ChooseYourBoss
Microsoft

Microsoft publie des patchs sans protection HTTPS !

Faut-il se méfier des correctifs et des mises à jour de sécurité de Microsoft à installer manuellement ? Depuis plusieurs années, un chercheur en sécurité informatique allemand alerte Microsoft sur l’absence de chiffrement de ces liens. Cette faille expose les clients de l’éditeur de logiciel aux attaques informatiques.

Un comble dans le domaine de la cybersécurité. Microsoft publie ses correctifs et ses mises à jour de sécurité via des liens HTTP et non HTTPS. La différence ? Sans la lettre S, ils ne sont pas sécurisés. Les données sont ainsi diffusées en clair, ce qui favoriserait leur interception. L’alerte a été lancée par l’Allemand Stefan Kanthak, chercheur en sécurité informatique.

Le chiffrement https, une protection élémentaire

Le site catalog.update.microsoft.com dispose bien d’une protection HTTPS, mais elle ne s’étend pas aux correctifs eux-mêmes. « Si vous parcourez le « Catalogue Microsoft Update » via le lien HTTPS, TOUS les liens de téléchargement publiés ici utilisent HTTP, pas HTTPS! » affirme Stefan Kanthak, dans un message posté sur Seclists le 14 février dernier.

Le chercheur a transmis sa trouvaille au journaliste Günther Born. Accès au catalogue, fiches produits, téléchargement manuel des patchs… Quelques captures d’écran suffisent à démontrer que les éléments transitent bien sans le moindre chiffrement. Il s’agit pourtant d’une protection élémentaire sur le web, rapporte 01Net.

L’attaque de l’homme du milieu rendue possible

Dans ces conditions, Stefan Kanthak met en garde contre des « attaques Mitm ». Cet acronyme vient de l’anglais « man-in-the-middle ». Cette technique de piratage consiste à intercepter les communications entre deux parties sans se faire remarquer. Les victimes ne se doutent pas que leur canal de communication a été compromis.

Un hacker pourrait ainsi remplacer un correctif par un logiciel malveillant. Stefan Kanthak assure avoir alerté Microsoft à plusieurs reprises ces dernières années, sans résultat. En désespoir de cause, il a choisi de rendre le problème public. En juillet prochain, Google marquera les sites HTTP comme « non sécurisés ». Il est plus que temps de régler la question !

ChooseYourBoss

CYB

CYB

Basée sur un algorithme de matching par stacks techniques, ChooseYourBoss te permet de trouver le job Tech de tes rêves, tout en restant protégé et anonyme dans ta recherche d’opportunités.

Ajouter un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Events tech 2018

C'est ici 👇

Go !

Découvre les meilleurs Jobs IT qui matchent avec ta stack !

JE TESTE