Il est temps d'arrêter d'éviter les mises à jour

Les mises à jour automatiques peuvent occasionnellement casser quelque chose, mais elles assurent également votre sécurité.

Les mises à jour logicielles peuvent être mélangées. Ils ajoutent de nouvelles fonctionnalités et corrigent des problèmes, mais ils peuvent également apporter de nouveaux bugs. Les gens retardent les mises à jour pour éviter ces maux de tête, ce qui n'était pas une mauvaise idée aux débuts de l'informatique. Cependant, les failles de sécurité étant de plus en plus courantes, il est temps d'arrêter.

Cet article de la Semaine de sensibilisation à la cybersécurité vous est présenté en association avec Incogni.

Les mises à jour automatiques de logiciels n'étaient pas si courantes dans les années 2000, ce qui est devenu un problème de plus en plus problématique au fil du temps, à mesure qu'Internet gagnait en popularité et que les attaques de logiciels malveillants se multipliaient. Par exemple, un exploit de sécurité dans Internet Explorer a été corrigé par Microsoft en avril 2004, mais un virus qui a utilisé cet exploit quelques mois plus tard était encore capable d'attaquer de nombreux PC simplement parce que de nombreuses personnes n'avaient pas encore installé le correctif de sécurité. De nombreux correctifs de sécurité pour Windows et Mac OS X (plus tard macOS) n'étaient pas non plus automatiquement installés ou étaient difficiles à gérer.

Google Chrome a contribué à généraliser les mises à jour automatiques, en partie parce qu'elles ne cassaient généralement rien, mais aussi parce qu'elles étaient presque imperceptibles. Mozilla a ajouté une fonctionnalité similaire de « mise à jour silencieuse » à Firefox en 2012 avec la sortie de Firefox 15, et d'autres navigateurs Web ont finalement pris leur envol. De nombreuses autres applications ont également commencé à implémenter des mises à jour automatiques, ou les mises à jour étaient simplement gérées par la boutique d'applications ou le lanceur de jeux d'où elles provenaient. Fait amusant : le lanceur de jeux Steam prend en charge les mises à jour automatiques depuis sa création en 2003.

La mise à jour automatique est désormais fermement établie comme comportement par défaut pour la plupart des logiciels, plutôt que comme quelque chose qui se limite au système d'exploitation ou à une poignée d'applications plus vulnérables. Les entreprises technologiques parviennent également à détecter les problèmes potentiels liés aux mises à jour avant leur déploiement à grande échelle, en utilisant des méthodes telles que les déploiements par étapes, les rapports d'erreur, les tests unitaires et les canaux de pré-version. Par exemple, les nouvelles fonctionnalités de Chrome démarrent généralement dans les canaux Canary et Dev, passent au canal bêta lorsqu'elles fonctionnent suffisamment bien, puis sont finalement déployées auprès de tous ceux qui utilisent Chrome standard (canal stable). Microsoft propose actuellement quatre canaux de pré-version pour Windows 11 : Canary, Dev, Beta et Release Preview.

L’alternative est pire

Même avec de meilleurs processus de test et de développement, il est toujours possible qu'une mise à jour introduise des bogues. Les logiciels sont créés par des humains (ou des IA formées au travail humain), et les humains font parfois des erreurs. Il peut toujours être tentant de retarder les mises à jour des applications et du système d'exploitation, surtout si votre appareil fonctionne correctement. Cependant, vous devriez essayer d'installer les mises à jour dès qu'elles sont disponibles, car ces mises à jour pourraient simplement vous protéger des logiciels malveillants et des données personnelles volées.

Nous avons constaté une augmentation des vulnérabilités de sécurité découvertes au cours des dernières années, dont beaucoup sont de type « jour zéro », c'est-à-dire des vulnérabilités de sécurité rendues publiques avant qu'un correctif ne soit disponible. Mandiant, une société de renseignement sur les menaces désormais détenue par Google, a suivi 246 vulnérabilités entre 2021 et 2022. Cela représente une augmentation par rapport aux années précédentes, et 62 % d'entre elles étaient des exploits zero-day.

Heureusement, les entreprises parviennent à résoudre les problèmes de sécurité rapidement après leur découverte. Mandiant a déclaré dans un article de blog : « Sur les 153 Zero Day identifiés en 2021 et 2022, seuls 35 (23 %) d'entre eux ont reçu des correctifs après le premier mois suivant la première exploitation connue, ce qui indique que la plupart des Zero Days sont corrigés en temps opportun. "

Les failles de sécurité ne s'améliorent pas en 2023. Google en a corrigé une dans le navigateur Chrome en avril, Windows 11 en a eu quelques-unes cette année et un exploit Safari a obligé Apple à mettre à jour tous ses appareils en août. Une faille de sécurité a également été découverte dans une bibliothèque d'images WebP, qui a entraîné des correctifs d'urgence pour Google Chrome, Mozilla Firefox et Thunderbird, Microsoft Edge, LibreOffice et de nombreuses autres applications utilisant le code concerné.

Il est plus important que jamais de vous assurer que votre système d'exploitation, vos applications et autres logiciels sont toujours à jour, et de vous assurer que vos amis et votre famille font de même.

Les mises à jour importantes

Heureusement, rester en sécurité ne signifie pas nécessairement installer les principales mises à niveau de Windows ou iOS dès qu'elles sont disponibles. La plupart des systèmes d'exploitation et certaines applications populaires fournissent des correctifs de sécurité sous forme de mises à jour autonomes, que vous pouvez généralement installer sans vous soucier des modifications de fonctionnalités. Par exemple, Microsoft publie des mises à jour de sécurité mensuelles pour Windows 10 et Windows 11, bien que la prise en charge de Windows 10 prendra fin en 2025. LibreOffice, la suite bureautique open source, continue de corriger les bugs et les failles de sécurité de la version précédente pendant un certain temps après un certain temps. une nouvelle version majeure est disponible.

Apple prend en charge deux ou trois versions majeures de macOS et iOS/iPadOS à tout moment. Par exemple, lorsque Apple a corrigé la faille de sécurité CVE-2023-42824 sur les iPhones et iPads, le correctif a été déployé sur iOS 16 et iOS 17. Cela signifie que si vous n'avez pas encore mis à niveau vers la dernière version majeure absolue, ou si votre Si votre appareil est trop ancien pour iOS 17, vous êtes toujours à l'abri des menaces de sécurité.

Certains logiciels ne vous donnent pas le choix entre installer toutes les mises à jour ou installer uniquement les correctifs de sécurité, mais lorsque vous en avez la possibilité, cela peut être un excellent moyen de rester en sécurité sans avoir à vous adapter à d'autres modifications.