Le deuxième mardi de chaque mois, Microsoft livre son Patch Tuesday et publie le jeudi d'avant une petite note sur les mises à jour prévues. La mise au point publiée hier indique que le mois de juin 2013 sera particulièrement tranquille pour les administrateurs informatiques - avec une exception notable toutefois.

Microsoft annonce cinq bulletins de sécurité pour la semaine prochaine. C'est le plus petit depuis le début de l'année, de sorte que les administrateurs informatiques pourront faire une pause dans le rythme effréné de la mise en oeuvre de patchs, souligne Wolfgang Kandek, directeur technique de Qualys. En plus de cela, parmi les cinq bulletins -, un seul est considéré comme critique, tandis que les quatre autres sont simplement importants. lls ne doivent toutefois pas être sous-estimés, car ils corrigent certains des composants Windows les plus largement utilisés et importants, précise encore Wolfgang Kandek.

Déjà 8 bulletins de plus que l'année dernière 

Paul Henry, analyste sécurité chez Lumension, souligne qu'à mi-parcours de l'année 2013, on compte huit bulletins de plus que l'an dernier à la même date. Il note aussi qu'il y a eu exactement le même nombre de bulletins critiques à ce jour, avec 16.

La grande priorité pour juin sera le bulletin 1: une mise à jour cumulative pour Internet Explorer qui affecte toutes les versions d'IE sur toutes les plateformes Windows. « Le bulletin 1 est carrément effrayant, et bloque une exécution de code à distance sur IE sur toutes les versions de Windows [allant de IE 6 à 10 sur différentes plates-formes]», indique Ken Pickering, directeur de la sécurité chez Core. « Il serait en effet facile d'accéder à distance à la machine de quelqu'un via une page web malveillante. »

Attention au pishing

M.Henry ne partage toutefois pas cet avis sur la sévérité globale. « Même si cela peut être très inquiétant à première vue, le bulletin ne doit pas provoquer l'inquiétude excessive. Pour que la vulnérabilité puisse être exécutée, un attaquant aurait à concevoir un site malveillant et utiliser une attaque de phishing peut leurrer un utilisateur non averti sur le site, qui pourrait alors compromettre le système. »

Même en gardant cela à l'esprit, il y a encore lieu de s'inquiéter. Une attaque de phishing bien conçue peut connaître un grand succès, attirer les utilisateurs peu méfiants et compromettre leurs propres systèmes. Certaines banques françaises ont fait des tests de phishing en mai dernier pour s'assurer que leurs salariés ne tombent pas dans le piège. Les taux de réussite ne nous ont bien sûr pas été communiqués. Wolfgang Kandek conseille toutefois aux entreprises de ne pas perdre de temps : « Puisque le navigateur est une porte ouverte sur le web, les utilisateurs d'IE devraient appliquer ce correctif dès qu'il sera disponible ».

Des bulletins également importants 

Le bulletin 5 est également intéressant. Il s'agit d'une vulnérabilité dans Microsoft Office, mais la plupart des administrateurs n'y prêteront pas beaucoup d'attention. Il concerne Office 2003 SP3 sur les systèmes Windows, mais également Office 2011 sur Mac. Ce qui est inquiétant dans le bulletin 5, c'est qu'il s'agit d'une vulnérabilité d'exécution de code à distance. Office possède une large base d'utilisateurs. Généralement l'attaque est effectuée par l'envoi de fichiers malveillants via e-mail ou en les hébergeant sur un site web compromis. Cette vulnérabilité permet également à un attaquant de prendre le contrôle total de l'ordinateur de la victime et est classée comme "RCE" (Remote Code Execution).

Le bulletin 2 résout une vulnérabilité dans Windows Server ainsi que dans les versions 32 bits de Windows qui pourrait permettre la divulgation d'informations. Windows 7, 8, Vista, XP ainsi que Server 2003 et 2008 sont touchés. Le bulletin 3 corrige seulement une vulnérabilité pouvant permettre un déni de service, et affecte les systèmes d'exploitation serveur (Windows 2008, R2 et 2012). Le bulletin 4 corrige une vulnérabilité permettant l'élévation de privilège, ce qui implique que l'attaquant aurait besoin d'identifiants valides pour exploiter cette vulnérabilité et obtenir des privilèges plus élevés.

Dans l'ensemble, ce Patch Tuesday de juin ne semble pas très difficile à appliquer pour les administrateurs informatiques, mais ils devraient surveiller de près la vulnérabilité concernant Internet Explorer, conclut M. Kandek