Pour son Tueday Patch de décembre, Microsoft établit un nouveau record avec pas moins de 17 mises à jour. Deux d'entre elles corrigent des failles déjà exploitées par les pirates. Andrew Storms, responsable des questions de sécurité chez nCircle se dit même étonné par ce nombre : « Je m'attendais à une dizaine de mises à jour au maximum, mais pas à 17 ! » a-t-il déclaré. C'est aussi une mise à jour de plus qu'en octobre 2010. Quant aux 40 correctifs, c'est, selon Microsoft, 9 de moins que le record établi en octobre dernier, mais 6 de plus que les plus gros mois d'octobre 2009, de juin et août de cette année. Le nombre total de bulletins émis cette année - 106 - est aussi un record, de même que les 266 vulnérabilités corrigées. Mike Reavey, directeur du Microsoft Security Response Center (MSRC), défend dans un blog le rythme de correctifs livrés en 2010. « Celui-ci est dû en parti à la légère augmentation des rapports de vulnérabilité sur les produits Microsoft et au fait que l'éditeur assure le suivi de ses produits sur des périodes allant jusqu'à dix ans,» écrit-il. «Les anciennes versions sont l'objet d'attaques utilisant des méthodes plus récentes, et ce facteur est aggravé par une augmentation globale de la vulnérabilité, d'où un nombre plus élevé de rapports. »

Un nombre élevé pour une fin d'année

Néanmoins, c'est la valeur élevée du mois de décembre qui a attiré l'attention d'Andrew Storms. «Le nombre est assez surprenant, » estime-t-il en effet. « Au cours des trois dernières années, Microsoft n'a jamais publié plus de 9 mises à jour ce mois-là, » a-t-il comptabilisé. « Certes, Microsoft ne se fie pas nécessairement à ce qui se passe ailleurs, mais le fait est que de nombreuses entreprises n'appliqueront pas la plupart de ces correctifs avant le premier jour de l'année à venir, » a-t-il ajouté. D'une part, les entreprises informatiques sont en effectifs réduits ce mois-ci - à cause des jours fériés et des vacances -, mais par ailleurs, elles ne prendront pas le risque de devoir affronter les problèmes qui pourraient éventuellement résulter de ces correctifs à un moment de l'année très important pour leur entreprise. « Ne rien faire est pour elles un moindre risque, » a déclaré Andrew Storms. « C'est particulièrement vrai pour les entreprises du secteur financier par exemple, qui ont verrouillé leurs systèmes depuis début novembre. Beaucoup interdisent d'effectuer des mises à jour les deux derniers mois de l'année pour s'assurer que leur matériel continuera à fonctionner, » a-t-il expliqué.

Des mises à jour très importantes pour Windows, Exchange et Sharepoint

Deux des 17 mises à jour sont qualifiées de « critiques » par Microsoft, soit la note la plus élevée en terme de menace dans son échelle de gravité à 4 niveaux. Les 14 autres sont classées « importantes », soit au deuxième rang, tandis que la dernière est considérée comme « modérée. » Dix failles pourraient être mises à profit par des hackers pour injecter à distance du code malveillant sur des PC, indique par ailleurs Microsoft dans sa notification préliminaire habituelle. L'éditeur de Redmond qualifie souvent les failles permettant l'exécution de code à distance - les plus dangereuses - d'« importantes », dans le cas où les éléments vulnérables ne sont pas activés par défaut, ou lorsque d'autres circonstances atténuantes, comme des mesures défensives de type ASLR et DEP, peuvent protéger certains utilisateurs. « Parmi les correctifs du prochain Tuesday Patch, on trouvera celui qui corrige une vulnérabilité déjà décrite dans toutes les versions d'IE, » a déclaré Mike Reavey. Début novembre, Microsoft dévoilait un bug «zero-day » dans IE et confirmait que les attaques exploitant la faille étaient déjà en cours. Mais l'éditeur n'avait pas été en mesure de développer et de tester un patch dans les temps pour l'inclure dans sa mise à jour de sécurité mensuelle, prévue six jours après. La mise à jour d'IE à paraître est l'une des deux qualifiées de critique, et sera applicable à toutes les versions du navigateur, à l'exception peut-être d'IE9, toujours en preview.

Crédit photo D.R.