Pourquoi les mises à jour de logiciels peuvent conduire à des cyberattaques — et que faire

Les mises à jour logicielles sont essentielles pour assurer le bon fonctionnement des systèmes et corriger les vulnérabilités connues. Comment peuvent-elles alors conduire à des cyberattaques ? Étonnamment, il existe plusieurs façons pour les attaquants, les menaces internes ou même les utilisateurs finaux de transformer une solution anodine en cybermenace. Quels sont les risques liés aux mises à jour ? Plus important encore, comment les utilisateurs peuvent-ils protéger leurs données et leurs appareils ?

Quand les mises à jour logicielles deviennent-elles des risques de sécurité ?

Parfois, les versions introduisent de nouvelles fonctionnalités, mécanismes ou intégrations. Même si les développeurs examinent minutieusement des milliers de lignes de code à la recherche de faiblesses potentielles, ils en négligeront forcément certaines. Les attaquants peuvent exploiter ces vulnérabilités zero-day peu de temps après la mise en ligne du correctif, ce qui leur donne le temps de cibler les utilisateurs finaux pendant que les membres de l'équipe se démènent pour trouver un correctif.

Une correction incomplète a le même résultat. La plupart des gens lisent avec enthousiasme les notes de mise à jour, et ne se rendent donc pas compte qu'il reste peut-être quelques faiblesses à corriger. Leur faux sentiment de sécurité les rend vulnérables aux menaces, notamment parce que les attaquants peuvent lire le journal des modifications pour déterminer ce qu'ils doivent exploiter.

Les versions défectueuses sont rares mais se produisent. Elles peuvent bloquer un système ou exposer des informations sensibles, ce qui donne aux attaquants un accès. Les cyberattaques se produisent lorsque des individus accordent trop de confiance aux développeurs et laissent tomber leurs mesures de sécurité. Aux États-Unis, 92 % des entreprises ont connu un incident de cybersécurité dû à un fournisseur tiers.

Les mises à jour détournées sont relativement rares mais peuvent se produire. Un attaquant pourrait prendre le contrôle du système de gestion des appareils du fabricant d'origine ou ajouter secrètement un script malveillant au code. Dans ce cas, il pourrait injecter directement un logiciel malveillant dans l'appareil de quiconque met à jour son programme.

En mars, un ingénieur logiciel de Microsoft a découvert que quelqu'un avait détourné une mise à jour du code source pour xz Utils — un compresseur de données open source largement utilisé dans l'écosystème Linux — pour créer une porte dérobée dans le système d'exploitation. Le coupable était Jia Tan, un développeur solitaire qui a gagné la confiance en contribuant au code utile avant d'injecter des logiciels malveillants.

Cette attaque était « terriblement proche » de réussir. Si elle avait réussi, elle aurait été catastrophique et aurait eu un impact sur les systèmes Linux du monde entier. La programmation par liaison radio (correctifs délivrés aux appareils via un réseau sans fil) est connue pour être vulnérable à ces incidents de cybersécurité car ils sont installés automatiquement via Internet.

Pourquoi la mise à jour des logiciels conduit-elle à des cyberattaques ?

Le plus souvent, les cyberattaques sont dues à une erreur de l'utilisateur. peut être déguisé en mises à jour logicielles , incitant les utilisateurs peu méfiants à installer des logiciels malveillants au lieu de mettre à jour leurs applications. Les messages contextuels sont un autre vecteur d'attaque courant. Ils prétendent que la personne utilise une version obsolète ou qu'une mise à niveau peut être bénéfique.

Les fenêtres pop-up particulièrement malveillantes ne disposent pas de bouton d’annulation, mais affichent des options telles que « installer maintenant » et « installer pendant la nuit », ce qui fait croire aux utilisateurs qu’ils n’ont pas d’autre choix que d’accepter. Ces fausses versions injectent des logiciels espions ou malveillants, compromettant ainsi l’appareil ciblé. Comme la victime s’attend à ce que quelque chose soit installé, elle peut ne même pas se rendre compte de son erreur au début.

Les chercheurs ont récemment Un logiciel espion déguisé en application Android a été découvert qui utilise cette stratégie. Ce cheval de Troie d'accès à distance envoie une notification push qui ressemble à une mise à jour du système. Si les utilisateurs l'acceptent, il vole leurs données de localisation, leurs fichiers image, leurs journaux d'appels et leurs listes de contacts. Il espionne également les utilisateurs à l'aide du microphone du téléphone et de l'appareil photo.

Même si la mise à niveau est légitime, des problèmes peuvent toujours survenir. Des erreurs d'utilisateur telles que des intégrations erronées, des fonctionnalités de sécurité désactivées et des paramètres mal configurés peuvent introduire des vulnérabilités inconnues. Les acteurs malveillants aiment frapper peu de temps après la mise en ligne des correctifs, car ils ont une ouverture lorsque les gens commettent de telles erreurs.

Un environnement réel diffère considérablement des tests contrôlés, de sorte que les exploits inattendus sont inévitables. Les problèmes de compatibilité sont une cause courante de ces cybermenaces. Même s'il n'existe aucune vulnérabilité zero-day, des acteurs malveillants peuvent profiter des erreurs des utilisateurs pour infiltrer les réseaux et attaquer les systèmes.

Les conséquences de l’installation de mises à jour malveillantes

L'injection de logiciels malveillants est la conséquence la plus courante d'un correctif bâclé, incomplet, défectueux ou non officiel. Les acteurs malveillants peuvent installer des ransomwares, des enregistreurs de frappe, des virus ou des logiciels espions. Cela leur permet de pirater les appareils des victimes en échange de rançons ou de surveiller l'activité pour collecter des données sensibles. S'ils attaquent une entreprise, ils peuvent exfiltrer des informations exclusives et personnellement identifiables.

Les pertes financières sont courantes dans ces situations. Le coût moyen d'une violation de données aux États-Unis a totalisé un record de 9,48 millions de dollars en 2023, contre 9,44 millions de dollars en 2022. Les particuliers paient moins car les pirates savent qu'ils ont moins de liquidités et moins d'appareils à compromettre. Cependant, ils dépensent toujours des centaines, voire des milliers de dollars pour la récupération.

Pendant que les individus sont en train de réagir à un incident et de se rétablir, les attaquants peuvent voler des données sensibles, les rendant ainsi vulnérables au vol d'identité, au phishing et aux cyberattaques ultérieures. De plus, ils devront probablement fermer le programme ou le système à l'origine de la cyberattaque, ce qui entraînera des temps d'arrêt ou des retards inattendus.

Pourquoi les utilisateurs doivent-ils effectuer les mises à jour malgré les risques ?

Les chercheurs ont passé près de deux décennies à constituer le plus grand ensemble de données sur les mises à jour des utilisateurs jamais réalisé en suivant les modifications apportées aux logiciels serveurs de plus de 150 000 entreprises de taille moyenne et grande. Ils ont découvert que 57% de ces organisations utilisé du code présentant de graves vulnérabilités même lorsque des versions sécurisées étaient disponibles.

Connaître la facilité avec laquelle un simple correctif peut devenir un vecteur de cyberattaques dissuadera certaines personnes de mettre à jour leur système. Cependant, cette solution est pire que l'alternative. Les correctifs corrigent les vulnérabilités connues que les pirates cherchent activement à exploiter. Ils sécurisent également les intégrations en mettant à jour la compatibilité, le traitement et les fonctionnalités.

Bien que les versions puissent introduire des faiblesses ou compromettre complètement un appareil, leur rejet a des conséquences plus graves en matière de cybersécurité. Les personnes qui utilisent des versions obsolètes sont plus susceptibles d'être ciblées par les cybercriminels, ce qui entraîne des attaques plus fréquentes et plus sophistiquées, qui ont beaucoup plus de chances de réussir.

Les gens ne devraient pas penser qu’ils sont en sécurité simplement parce qu’un correctif est censé les protéger. La réalité de l’ère numérique est que, quelles que soient les protections en place, quelqu’un finira par trouver une faille ou une faiblesse à exploiter. Cela peut paraître sinistre, mais cela devrait être rassurant : cela signifie que les logiciels sont comme n’importe quel autre actif. Le plus souvent, la vigilance est l’une des meilleures défenses.

Comment protéger les données et les appareils

Comme il n’est pas possible d’ignorer les mises à jour logicielles, les individus doivent suivre les meilleures pratiques et utiliser tous les outils de sécurité pertinents à leur disposition.

1. Désactiver les mises à jour automatiques

Les mises à jour automatiques et en direct donnent un avantage aux attaquants. Les utilisateurs doivent les désactiver et mettre à jour leurs systèmes au fur et à mesure que les développeurs mettent à disposition des correctifs. Ils doivent également vérifier l'identité du serveur et s'assurer que leur connexion est cryptée avant de continuer.

2. Examiner les notes de mise à jour

Les utilisateurs finaux doivent consulter régulièrement les notes de correctif, les journaux des modifications et le code pour identifier les altérations potentiellement malveillantes. Cette approche leur permet également de voir quels exploits ont été corrigés et lesquels ne l'ont pas été, éliminant ainsi tout faux sentiment de sécurité.

3. Utilisez des configurations sécurisées par défaut

L'Agence de la cybersécurité et de la sécurité de l'information recommande d'utiliser des configurations sécurisées par défaut pour améliorer la posture de cybersécurité. Cela comprend l'utilisation de mesures d'authentification d'identité et le remplacement des mots de passe par défaut par des mots de passe plus forts.

4. Utilisez plusieurs outils de sécurité

Les correctifs ne permettent pas de remédier à toutes les failles de sécurité. Comme le dit le dicton, pour chaque vulnérabilité découverte par les développeurs, il en existe cinq autres. Les propriétaires d'appareils doivent installer des pare-feu, une surveillance du réseau, une authentification multifacteur et des réseaux privés virtuels pour protéger leurs données.

5. Mise à jour à partir de la source

La méfiance par défaut est en train de devenir une pratique courante en matière de cybersécurité. Les gens devraient automatiquement supposer que tout message les invitant à visiter un site Web ou à cliquer sur un lien est une tentative de phishing. Ils devraient s'adresser directement à la source officielle pour obtenir des informations ou des installations.

Restez vigilant pour protéger vos logiciels et vos données

Les cybercriminels sont rusés et sournois, ils inventent donc sans cesse de nouvelles façons de détourner, de falsifier ou d'empoisonner les correctifs. La meilleure solution est de rester vigilant et prudent. Suivre les meilleures pratiques, exploiter des outils de sécurité robustes et lire les journaux des modifications peut faire la différence entre devenir victime d'une cyberattaque et rester en sécurité.