Des mises à jour pour se mettre à...l'abri
Nos outils informatiques nous rappellent régulièrement, par le biais de notifications automatiques, que nos applications doivent être mises à jour. Mais cela sert-il vraiment à quelque chose ? La réponse est oui, absolument !
Comme les rustines qui colmatent les fuites sur un pneu de vélo, les mises à jour des systèmes d’exploitation et des applications sont essentielles pour renforcer la sécurité de nos outils informatiques (ordinateurs, tablettes, smartphones, etc.). «Ces indispensables correctifs – appelés patches de sécurité – ne permettent pas seulement de profiter de nouvelles fonctionnalités, ils barrent également la route des cybercriminels, qui profitent le plus souvent de simples failles pour pirater nos données», confirme Sam Vuilleumier, expert en cybersécurité et protection des données à la Direction générale du numérique et des systèmes d’information (DGNSI) de l’Etat de Vaud.
«Il faut en effet comprendre que les logiciels, ou applications, sont des programmes informatiques développés par des êtres humains et, à ce titre, peuvent contenir des bugs, comme des erreurs de programmation ou des cas d’usage qui n’étaient pas prévus à l’origine», ajoute son collègue Nicolas Patthey, expert au Centre opérationnel de sécurité (SOC) de la DGNSI. Et de préciser : «Les logiciels sont de plus en plus complexes et reposent sur des quantités de bibliothèques applicatives développées par d’autres personnes, chaque application étant une pyramide, ou un agglomérat, d’autres logiciels, dont il devient impossible de prédire toutes les interactions.»
«Les pirates sont très inventifs»
Ces problèmes n’échappent pas aux cybercriminels qui, le plus souvent, maîtrisent parfaitement les subtilités liées à la programmation informatique. S’introduisant dans les moindres failles, ce n’est souvent qu’un jeu d’enfants pour eux de forcer une application à faire des choses qui n’étaient pas autorisées ou prévues à la base.
«Les pirates sont très inventifs et trouvent toujours de nouvelles façons de contourner les protections en place, soulignent les deux experts de la DGNSI. D’où la nécessité, pour les développeurs d’applications, de corriger les bugs en ajoutant de nouvelles protections contre les nouvelles menaces. Par la même occasion, ils proposent des fonctionnalités supplémentaires pour faire évoluer leurs produits.» Ces développements sont ensuite suivis de près avant de nouvelles mises à jour.
Pour les professionnels…
Mais comment faire pour rester à jour ? «Dans les environnements critiques – les applications médicales, bancaires ou celles qui contribuent à la gestion d’une centrale nucléaire ou au décollage d’une fusée, par exemple –, les mises à jour automatiques amènent un risque de dysfonctionnements qui n’est pas tolérable, et chaque patch nécessite alors des tests et une validation par des informaticiens professionnels», explique Nicolas Patthey. C’est le cas également au sein de l’Administration cantonale vaudoise, où une huitantaine de gestionnaires d’applications de la DGNSI sont à pied d’œuvre chaque jour pour maintenir le patrimoine applicatif de l’Etat (lire encadré).
… et pour les privés
« Pour l’immense majorité des utilisations (ordinateurs fixes ou portables privés, téléphones, bureautique, etc.), il faut accepter les mises à jour qui nous sont proposées par le biais de notifications automatiques, car le risque d’être infectés est bien plus grand lorsque nous persistons à utiliser les versions obsolètes de nos applications », avertit Sam Vuilleumier. « Le danger de négliger ces indispensables correctifs est d’ailleurs bien connu des éditeurs, puisque tous les navigateurs internet modernes, comme Chrome ou Firefox, ne laissent tout simplement plus le choix à l’utilisateur de refuser leurs mises à jour », renchérit son collègue.
Un dernier conseil ? Précisant que les risques de piratage concernent tous les objets connectés de notre vie quotidienne, les ingénieurs du SOC ne peuvent que nous inciter vivement à la vigilance et à la responsabilité. Gardons l’œil ouvert pour ne pas nous fermer aux avantages et opportunités que nous offrent les technologies numériques de notre monde contemporain ! (mhj)
Pour en savoir plus :
- Notre e-learning https://www.esusi.vd.ch/et plus particulièrement le chapitre 2.
- UnderNews, 7 janvier 2021 : L’importance des mises à jour en matière de cybersécurité
- ICT Journal, 8 janvier 2021 :Des centaines de milliers d’ordinateurs suisses menacés par des malwares en raison d’un OS obsolète
Plus de 2000 applications à l’Etat
Au sein de la Direction générale du numérique et des systèmes d’information (DGNSI), près de 80 spécialistes travaillent au maintien du patrimoine applicatif de l’Administration cantonale vaudoise (ACV). Dans un environnement technologique de plus en plus complexe, ces experts veillent notamment au bon fonctionnement des supports, au suivi des mises à jour et à la maintenance des solutions.
«Plus de 2000 applications sont utilisées par l’ensemble de nos services bénéficiaires, souligne Jérôme Odier, gestionnaire d'application Windows 10. Un grand nombre d’entre elles sont dites “critiques”; cela signifie que le moindre dysfonctionnement sur leur périmètre peut avoir de graves répercussions sur l’ensemble de l’activité de l’Etat.» Ces applications critiques font donc l’objet d’une attention toute particulière et nécessitent l’intervention régulière des ingénieurs de la DGNSI. «Nous assurons de fréquentes mises à jour tout au long de l’année pour contrer les défauts et combler les manques des anciennes versions devenues obsolètes, et éviter ainsi les dettes technologiques», explique encore Jérôme Odier.
Le Centre logiciel* permet aussi aux utilisatrices et utilisateurs d’avoir une vue d’ensemble des applications installées sur leur poste de travail. L’occasion de nous assurer que nous n’avons pas de mises à jour en attente qui exigerait une action de notre part…
* Accessible en cliquant sur la loupe disponible sur la barre d’outils en bas à gauche des écrans. Une fois la loupe activée, cherchez «Centre logiciel».
Les risques
Lorsqu’un virus ou un maliciel s’infiltre dans notre ordinateur ou dans notre smartphone, voilà ce que nous risquons :
- Le vol ou la corruption de nos données.
- Une utilisation malveillante de notre carnet d’adresses mail.
- Une usurpation de notre identité.
- La prise de contrôle de notre webcam.
- L’intégration silencieuse de notre ordinateur à un réseau malveillant, ce qu’on appelle un Botnet.