Microsoft (et également Adobe) a sorti une nouvelle série de mises à jour de sécurité dans l’édition de mai 2013 de leur « Patch Tuesday » mensuel. Comme toujours, si votre ordinateur n’est pas programmé pour installer automatiquement ces mises à jour, alors assurez-vous d’accepter de les installer quand Microsoft (ou Adobe) vous les proposera.
Il n’y a aucune raison pour que vous n’installiez pas ces mises à jour de sécurité. Aucune. Vous n’avez rien à faire, à part cliquer « oui », ou dans la plupart des cas, attendre quelques minutes le temps que votre ordinateur s’initialise et les installe automatiquement. D’ailleurs, alors que j’étais en train d’écrire ce post, Adobe m’a informé qu’il avait terminé de se mettre à jour. Je ne savais même pas qu’il était en train d’installer quelque chose. C’est aussi simple que cela.
Ne pas installer des mises à jour de sécurité est comparable à ne pas se vacciner contre la grippe : tout le monde a plus de chances d’être contaminé, car quand vous ne faites pas vos mises à jour, vous contribuez au nombre de plus en plus important de machines facilement exploitables. Alors que de plus en plus d’ordinateurs sont contaminés, les cybercriminels obtiennent plus de puissance, d’accès potentiels à des comptes afin de mener des attaques d’hameçonnage, ainsi que d’autres ressources qu’ils pourront utiliser pour compromettre davantage de machines.
Et ces mises à jour ne sont pas des choses inutiles et intangibles que personne ne comprend. Les cybercriminels ont exploité l’une des vulnérabilités d’Internet Explorer (qui sont maintenant corrigées) utilisées dans les attaques dites de « watering hole » afin de cibler le Département américain du travail. Nombreux sont ceux qui considèrent cette attaque comme un premier pas vers une attaque plus importante ciblant le programme de recherche sur les armes nucléaires du Département de l’énergie. Dans les jours qui ont suivi, la même vulnérabilité a été exploité dans des attaques provenant du Cambodge et ciblant l’Agence des Etats-Unis pour le développement international (USAID).
Les attaques dites de « water holing » ou « watering hole » sont utilisées par les pirates afin de compromettre un site qu’ils pensent que leur cible réelle visitera. Dans les cas décrits précédemment, les pirates ont infecté un site Web du Département du travail pour piéger des employés gouvernementaux importants ainsi que des employés de l’USAID au Cambodge.
Encore plus alarmant peut-être, Adobe a corrigé une vulnérabilité dans son application ColdFusion que les pirates avaient déjà exploité pour compromettre des serveurs appartenant à la cour de justice de l’État de Washington (Etats-Unis), exposant ainsi 160 000 numéros de sécurité sociale ainsi que les numéros de permis de conduire et les noms de plus d’un million de personnes.
Comme notre ami et expert chez Kaspersky Lab, Kurt Baumgartner, le souligne, Microsoft fournit également des correcteurs pour des vulnérabilités liées à certains privilèges qui sont moins connues mais tout aussi importantes. Les EoP, comme on les appelle (« élévation des privilèges »), sont souvent utilisées après une attaque afin que les pirates aient accès à tous les droits des utilisateurs sur les ordinateurs infectés. Bien sûr, une fois qu’un pirate obtient tous les droits de l’utilisateur, il/elle peut faire tout ce qu’il/elle veut.