Garder ses appareils à jour pour que les vulnérabilités et faiblesses connues ne puissent pas être exploitées par des personnes mal intentionnées fait partie des bonnes pratiques de base dans le domaine de la sécurité informatique. Le problème est que ces vulnérabilités et faiblesses ne sont justement pas toujours connues. Toutes ne sont pas signalées ou publiées immédiatement après leur découverte. Il existe généralement un délai de grâce d'environ trois mois accordé par les personnes pratiquant la « divulgation responsable » aux propriétaires de logiciels, pour que ces derniers puissent réparer les failles, avant qu'elles ne soient rendues publiques. Au moment de leur publication, les mesures prises sont documentées et appliquées grâce au mécanisme de mise à jour standard. Cependant, certaines personnes, organisations ou entreprises optent parfois pour une approche bien différente. Au lieu de pratiquer la divulgation responsable, elles collectent des données sur les vulnérabilités et faiblesses pour les vendre au plus offrant (souvent sur le marché noir), ou les utiliser à de mauvaises fins (espionnage, cyberattaques, etc.).
Une autre bonne pratique permet toutefois de limiter les risques en matière de sécurité informatique : la réduction de l'exposition aux attaques. Moins il y a de logiciels installés sur un appareil, mieux ils sont programmés ; moins un logiciel est répandu sur le marché, plus la surface d'attaque est limitée. Un logiciel qui n'est pas installé ou exécuté sur un appareil ne présente aucun risque pour ce dernier. Un logiciel de qualité, programmé dans le respect des bonnes pratiques de sécurité, est plus difficile à exploiter. Enfin, un logiciel utilisé par peu de personnes ne sera probablement pas pris pour cible par les pirates informatiques, puisque le détourner ne présente pas un intérêt financier suffisant.
Tous systèmes d'exploitation confondus (Windows, Mac et Linux), parmi les applications présentant le plus de failles signalées en 2017 figurent Microsoft Edge, Safari d'Apple, Adobe Acrobat et Acrobat Reader, et Java JDK et JRE d'Oracle. Même si ce ne sont que quelques applications parmi d'autres, celles que nous avons citées dominent le marché de l'informatique et sont installées sur de nombreux appareils différents, dont probablement le vôtre. Mais en avez-vous vraiment besoin ? N'existe-t-il pas des logiciels similaires moins connus et donc moins susceptibles d'être exploités ?
Il en existe bel et bien. Et c'est la raison principale pour laquelle le CERN a retenu récemment, pour ses lecteurs PDF par défaut, les logiciels PDF-XChange pour Windows et PDF Expert pour Mac. Couplés à d'autres éléments de sécurité (à savoir le moteur de filtrage sophistiqué que le CERN utilise pour éliminer le spam), ces nouveaux lecteurs par défaut ne seront pas infectés par des documents PDF contaminés visant les failles du lecteur PDF qui domine le marché. Même si ces logiciels ne sont pas, en soi, nécessairement moins vulnérables, la probabilité que quelqu'un cherche à les exploiter est bien plus faible, puisque la majorité des pirates informatiques s'en prennent aux logiciels les plus couramment utilisés – ceux de la liste mentionnée ci-dessus.
Vous voulez faire plus ? Passez en revue les logiciels installés sur vos appareils, en particulier s'il figurent dans la liste suivante : https://www.cvedetails.com/top-50-products.php?year=2017. Désinstallez les applications que vous n'utilisez que très peu, voire pas du tout, afin de limiter votre exposition. Pensez à opter pour d'autres logiciels. Pour remplacer votre navigateur ou votre lecteur PDF préférés, vous avez le choix entre nombre de solutions de qualité (mieux sécurisées), et parfois gratuites. Enfin, pensez à mettre vos logiciels à jour régulièrement. Pour vous faciliter la tâche, utilisez Secunia, un logiciel qui vérifie si vos autres logiciels sont à jour.
Pour en savoir plus sur les incidents et les problèmes relatifs à la sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.