Sensibilisation - 4 juillet 2022
Êtes-vous au point sur les mises à jour ?
Photo de Clint Patterson sur Unsplash
Mises à jour et correctifs : de quoi parle-t-on ?
Les mises à jour sont souvent perçues comme une contrainte et négligées par les utilisateurs. Elles tombent souvent au mauvais moment : durant une séance de travail, lors d’une sortie entre amis… Pourtant, elles sont essentielles pour assurer votre sécurité informatique. Elles permettent de corriger des failles de sécurité. Sans correctif, c’est garder ouverte la porte d’entrée pour un cyber attaquant.
Une faille de sécurité est une brèche par laquelle un cyber attaquant a la possibilité d’accéder à votre appareil ou à votre logiciel et d’en prendre le contrôle. Les principaux risques sont le vol de données personnelles, le piratage de compte en ligne et l’usurpation d’identité, ou même le détournement de votre argent.
Une étude réalisée par Harris Interactive et CaptainCyber sur un échantillon de 648 salariés d’entreprises révèle que 88% d’entre eux appliqueraient promptement leurs mises à jour. Une pratique d’hygiène cyber qui semble donc largement répandue. Reste à savoir ce que l’on entend par “promptement”.
Il existe deux types de mises à jour : la mise à jour de sécurité et la mise à jour de fonctionnalités.
La première est la publication d’une version corrigée d’un logiciel ou du système d’exploitation d’un appareil qui protège des failles de sécurité identifiées dans la version précédente. Elle permet de corriger des failles de sécurité, c'est-à-dire des bugs exploitables par des attaquants.
La seconde correspond à la publication d’une version plus avancée d’un logiciel ou du système d’exploitation d’un équipement. Elle permet aussi d’installer de nouvelles fonctionnalités, de corriger des bugs non exploitables, de simplifier l’expérience utilisateur, etc.
Pourquoi est-il dangereux de négliger les mises à jour ?
Comme évoqué dans le Cyberbrief du 23 février dernier, des analystes de NCC Group, entreprise britannique de cybersécurité, avaient publié un rapport sur les failles des trottinettes électriques en libre-service. Les attaquants pouvaient exploiter ces failles pour produire plusieurs effets négatifs : augmenter la vitesse maximale autorisée, mais aussi récupérer des informations sur les trajets des précédents utilisateurs.
Les failles venaient, entre autres, d’applications non patchées ou non mises à jour, laissant ainsi apparaître des vulnérabilités.
Le secteur médical n’est pas non plus épargné. En octobre dernier, l’entreprise Medtronic, spécialisée dans les technologies médicales, a rappelé d’urgence les télécommandes de pompes à insuline. Une mauvaise cybersécurité de ses appareils mettait en danger plus de 30 000 personnes diabétiques.
Autre cas : David Colombo, le fondateur de Colombo Technology, une entreprise de cybersécurité avait déclaré sur son compte Twitter qu'il pouvait exécuter, à l'insu de leurs propriétaires, des commandes à distance sur les véhicules Tesla compromis. Parmi les actions pouvant être effectuées : la désactivation du mode Sentry, l'ouverture des portes et des fenêtres des voitures, le clignotement des feux et même le démarrage de la conduite sans clé.
En mai dernier, le National Cyber Security Center britannique alertait également sur la menace des dispositifs connectés d’entreprise dans un rapport. Les ordinateurs portables, smartphones, imprimantes d'entreprise, systèmes de vidéoconférence, téléphones VoIP, et tous les appareils connectés utilisés dans un environnement d'entreprise représentent une cible attrayante pour les cyberattaquants. Ces DCE (Dispositifs Connectés d’Entreprise) leur permettent de voler des données sensibles et précieuses, d’avoir un gain monétaire important grâce à des attaques par rançongiciels et de constituer une base d’attaque et de positionnement
Si des mises à jour sont indépendantes de votre volonté et sont souvent la seule responsabilité des entreprises qui commercialisent ces appareils, vous devez toutefois vérifier qu’elles sont bien en place pour les appareils et logiciels que vous utilisez.
Alors comment se protéger des failles des logiciels ?
Tout d’abord, distinguons deux situations très différentes : le cadre privé et l’entreprise.
Dans le cadre privé, vous êtes l’unique responsable de la mise à jour de vos appareils et logiciels.
À l’inverse, en entreprise, c’est le service informatique qui se charge de la mise à jour des outils professionnels. Pour les entreprises plus petites, ce sont les employés qui les effectuent sous la supervision du chef d’entreprise.
Voici les conseils à suivre pour se protéger des failles évoquées logicielles :
- Mettre à jour dès que possible l’ensemble des appareils et logiciels. Il suffit d’un seul appareil non mis à jour pour que des cyberattaquants accèdent à l’ensemble de votre environnement numérique.
- Téléchargez les mises à jour uniquement depuis les sites officiels. Il est recommandé de vérifier ce que vous acceptez en installant une mise à jour, pour éviter un logiciel non désiré. Ne téléchargez pas de version “pirate” ou “warez” car celles-ci comportent souvent des malwares.
- Identifiez l’ensemble des appareils et logiciels utilisés. Des fournisseurs d’accès à Internet (FAI) proposent une application d’inventaire permettant de lister les appareils connectés à votre réseau informatique professionnel ou domestique.
- Activez l’option de téléchargement et d’installation automatique des mises à jour dès que le logiciel le permet.
- Planifiez les mises à jour lors de périodes d’inactivité professionnelle et/ou personnelle.
- Méfiez-vous des fausses mises à jour sur internet. Des pop-ups peuvent apparaître et vous inciter à télécharger des mises à jour qui cachent des malwares.
Soyez vigilants, même au travail :
- Définissez les règles de réalisation des mises à jour. Faites l’inventaire des appareils et logiciels utilisés, définissez comment/où/par qui sont réalisées les mises à jour.
- Informez-vous sur la publication régulière des mises à jour de l’éditeur. Vérifiez la publication régulière des mises à jour de l’éditeur ou du fabricant, ainsi que la date de fin de leur mise à disposition.
- Testez les mises à jour lorsque cela est possible et faites les sauvegardes. Parfois, la solution mise à jour devient incompatible avec le logiciel ou l’appareil. Il vaut mieux s’en prémunir.
- Protégez autrement les appareils qui ne peuvent pas être mis à jour. Appareils trop vieux, plus sous garantie, il faut tout de même les prendre en compte en les déconnectant d’internet par exemple, afin de le séparer du reste du réseau informatique.
- Tenez-vous informé de l’existence de 0-days, ces failles de sécurité exploitées par des attaquants, qui n’étaient pas connues de l’éditeur, et pour lesquelles des correctifs ou moyens de contournement peuvent néanmoins être disponibles. Chaque heure compte.
Reprenez le contrôle et devenez cyber vigilant
Vous désirez vous protéger au mieux des pirates informatiques ? Avec les trainings CaptainCyber (app disponible sur l’App Store et Google Play), soyez au point sur les attaques les plus courantes et comment s’en prémunir 🛡.
Elisabeth, directrice des ressources humaines a testé les trainings CaptainCyber et confie :
«L’app CaptainCyber est un bon outil pour démocratiser la sécurité de l’information auprès de nos collaborateurs»
Et vous, que faites-vous pour reprendre le contrôle ?