mises à jour de sécurité ne sont-elles pas faites ? Les raisons sont multiples :

  • Il faut attendre que le fournisseur de solution analyse, corrige la faille et mette à disposition une version corrigée.

  • Si la mise à jour n’est pas automatique, il faut avoir du personnel qualifié et disponible en interne ou trouver un freelance pour effectuer la mise à jour. 

  • Les entreprises doivent tester rigoureusement les correctifs notamment s’ils se présentent sous la forme d’une nouvelle version afin de s’assurer qu’ils sont compatibles avec le reste du système.

  • Les mises à jour peuvent nécessiter un redémarrage ou des temps d’arrêt difficiles à planifier sur des systèmes en production.

Le micropatching offre donc ici l’avantage d’être plus rapide à mettre en place et de ne pas entraver le fonctionnement du SI. Certains de ses partisans considèrent que cette pratique est suffisante pour assurer la sécurité informatique notamment lors de l’utilisation de produits en fin de vie et dont le support a pris fin. Selon eux, des solutions telles qu’Office 2012, Windows 7 et Server 2008 R2 pourraient même continuer à être utilisées de manière fiable grâce au micropatching. Mais cela suffit-il à garantir la cybersécurité ?

Le micropatching est-il une option viable pour la cybersécurité ?

La rapidité et la facilité de déploiement des micropatches peuvent aider à réduire l’écart entre les mises à jour de sécurité. Cependant, ces morceaux de code ne peuvent pas corriger toutes les failles de sécurité et restent insuffisants pour garantir la sécurité informatique à plusieurs niveaux.

Les micropatches ne peuvent notamment pas être utilisés dans des codes où l’interprétation  ne se fait qu’au moment de l’exécution (comme avec PHP ou Python par exemple). Il est dans ce cas impossible d’inclure le code du patch dans les processus. 

De plus, l’élaboration de micropatches est particulièrement complexe, car les équipes IT doivent modifier un exécutable, sans voir le code source de l’éditeur du logiciel. Ils doivent généralement s’appuyer sur d’autres versions du programme ou les développer entièrement par eux-mêmes pour ensuite comprendre l’architecture par reverse engineering.

Pour pallier cette complexité, des plateformes comme 0patch ont été créées. Elles permettent aux développeurs et chercheurs en sécurité de créer des micropatches plus facilement. L’entreprise publie aussi elle-même des patchs. C’est par exemple 0patch qui est à l’origine de la plupart des correctifs pour Windows 7 (et notamment celui d’une faille 0day) depuis l’abandon du support par Microsoft. 

Cependant, ces micropatching tiers restent concentrés pour l’instant sur des logiciels informatiques très populaires utilisés dans de nombreux domaines. Pour les logiciels métiers moins utilisés, ce sont souvent encore les équipes internes qui doivent se charger de la conception. De plus, les experts IT doivent être en mesure de vérifier qu’ils ne créent pas eux-mêmes une nouvelle vulnérabilité dans le code du patch. La problématique est bien entendu la même lors de l’utilisation de micropatches de fournisseur tiers. 

Le micropatching ne remplace donc pas une solide stratégie de gestion des correctifs. Néanmoins, cette technique permet d’allonger les délais entre 2 mises à jour de sécurité et de corriger plus simplement et rapidement des vulnérabilités. Même si les micropatches sont rarement inclus dans les politiques de sécurité, ils sont de plus en plus exploités et demandés par les entreprises en particulier dans le secteur industriel où des mises à jour en production ne sont pas envisageables.

Et vous en tant que professionnel de l’IT avez-vous déjà conçu ou installé des micropatches ? Partagez-nous votre expérience en commentaire ou sur le forum IT !

Source et liens utiles :

Le bug zero-day de Windows ‘InstallerFileTakeOver’ obtient un micropatch gratuit, ezpublish-france.fr

Site officiel de 0Patch

Démonstration d’un micropatch sur une faille zéro day (Follina)


Boostez votre carrière

Les meilleures offres d’emploi sont chez Free-Work

Notre CVthèque est la première source de recherche de talents pour + 1 000 entreprises. Déposez votre CV et postulez en un clic !

Continuez votre lecture autour des sujets :
# Cybersécurité

Commentaire

Dans la même catégorie