Correctifs : les (mauvaises) raisons de leur non-application

Les vulnérabilités sont découvertes en grand nombre chaque année, depuis plusieurs années. Les correctifs associés ne manquent pas. Certains d’entre eux, dont un pour Windows Server début 2022, présentent un niveau de qualité insuffisant, alimentant par là même la frilosité de certaines organisations, au risque de pénaliser leur posture de sécurité. Mais de tels cas restent marginaux.

En outre, parmi les correctifs concernant les vulnérabilités les plus critiques largement exploitées par les cyberdélinquants, beaucoup touchent des systèmes embarqués. Et déployer un correctif pour une appliance Citrix, Fortinet, Palo Alto Networks ou Ivanti n’a pas grand-chose à voir avec le travail nécessaire pour un autre, touchant un contrôleur de domaine ou un ERP marqué par la complexité liée à des développements à façon.

Pourtant, certains systèmes exposés directement sur Internet restent longtemps privés de leurs correctifs, laissant ouverte béante une porte largement fléchée aux cybercriminels. Pourquoi ?

Florian Roth, vice-président de Nextron Systems en charge de la R&D, avance des explications qui couvrirait, selon lui, 99 % des cas :

• Ignorance de l’existence du système/service affecté ;
• Ignorance de la vulnérabilité du système affecté ;
• Peur de provoquer une indisponibilité ;
• Absence de responsable du système/service affecté ;
• Manque de temps ;
• Processus défaillants ;
• Outil de gestion des correctifs inefficace.

Et de résumer : « il s’agit rarement de négligence. Il s’agit généralement de chaos ».

Amit Roshan, spécialiste du renseignement sur les menaces, acquiesce : « croyez-moi, tous ces points sont valables et certains des plus grands fournisseurs de services SoC les traversent, mais encore une fois, qui s’en soucie jusqu’à ce que vous soyez compromis par l’un de ces toolshells.... »

Même son de cloche sur côté d’Harlan Carvey, d’Huntress : « c’est généralement les 2 premiers... J’ai vu ça au fil des ans. Même avec la sensibilisation, tout le monde ne “voit” pas la sensibilisation, ou ne la transmet pas pour qu’elle soit mise en action ».

Pour l’expert Kevin Beaumont, « c’est organisationnellement, les entreprises ne peuvent pas appliquer de correctifs pour les raisons énumérées. Le résultat est toujours le même, une mauvaise administration en somme ».

Mais Christopher Harrington, responsable des opérations de défense de cybersécurité chez Humana, va plus loin : « n’oubliez pas que “l’entreprise accepte le risque de ne pas appliquer de correctifs”. En tant que professionnels de la sécurité, nous ne sommes que des conseillers. En fin de compte, c’est l’entreprise qui prendra la décision de prendre le risque, ce n’est pas nous qui le faisons ».