Si vous maintenez la configuration de Windows Update pour installer automatiquement les mises à jour, vous n’avez généralement pas à vous en soucier. Mais une mise à jour récemment publiée par Microsoft peut exiger votre attention : il s’agit d’une correction d’une grave faille de sécurité qui affecte plusieurs versions de Windows.
Sont mises en évidence toutes les variantes des dernières versions (et d’autres pas tant que ça) : Windows Vista, Windows 7, Windows 8, Windows RT, Windows Server 2003, Windows Server 2008 et Windows Server 2012, en éditions 32 bits et 64 bits.
Selon des chercheurs d’IBM, il existe un bogue aussi important que dans les anciennes versions de la plate-forme, atteignant même Windows 95. Ce constat indique que cette vulnérabilité existe depuis près de 20 ans. Cependant, les éditions Windows datées ne devraient pas recevoir de patchs car elles ne sont plus supportées.
L’échec le plus récent concerne spécifiquement Microsoft Secure Channel (Schannel), un système qui contient un ensemble de protocoles – tels que SSL et TLS – qui permet (ou devrait permettre) l’établissement d’une connexion sécurisée.
En exploitant la vulnérabilité, un attaquant peut exécuter un code malveillant ou même capturer des données de l’ordinateur à distance. Le problème devient encore plus grave si l’on tient compte des versions de Windows pour serveurs qui sont concernées, comme cela a déjà été signalé.
Certains experts en sécurité considèrent que cette défaillance – selon de nombreux appels WinShock – est presque aussi grave et complète que celle de Heartbleed. D’où l’importance de mettre à jour le système d’exploitation le plus rapidement possible.
Si vous utilisez Windows 8.1, par exemple, vous trouverez le correctif sous le code KB2992611 dans Windows Update. Il est recommandé de l’installer immédiatement, si cette procédure n’a pas encore été effectuée.
Pour installer update manuellement, visitez cette page. Le lien fournit des mises à jour pour toutes les dernières versions de Windows.
Jusqu’à présent, aucune attaque impliquant WinShock n’a été signalée, du moins pas de façon majeure. Microsoft ne pense pas non plus que des cas graves surgiront dans les prochains jours. De toute façon, vous savez, il vaut toujours mieux prévenir que guérir.
Mis à jour à 18h50