Qui a mis des vulnérabilités dans mon patch ?

Pourquoi les mises à jour ne peuvent pas vous sauver

Photo de Neeqolah Creative Works sur Unsplash

Bienvenue au théâtre de la sécurité

Chaque correctif de sécurité a quelque chose de spécial à offrir aux défenseurs comme aux attaquants. Pour chaque « correction », inévitablement, des changements vont se faufiler — plus de code fabriqué avec les mêmes matériaux faillibles que l’original !

Pire encore, c’est un plan directeur pour les attaquants ! Les changements consistent en du code binaire qui peut être comparé par diff tout aussi facilement que les changements comportementaux. C’est mûr pour le reverse engineering.

ABP : Always Be Patching

ATTENTION : Le patch peut contenir les corrections d’aujourd’hui (et certainement les vulnérabilités de demain.)

La réalité est plus chaotique que je ne le voudrais. Demandez à n’importe quel administrateur système chevronné ce qu’il pense des mises à jour rapides et vous entendrez une sagesse durement acquise : « Attends six mois. Ne sois pas leur bêta-testeur gratuit. »

Prenons un moment pour apprécier le dilemme de l’équipe IT :

• Corriger maintenant : risque de casser la production.
• Corriger plus tard : risque de se faire pwner.
• Ne pas pouvoir (ou ne pas vouloir) corriger : risque sérieux de se faire pwner.
• Défendre et atténuer : durcir les systèmes, faiblesses des chiffrements, changer les mots de passe, etc. Qui a le temps pour tout ça ?!? Lire les CVE ? Oh, mon pauvre enfant, j’ai de mauvaises nouvelles…

Les meilleures intentions

Les correctifs tuent aussi les systèmes — aucun attaquant requis.

L’incident CrowdStrike de juillet 2024 a prouvé une vérité brutale : suivre les « meilleures pratiques » n’offre aucune immunité quand du code non testé fait s’effondrer des infrastructures critiques. En quelques heures, des vols ont été cloués au sol dans le monde entier et les hôpitaux ont été largement paralysés.

Mais ignorer les correctifs ? C’est garantir l’exploitation de vulnérabilités connues.

Les mensonges que nous nous racontons

Jeter de l’argent sur la sécurité se retourne souvent contre nous. Des contrôles complexes et en couches deviennent impossibles à gérer — et impossibles à surveiller.

Le bon niveau d’investissement ? Les contrôles optimaux ? L’équilibre parfait entre sécurité et utilisabilité ?

Ça dépend. (Oui, la réponse préférée des consultants.)

Mais c’est en fait une bonne nouvelle : une gestion des risques personnalisée bat le passe-partout à chaque fois.

Quitter le camp du théâtre de la sécurité

Arrêtons le spectacle et passons à une gestion proactive des risques.

Déterminez et documentez tout ce qui compte :

• Votre véritable paysage de menaces (pas la FUD du vendeur)
• Les calendriers de test de réponse aux incidents et de récupération
• Les tolérances en matière de temps d’arrêt, de perte de données et de dommages à la réputation
• Les obligations légales quand les choses tournent mal
• Qui fait quoi pendant une crise

Existe-t-il des meilleures pratiques universelles ? Oui, bien que l’implémentation varie :

Points clés à considérer

• Adoptez des clés de sécurité matérielles comme les YubiKeys pour tous les utilisateurs, ou imposez au minimum des passkeys.
  • Les OTP sont susceptibles d’ingénierie sociale ; les tokens matériels ne le sont pas.
  • Exigez le MFA sur tous les services, universellement.
• Des sauvegardes robustes et vérifiées.
  • Assurez-vous que l’infrastructure cloud dispose de sauvegardes hors ligne — idéalement immuables et géographiquement dispersées.
    • « Hors ligne » signifie cross-fournisseur ou cross-compte (par ex. des sauvegardes AWS dans GCP ou Azure, ou des solutions tierces comme Backblaze B2).
  • Étendez les stratégies de sauvegarde aux appareils des employés, en tenant compte de scénarios de récupération comme un Wi-Fi de conférence peu fiable (en cohérence avec les SLA et les objectifs de récupération).
• Menez des exercices de récupération trimestriels : restaurez l’infrastructure complète dans une région inutilisée en utilisant sauvegardes, snapshots et outils d’infrastructure-as-code.
• Placez des CanaryTokens à côté de tout identifiant réel pour être le premier informé quand une brèche commence.

L’autre côté de la peur

Connaissez votre profil de risque : quelles données protégez-vous ? Quelles menaces comptent ? Combien de temps d’arrêt pouvez-vous vous permettre ? Qu’est-ce qui coûte le moins cher — la récupération ou la reconstruction ?

Considérez votre exposition réelle :

• Accès aux données sensibles (banque/crypto)
• Vulnérabilités d’applications web (XSS/CSRF)
• Risques de la chaîne d’approvisionnement et menaces internes
• Services exposés au public (cibles zero-day)
• Tolérances face aux ransomwares, amendes, dommages à la réputation

La vérité peu glamour : la sécurité, c’est des couches, pas des balles en argent. Défense en profondeur, sauvegardes hors ligne, exercices de sinistre, contrôles compensatoires. Traitez les correctifs comme des maux nécessaires, pas des remèdes miracles.

Déployez intelligemment : automatisez les tests, échelonnez les déploiements, planifiez les retours arrière, pratiquez l’échec.