S'abonner :  Newsletters    Magazines
[ CORRECTIFS LOGICIELS ]
Sécurité : la gestion des patchs s'organise
Appliquer aux serveurs un correctif de sécurité quelques heures après sa sortie est devenu le souci permanent des administrateurs. Si des outils facilitent cette tâche, cela reste largement une affaire d'organisation.

Jérôme Saiz , Décision Micro (n° 572), le 22/12/2003 à 07h00

La gestion d'un parc de serveurs fonctionnant avec Windows est devenue une course contre la montre... En 2001, il s'est écoulé plusieurs jours entre la découverte du ver Code Red et sa propagation massive. Quelques mois plus tard, Nimda réduisait déjà ce délai à une heure. Et au début de cette année, le délai tombait à quelques minutes avec le ver Slammer. Même tendance du côté de la récupération des correctifs : ceux capables de corriger les failles exploitées par les premiers vers étaient disponibles plusieurs mois avant l'épidémie. Mais cet été, il ne s'est écoulé que trois semaines entre la découverte de la faille et la propagation de Blaster, le ver qui en tire parti.

Pour les administrateurs systèmes, cela signifie qu'ils doivent consacrer toujours plus de temps à leur veille sécurité et se montrer beaucoup plus réactifs. Mais une telle précipitation est à double tranchant : les correctifs ne sont pas toujours exempts de problèmes et, à vouloir les déployer trop rapidement sur un serveur en production, le remède peut se révéler pire que le mal. L'objectif de la « gestion de patchs » est alors de donner aux administrateurs les moyens de concilier tous ces impératifs : faciliter la veille, être réactif, tester les correctifs avant de les déployer et, surtout, automatiser leur mise en oeuvre. À cette fin, le marché propose des outils dédiés, mais la solution reste avant tout d'ordre organisationnel.

Les outils : le monopole Microsoft

Si nombre de produits sont disponibles pour faciliter la gestion des correctifs, seuls les logiciels gratuits de Microsoft semblent vraiment utilisés en France. Des éditeurs spécialisés tels PatchLink, RippleTech, Shavlik et St.Bernard Software ne vendent pas leurs logiciels dans l'Hexagone, ne les ont pas localisés ou sont tout simplement incapables de citer une référence. Avec son scanner LAN-guard N.S.S., l'éditeur français GFI propose certes une offre équivalente. Mais dans leur majorité, les entreprises françaises adoptent les logiciels de l'éditeur de leur système d'exploitation, d'autant plus s'ils sont gratuits !

Les deux logiciels les plus courants sont ainsi proposés par Microsoft. Le premier, Windows Update, est un système de mise à jour simple et individuel, livré avec Windows ou disponible en ligne, apprécié par les petites structures. « Nous n'avons pas encore ressenti le besoin d'automatiser les mises à jour, malgré notre parc d'une quinzaine de ser veurs : nous lançons Windows Update sur chacun d'eux une fois par mois ou lorsqu'une mise à jour critique est disponible », détaille Laurent Bourguignon, chargé de l'assistance chez Bluewave, un éditeur de logiciels bancaires.

Microsoft Software Update Services (SUS) est la version pour entreprise du précédent. Gratuit lui aussi, il permet de télécharger les mises à jour sur un seul serveur, qui les distribuera à l'ensemble du parc après validation. « Nous sommes totalement équipés Microsoft, et il nous a semblé naturel d'utiliser le service de mises à jour de l'éditeur. Mais nous utilisons pour cela le SUS. Outre l'avantage de l'automatisation, cela nous permet de tester les mises à jour avant de les déployer sur nos 90 serveurs », explique Patrick Reynaud, RSSI pour AXA Assistance.

La mise en oeuvre : d'une rare simplicité

Difficile d'offrir une installation plus limpide que celle de ces outils : Windows Update est soit fourni avec Windows, soit accessible en ligne par le biais d'Internet Explorer (le service utilise des contrôles ActiveX). Quant à Microsoft SUS, il se télécharge librement. Il suffit ensuite que les serveurs soient capables de se connecter à Internet (ou un seul d'entre eux dans le cas de SUS) pour être mis à jour. « Nous avons profité de la migration vers Windows 2000 de tout notre intranet [50 serveurs et 2 000 postes de travail, NDLR] pour déployer SUS. Il ne nous a fallu que deux jours pour le configurer et le prendre en main, et le reste de la semaine pour le valider. Nous étions opérationnels très rapidement », se souvient le lieutenant-colonel Gilles Berthelot, directeur informatique des Pompiers de Paris.

Mettre en place SUS revient de fait à répliquer l'infrastructure Windows Update de Microsoft au sein du LAN. « Nous l'avons installé sur un serveur dédié situé dans une DMZ, ce serveur étant par ailleurs le seul autorisé à télécharger les correctifs chez Microsoft. Toutes les autres machines ont été configurées pour récupé rer leurs mises à jour dans ce serveur unique », précise Patrick Reynaud.

Les ressources : bien répartir les tâches

Cette simplicité de mise en oeuvre ne doit pas faire oublier le caractère à risque du sujet : la modification des serveurs de production. Leur mise à jour doit donc être encadrée, et là se situent la véritable valeur ajoutée du responsable sécurité et les vrais besoins en ressources. Cela commence par la veille, loin d'avoir disparue depuis que les correctifs arrivent tous seuls ! « Je me connecte quand même tous les jours au site TechNet de Microsoft, et nous sommes abonnés à ses listes de diffusion sécurité ainsi qu'à d'autres sources d'information. Ce n'est pas parce qu'un correctif est disponible avec Windows Update que nous l'ap pliquons forcément. Il faut savoir l'évaluer », explique Laurent Bourguignon.

Chez AXA Assistance, la veille a même été institutionnalisée : « J'ai embauché un collaborateur chargé spécialement de vérifier la présence de correctifs à valider, de superviser leur déploiement et d'effectuer notre veille des vulnérabilités. Pour cela, il dispose de nombreuses sources d'information sur abonnement, dont certaines payantes, tels X-Force d'ISS ou le service Citadelle d'Intrinsec [5 000 euros par an, NDLR] Je ne pourrais pas répartir cette fonction sur plusieurs postes : il faut pouvoir suivre les correctifs, savoir que tel patch remplace tel autre, etc. », reconnaît Patrick Reynaud.

Une fois les correctifs disponibles, il faut les tester. Ici, impossible de faire l'économie d'une architecture dédiée. « Nous avons quelques machines qui reproduisent nos configurations types. Nous les mettons à jour et les laissons fonctionner deux ou trois jours, afin de nous assurer que le correctif ne pose pas de problème », détaille le lieutenant-colonel Gilles Berthelot. Cette architecture peut être réduite à un seul serveur, à condition qu'il soit de taille conséquente : « Nous avons déployé un biprocesseur doté de 4 Go de RAM qui contient toutes les applications pouvant être utilisées chez nous. Le temps de test varie selon les types de correctifs : ceux destinés à la sécurité sont rapides, car ils ne modifient pas la configuration. À l'inverse, un Service Pack nous prendra la demi-journée », précise Patrick Reynaud. Chez Bluewave, on ne teste d'ailleurs que ces derniers, les autres correctifs étant installés immédiatement.

Une fois validé, le patch doit être diffusé. Techniquement, l'outil s'en charge tout seul. Mais il est rare que cela rende caduque une communication en interne. « Nous appliquons automatiquement les correctifs sur les 90 serveurs que nous gérons directement. Mais dans nos 38 filiales, cela relève de la responsabilité du technicien local. Il est prévenu par e-mail de la présence d'un correctif validé, et c'est lui qui décide. Pour ces techniciens, j'ai mis en place un forum de discussion afin qu'ils puissent poser leurs questions et dialoguer avec nous. Il y a un vrai travail éducatif à faire ! », explique Patrick Reynaud.

Une souplesse que l'on retrouve aussi chez les Pompiers de Paris : « Nous imposons certes les mises à jour sur les postes de travail, chaque client vérifiant la présence de correctifs validés sur une période de 24 heures pour les appliquer. Mais pour nos serveurs départementaux, cela doit être fait en collaboration avec leurs administrateurs. Lorsqu'il est nécessaire de redémarrer, il faut en effet bien choisir le moment afin ne pas déranger l'activité des services. Nous les prévenons avant par e-mail et, si la date de mise à jour ne leur convient pas, nous le gérons au cas par cas », explique le lieutenant-colonel Gilles Berthelot.

Les gains : échapper aux épidémies

Aucun de nos témoins n'a été directement touché par les dernières grandes épidémies. Même chez Bluewave, qui se contente du logiciel Windows Update standard et d'une veille active : « Sans procédure de mise à jour formalisée, simplement en appliquant régulièrement les correctifs avec Windows Update, nous n'avons jamais été touchés par les derniers virus. Même nos nombreux serveurs Microsoft SQL Server n'ont pas été frappés, alors qu'ils ne sont pas protégés par Windows Update : nous les avions corrigés dès la disponibilité du patch, grâce à notre veille sécurité », se félicite Laurent Bourguignon.

Autre bénéfice, généré cette fois par SUS : le temps gagné grâce à l'automatisation. « Auparavant, les mises à jour étaient assurées manuellement par une trentaine de collaborateurs délégués, dont ce n'était pas la seule fonction et qui chapeautaient cinquante sites distants », observe le lieutenant-colonel Gilles Berthelot. Et d'ajouter que la remise à plat de la gestion des correctifs a également permis de renforcer la sécurité des utilisateurs itinérants : « Nous imposons que chaque ordinateur portable soit présent au moins deux heures par semaine sur le réseau pour faire ses mises à jour », conclut-il.

Les écueils : pas de vision globale

Microsoft SUS (et a fortiori Windows Update) ne propose pas de solution pour consolider efficacement les journaux de mise à jour ou d'erreurs, et pour avoir une vision globale de l'état du parc. « Après chaque déploiement, nous devons analyser le parc avec le Baseline Security Advisor de Microsoft [un scanner de patchs gratuit, mais non intégré à SUS, Ndlr]. Nous récupérons ensuite son journal, qui nous indique les machines où il manque des correctifs, et le traitons grâce à un script ASP développé en interne. Il nous permet d'extraire l'information relative au patch que nous venons d'appliquer et de la publier sur un site intranet réservé à nos administrateurs. Ainsi, chacun peut voir à tout moment quelles machines ne sont pas encore à jour », détaille le lieutenant-colonel Gilles Berthelot.

Enfin, SUS ne gère que les correctifs du système d'exploitation (Service Packs inclus). Les produits commerciaux prennent, quant à eux, en charge les applications (SQL Server, Exchange, etc.) et offrent des fonctions de journalisation efficaces. Mais Microsoft a exprimé l'idée de renforcer SUS, qui pourrait concerner un jour les applications maison ­ au minimum SQL Server et Office, grands consommateurs de correctifs.

Une sécurité maîtrisée

Un seul serveur est autorisé à se connecter automatiquement vers l'extérieur et à télécharger automatiquement du contenu. Il est situé dans une DMZ, et est donc plus facile à contrôler. Tous les autres serveurs et postes de travail de l'entreprise sont configurés de façon à ne pas recevoir un contenu extérieur non vérifié : seuls les correctifs validés par l'administrateur seront alors installés.

Un contrôle difficile des utilisateurs

Lorsqu'un tel outil est déployé dans l'entreprise (y compris Microsoft SUS), Windows Update n'est pas désactivé. Même si les postes sont incapables de se mettre à jour directement depuis Internet, cela demeure possible en ligne avec Internet Explorer. Malheureusement, l'opération peut permettre à des utilisateurs de mettre leur poste à jour avec des correctifs non approuvés. Il est donc nécessaire de contrôler les URL.

Une mise à jour simple

Avec Microsoft SUS (Software Update Services), le système - Windows 2000 et suivants - possède déjà le client nécessaire pour se connecter au serveur de mise à jour de l'entreprise. Il suffit de lui indiquer l'adresse de ce dernier pour que les correctifs soient désormais récupérés et installés en interne. La plupart des autres outils fonctionnent de façon identique, mais impliquent l'installation d'un client dédié. Certains, enfin, ne nécessitent pas d'agent, mais leurs fonctions sont limitées au recensement ou exigent un accès partagé sur les postes.

Une couverture limitée

Les logiciels gratuits de Microsoft mettent à jour seulement le système d'exploitation, et non pas les autres applications de l'éditeur. Les logiciels commerciaux vont plus loin dans la couverture applicative, mais le choix de l'entreprise reste toutefois limité aux applications gérées par l'éditeur de sa solution : en conséquence, toute application qui sort des sentiers battus ne pourra bénéficier des mises à jour automatisées collectives.


 

 Les principales offres de patchs existantes 
 Éditeur     Logiciel     Descriptif     Prix (ht) 
 Microsoft     Windows Update     Fonction de mise à jour gratuite et accessible à toutes les versions de Windows (inclus dans l'OS ou en ligne avec Explorer). Ne met à jour que le système.     Gratuit 
             
 Microsoft     Microsoft Software Update Services     SUS permet de disposer d'un serveur Windows Update interne à l'entreprise (Windows 2000 SP2 et supérieur). Ne met à jour que le système.     Gratuit 
             
 Microsoft     Microsoft Systems Management Server     SMS permet le déploiement et l'inventaire des applications sur un réseau Microsoft. Depuis peu, il assure le recensement et l'application des correctifs.     1 909 dollars pour 25 utilisateurs (disponible en France à la fin de l'année) 
             
 St. Bernard Software     UpdateEXPERT     Utilise sa propre base de connaissance des correctifs Microsoft (système et applications). Non disponible pour les versions françaises de Windows.     780 dollars par an pour 50 machines (serveur ou poste de travail) 
             
 RippleTech     PatchWorks     Gestion centralisée et déploiement des correctifs (Microsoft uniquement, mais couvre le système et les applications).     Non communiqué 
             
 Shavlik     HFNetChk     Identification et installation des correctifs Microsoft. Très complet. Shavlik fournit les scanners gratuits de Microsoft.     420 € pour 25 postes + 105 € par an de maintenance 
             
 PatchLink     PatchLink Update     Gère le déploiement des correctifs Microsoft pour les systèmes et les applications. Permet à l'administrateur de créer ses propres packages à déployer.     1 499 dollars pour le serveur, puis 18 dollars annuels par serveur ou par poste 
             
 Ecora Software     Patch Manager     Dédié aux systèmes et applications essentiels de Microsoft, ainsi qu'au système d'exploitation Solaris de Sun.     59 € par an de 1 à 24 postes ou serveurs 
 

Service Kiosque :
Préservez la nature et téléchargez vos magazines préférés !

publicité
> Logiciel :
Spyware Doctor 6.1
Protection Internet contre le parasitage.

classement FAI
Retrouvez chaque semaine le classement des fournisseurs d'accès avec ip-label 1 Bouygues Telecom 2 Free 3 Orange > Plus de détails
offres d'emploi
plus d'offres d'emploi
Service Kiosque :
Préservez la nature en téléchargeant vos magazines en illimité !

Service 01net
Newsletters 01net
abonnez vous gratuitement !
Actus
Voir le dernier numéro
Entreprise
Voir le dernier numéro
  
01Informatique
01 INFORMATIQUE
L'hebdo de référence des décideurs informatiques.
Micro Hebdo
MICRO HEBDO
L'hebdo qui vous simplifie la micro
et Internet.
L'Ordinateur Individuel
L'ORDINATEUR INDIVIDUEL
Le mensuel informatique qui vous informe et vous conseille.
Tous droits réservés © 1999 - 2009 Internext - 01net.