Si vous utilisez un ordinateur, vous utilisez un système d'exploitation et plusieurs types de logiciels (par exemple, des programmes antivirus et des composants Microsoft Office) et des plug-ins web (par exemple, Flash et Java).
Si vous utilisez un smartphone et/ou une tablette, chacun d'entre eux utilise un système d'exploitation et plusieurs (ou de nombreuses) logiciels informatiques. Et enfin, si vous utilisez des appareils et des systèmes connectés à l'internet, tels que des trackers de fitness, des moniteurs de sécurité, des thermostats et même certaines voitures, chacun d'entre eux possède son propre logiciel.
Les systèmes d'exploitation et les logiciels sont les cerveaux des appareils que nous utilisons et, comme les vrais cerveaux, il y a toujours plus à apprendre.
Les développeurs et les fabricants apportent constamment des améliorations et recueillent des commentaires, ce qui signifie qu'ils publient régulièrement des versions mises à jour des logiciels et des applications mobiles.
Ces mises à jour offrent souvent des fonctionnalités étendues, mais elles corrigent tout aussi souvent des bugs et des failles de sécurité détectés dans des versions antérieures.
Les mises à jour qui corrigent les failles de sécurité et les plug-ins obsolètes sont les plus importantes et doivent être installées le plus rapidement possible. La raison principale est que les cybercriminels et les escrocs cherchent à exploiter ces vulnérabilités connues, en les utilisant pour voler des données confidentielles, installer des logiciels malveillants ou accéder à des appareils et à des réseaux personnels.
Dans la plupart des cas, les navigateurs web récents et les app stores grand public activent les mises à jour automatiques, soit par défaut, soit en option. Cependant, il y aura de nombreuses occasions où vous devrez procéder à une installation par vous-même, soit en suivant une invite sur votre appareil, soit en vous basant sur votre propre diligence.
Voici quelques conseils clés pour vous assurer d'éviter autant de failles de sécurité que possible dans les logiciels :
Les mises à jour “incrémentielles” : à surveiller de près
La différence entre une version “complète” d'un logiciel et une mise à jour “incrémentale” se trouve dans les chiffres. Les versions et les mises à jour de logiciels suivent généralement une formule du type X.y, où X indique la version complète (qui introduit un nouveau produit ou une mise à jour majeure des caractéristiques/fonctionnalités existantes) et y indique une ou plusieurs modifications incrémentielles par rapport à la version complète précédente.
Les mises à jour incrémentales corrigent les problèmes rencontrés lors de l'utilisation continue de la dernière version et comblent souvent les lacunes en matière de sécurité.
Vous aurez plus souvent affaire à des versions incrémentielles qu'à des versions complètes, car les versions complètes nécessitent beaucoup de temps de développement et de ressources, et il s'écoule généralement plusieurs mois, voire plusieurs années, entre les versions complètes d'un logiciel.
Lorsqu'une mise à jour incrémentielle corrige une faille de sécurité connue, appliquez-la dès que possible. (Cette liste de mises à jour de la version iOS 9.0 illustre la manière dont les mises à jour incrémentielles sont utilisées entre les versions complètes).
Effectuer des recherches
Une recherche rapide en ligne peut vous fournir des informations utiles, en particulier lorsque la mise à jour concerne un produit très répandu. S'il existe des problèmes de sécurité majeurs, les médias en parleront, et ces détails peuvent vous aider à comprendre l'expérience des utilisateurs et les mesures que vous devriez prendre.
La recherche est particulièrement utile lorsqu'il s'agit d'une version complète ou d'une mise à jour incrémentale majeure. Comme indiqué au point précédent, une version complète introduit un nouveau logiciel ou modifie un logiciel existant de manière significative (en introduisant une nouvelle interface utilisateur, par exemple, ou en ajoutant des fonctions d'interactivité améliorées).
Dans la plupart des cas, l'objectif d'une version complète est de faire progresser un ensemble de fonctionnalités, et non de combler des failles de sécurité. En fait, les versions complètes et les mises à jour incrémentielles plus riches en fonctionnalités peuvent en réalité introduire des failles de sécurité ou des bugs du système qui peuvent avoir un impact négatif sur l'expérience de l'utilisateur.
Il peut être avantageux pour vous de laisser se dérouler les premiers jours suivant une version majeure avant de procéder à votre propre installation, en particulier si vous mettez à jour un dispositif critique pour une mission ou une entreprise, ou si vous avez affaire à un système lié à votre sécurité personnelle (comme votre voiture ou un système de sécurité pour toute la maison).
Un peu de recherche vous aidera à identifier les impacts négatifs, les avantages et les inconvénients d'être un adoptant précoce et les risques éventuels.
La récente version d'iOS 10, qui comprenait une révision majeure des caractéristiques et des fonctionnalités, est un bon exemple d'une approche plus prudente qui consiste à attendre que la poussière retombe un peu avant de procéder à l'installation.
Wombat Security est un fournisseur de premier plan de formations de sensibilisation à la sécurité qui modifient les comportements et réduisent les risques. Découvrez comment notre méthodologie unique aide les organisations à obtenir des résultats mesurables de leurs programmes de formation à la cybersécurité.
Mise à jour dès la première utilisation
Cela peut paraître insensé, mais les nouveaux gadgets peuvent être périmés au moment où vous les ramenez chez vous. C'est particulièrement vrai pour les appareils et systèmes remis à neuf, mais c'est aussi souvent le cas pour les articles neufs qui peuvent rester sur les étagères pendant des mois avant d'être achetés.
Une fois les produits fabriqués et expédiés, les améliorations logicielles se poursuivent ; il est donc prioritaire de vérifier les mises à jour dès que possible.
Soyez particulièrement prudent avec les appareils grand public qui font partie de l'internet des objets (IdO). En raison de la forte demande et de la concurrence intense, certains appareils sont mis sur le marché avant d'avoir été entièrement sécurisés.
Autre conseil important : modifiez les mots de passe par défaut de tous vos appareils (routeurs, traqueurs d'exercice, caméras connectées, etc.) Les mots de passe par défaut des appareils sont souvent publiés en ligne, et l'on sait que des hackers ont accès à ce type d'informations. Un changement rapide peut s'avérer très utile en termes de sécurité.
Télécharger à partir d'une source légitime
On ne le dira jamais assez : les cybercriminels et les escrocs en ligne sont à l'affût à chaque coin de rue. C'est pourquoi il est important de ne télécharger que des logiciels et des applications provenant de sources fiables.
Voici quelques conseils :
- Ne cliquez pas sur des fenêtres pop-up ou des pages web aléatoires qui vous conseillent de mettre à jour des logiciels ou des plug-ins. Il s'agit presque toujours d'un piège. Lancez plutôt une analyse dans le logiciel lui-même ou visitez le site web du développeur pour vérifier s'il y a des mises à jour.
- Tenez-vous-en à des app stores de confiance. Les applications “développées en interne” ne sont pas soumises aux contrôles de sécurité exigés par les sources plus courantes, ce qui les rend intrinsèquement plus dangereuses. Les grandes marques prennent la sécurité plus au sérieux.
- Évitez les contenus piratés. Oui, il existe des sites qui prétendent offrir gratuitement des contenus de qualité (musique, émissions de télévision, films, logiciels piratés, etc.) Non seulement ces types de téléchargements sont illégaux, mais ils sont également risqués. Ces sites ne sont pas contrôlés sur le plan de la sécurité et vous risquez donc d'exposer vos appareils à des virus, des logiciels malveillants et d'autres dangers en les téléchargeant.
- Tenez-vous-en à des développeurs et des fabricants de confiance. Chaque nouveau logiciel, chaque application et chaque appareil connecté est une nouvelle porte d'accès à vos données et systèmes personnels (et, potentiellement, aux données et systèmes de votre entreprise).
Alors que des failles de sécurité sont régulièrement découvertes dans les logiciels et les appareils les plus répandus, les organisations dignes de confiance souhaitent combler ces lacunes le plus rapidement possible afin de protéger leurs clients. En revanche, les développeurs malhonnêtes cherchent à tirer profit des vulnérabilités intentionnelles à des fins personnelles.