ChooseYourBoss
    Microsoft
    TECH

    Microsoft publie des patchs sans protection HTTPS !

    CYB CYB
    21 février 2018
    Ajouter un commentaire
    2 min de temps de lecture
    FacebookTwitterLinkedInEmail

    Faut-il se méfier des correctifs et des mises à jour de sécurité de Microsoft à installer manuellement ? Depuis plusieurs années, un chercheur en sécurité informatique allemand alerte Microsoft sur l’absence de chiffrement de ces liens. Cette faille expose les clients de l’éditeur de logiciel aux attaques informatiques.

    Un comble dans le domaine de la cybersécurité. Microsoft publie ses correctifs et ses mises à jour de sécurité via des liens HTTP et non HTTPS. La différence ? Sans la lettre S, ils ne sont pas sécurisés. Les données sont ainsi diffusées en clair, ce qui favoriserait leur interception. L’alerte a été lancée par l’Allemand Stefan Kanthak, chercheur en sécurité informatique.

    Le chiffrement https, une protection élémentaire

    Le site catalog.update.microsoft.com dispose bien d’une protection HTTPS, mais elle ne s’étend pas aux correctifs eux-mêmes. « Si vous parcourez le « Catalogue Microsoft Update » via le lien HTTPS, TOUS les liens de téléchargement publiés ici utilisent HTTP, pas HTTPS! » affirme Stefan Kanthak, dans un message posté sur Seclists le 14 février dernier.

    Le chercheur a transmis sa trouvaille au journaliste Günther Born. Accès au catalogue, fiches produits, téléchargement manuel des patchs… Quelques captures d’écran suffisent à démontrer que les éléments transitent bien sans le moindre chiffrement. Il s’agit pourtant d’une protection élémentaire sur le web, rapporte 01Net.

    L’attaque de l’homme du milieu rendue possible

    Dans ces conditions, Stefan Kanthak met en garde contre des « attaques Mitm ». Cet acronyme vient de l’anglais « man-in-the-middle ». Cette technique de piratage consiste à intercepter les communications entre deux parties sans se faire remarquer. Les victimes ne se doutent pas que leur canal de communication a été compromis.

    Un hacker pourrait ainsi remplacer un correctif par un logiciel malveillant. Stefan Kanthak assure avoir alerté Microsoft à plusieurs reprises ces dernières années, sans résultat. En désespoir de cause, il a choisi de rendre le problème public. En juillet prochain, Google marquera les sites HTTP comme « non sécurisés ». Il est plus que temps de régler la question !

    ChooseYourBoss

    CYB

    CYB

    Basée sur un algorithme de matching par stacks techniques, ChooseYourBoss te permet de trouver le job de tes rêves, tout en restant protégé et anonyme dans ta recherche d’opportunités.

    Voir tous les articles de l'auteur

    Ajouter un commentaire

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Vous pouvez aussi aimer

    Découvre les offres d'emploi numériques qui matchent avec toi !

    JE COMMENCE