Pourquoi est-ce un problème de sécurité de ne pas mettre à jour son navigateur?
Est-ce en général un problème de sécurité pour ne pas mettre à jour votre navigateur. Firefox me demande constamment de mettre à jour mon navigateur, mais est-il dangereux de ne pas mettre à jour?
Dans le cadre de cette question, je voudrais savoir quel est exactement ce problème. Quels sont les risques de ne pas mettre à jour votre navigateur? Que pouvait-il arriver exactement?
Parce qu'il y a constamment des failles de sécurité dans les logiciels. Ces vulnérabilités sont parfois rendues publiques, parfois non. Quoi qu'il en soit, lorsque les développeurs les trouvent ou les découvrent, ils les corrigent. L'exécution d'anciennes versions de navigateurs vous rend vulnérable aux sites Web malveillants qui tentent d'infecter votre ordinateur.
Vous trouverez ci-dessous des liens vers des pages Web répertoriant les vulnérabilités qui ont été corrigées dans des versions relativement récentes des 3 navigateurs les plus populaires.
Tous les navigateurs vont avoir des bugs, et tous auront des vulnérabilités. Mais garder le contrôle des vulnérabilités connues peut aider à empêcher les attaquants d'accéder à votre système.
Modifier
Merci à kirb pour ces liens supplémentaires vers les blogs à jour des mises à jour de sécurité du navigateur
Je ne fais que répéter d'autres réponses, mais essayons de l'expliquer à l'aide d'une métaphore. Un programme informatique est une longue description de la manière dont l'ordinateur doit se comporter, en fonction des informations qui lui sont fournies. Un programme de navigateur reçoit des instructions d'un programme de serveur Web et dessine une page Web à utiliser. Il indique ensuite au serveur Web la page suivante qu'il souhaite visiter, etc.
Nous, les développeurs, commettons de nombreuses erreurs lors de l'écriture de programmes. Nous oublions parfois certains cas Edge, auquel cas nos programmes se comporteront de manière erratique et pourraient causer des dommages. Parfois, des instructions spécifiques permettent de contourner une vérification que nous faisons, par exemple en permettant à quelqu'un de modifier les paramètres de votre navigateur ou de provoquer un téléchargement sans votre approbation. En bref, les erreurs sont exploitées de toutes les manières imaginables .
Dans d'autres cas, les programmes se comportent de manière si irrégulière qu'ils commencent à écrire des ordures sur leur propre liste d'instructions (comme un enfant dessinerait sur votre liste de courses). Les attaquants sont très bons pour trouver ces cas (que nous appelons exploits ), et guider les navigateurs pour écrire des choses très spécifiques ( payload ) en plus des instructions originales plutôt que des ordures.
Lorsque cela se produit, les développeurs le découvrent tôt ou tard (souvent des mois/années plus tard), et ils améliorent le code source du programme en supprimant les ambiguïtés ou les erreurs qui ont permis l'exploitation. Ils sortent ensuite une nouvelle version qui n'est plus vulnérable.
Lorsque vous utilisez une ancienne version de certains logiciels, cela signifie qu'il est vulnérable aux exploits connus et bien documentés , donc toute personne ayant un peu d'esprit peut exploitez vos logiciels et endommagez votre ordinateur et vos données. En particulier, les navigateurs Web sont constamment exposés à des informations de tiers inconnus qui peuvent être malveillantes.
Les serveurs Web peuvent appartenir à des mafias cherchant à gagner de l'argent en installant des logiciels malveillants sur n'importe quel ordinateur de passage (qui suit vos opérations bancaires en ligne, vole des fichiers qui semblent contenir des informations financières ou des mots de passe, vous suivent en ligne pour vous servir des publicités, vous faire résoudre des CAPTCHA au nom de robots de spam ou utilisez les ressources de votre ordinateur pour envoyer du spam).
D'autres attaquants pénètrent même dans des serveurs légitimes, puis y ajoutent des logiciels malveillants, de sorte que même la visite d'un site Web parfaitement réputé comme YouTube ou Facebook peut conduire à des logiciels malveillants. La meilleure défense que vous ayez contre cela est de ne pas être vulnérable aux façons bien connues dont votre navigateur peut être exploité, en le mettant à jour.
Eh bien, tout l'intérêt de mettre à jour/corriger n'importe quoi est de corriger les vulnérabilités connues. Tout bogue/vulnérabilité trouvé dans la version de Firefox que vous utilisez pourrait être exploitable. La mise à jour de votre navigateur modifiera son fonctionnement et entraînera la non-exploitation de ces vulnérabilités. C'est vraiment aussi simple que ça.
La mise à jour peut également introduire de nouvelles vulnérabilités, mais étant une nouvelle version, la connaissance des nouvelles vulnérabilités est probablement faible, jusqu'à ce qu'elle soit sortie depuis un certain temps et que les gens en trouvent, puis les développeurs publient un nouveau patch et le cycle se répète.
Les mises à jour incluent également souvent des augmentations de performances, donc un fonctionnement plus rapide, une conception plus élégante ou diverses autres améliorations de l'expérience utilisateur.
Il y a deux raisons principales pour créer une nouvelle version d'un programme: (dans ce cas un navigateur)
- Pour ajouter de nouvelles fonctionnalités (par exemple, visionner une vidéo dans le navigateur).
- Pour résoudre un problème, qui peut être:
- Un problème mineur (tel que cmd-L n'ouvre pas une nouvelle fenêtre quand aucune fenêtre n'est disponible)
- Un gros problème (par exemple, une page Web malveillante peut lire les données d'autres demandes [ 1 ])
Certaines modifications sont un peu plus difficiles à classer ( amélioration des performances est un bug ou une fonctionnalité?)
La plupart des gros problèmes sont les problèmes de sécurité la résolution ne sorte de vulnérabilité . Un navigateur moderne est aussi complexe qu'un OS, il est extrêmement difficile de ne pas avoir d'erreurs.
Il y a aussi nouvelles fonctionnalités améliorant la sécurité qui n'impliquent pas de vulnérabilité (mais vous devriez essayer de l'adopter).
Certains programmes (par exemple, un créateur de cartes postales), il n'est pas si critique d'avoir la dernière version. Principalement parce que vous ne l'utilisez qu'avec des fichiers de confiance (ceux que vous avez créés), le risque d'être infecté par ce biais est donc assez faible.
D'un autre côté, les navigateurs Web sont utilisés tous les jours pour visiter de nombreux sites non fiables. Et par non fiable, je le pense vraiment. Si vous êtes un gros internaute, il est très étrange que vous ne visitiez pas un site Web qui pourrait être compromis pendant quelques semaines. Le journal en ligne que vous lisez? Devinez ce qui peut être fait au sein de son réseau publicitaire. Lorsque vous avez recherché X sur Google? Ce résultat de recherche aurait pu être un exploit, etc., etc.
Il y a beaucoup de méchants qui essaient de vous infecter (et principalement via votre navigateur ou l'un de ses plugins). Parfois, ils tentent une seule vuulnerabilité, d'autres ils essaient autant qu'ils le peuvent (un kit d'exploit), essayant tout ce qui pourrait leur permettre de contrôler votre machine.
Comme les navigateurs Web sont mis à jour dès qu'ils connaissent le bogue - et réussissent à le corriger parfois ils le découvrent d'abord, parfois il a été mal utilisé pendant longtemps), si vous le maintenez à jour, il est beaucoup plus difficile de vous compromettre, car un attaquant aurait besoin d'un bogue sans correctif (appelé 0 jour). Cependant, l'utilisation d'une ancienne version signifie que vous êtes également vulnérable à tous les problèmes résolus après cette version, pour lesquels l'exploit dans la plupart des cas n'a même pas été écrit avant d'être résolu! (cf. --- (Microsoft Security Intelligence Report 16, page 24 et MSIR 15 ) Les systèmes non mis à jour sont beaucoup plus susceptibles d'être infectés.
Mozilla Firefox publie une nouvelle version toutes les six semaines (plus chaque fois qu'un problème de sécurité en force une nouvelle). Si vous souhaitez maintenir le navigateur à jour mais que vous n'êtes pas intéressé par des modifications moins importantes (telles que les modifications de la barre d'outils), vous pouvez exécuter un Extended Support Release , qui est pris en charge pendant 54 semaines (bien que vous puissiez toujours obtenir une nouvelle version avec des corrections mineures toutes les six semaines, plus les mises à jour de sécurité nécessaires).
De nombreux autres fournisseurs proposent également des versions LTS (Long Term Support) de leurs programmes, auxquelles ils appliquent des correctifs de sécurité (uniquement), même si ce n'est pas le dernier. Par exemple, Debian prend en charge (c.-à-d. Corrige les anciennes versions qu'ils expédient) leurs packages - bien qu'ils soient un distributeur - pendant environ 3 ans, et Red Hat Enterprise Linux fournit un support pendant 13 ans.
Cependant, bien que vous ayez formulé la question de manière générique, vous vous demandiez probablement pourquoi Firefox devait mettre à jour vers Firefox 32.0.1 (12 septembre 2014) quelques jours seulement après l'installation de Firefox 32.0 (2 septembre 2014). Ce n'est pas constamment, bien que la dernière mise à jour date de juillet.
L'explication est -comme toujours- dans les notes de version https://www.mozilla.org/en-US/firefox/32.0.1/releasenotes/ où nous pouvons le faire, bien que Firefox 32 ait corrigé une certaine sécurité problèmes, Firefox 32.0.1 n'était pas dû à la découverte de nouvelles vulnérabilités, mais parce que Firefox 32 "a échoué" sur les ordinateurs avec plusieurs cartes graphiques (l'un de ces problèmes majeurs non liés à la sécurité).
32.0.1 - Problèmes de stabilité pour les ordinateurs avec plusieurs cartes graphiques
32.0.1 - L'icône de contenu mixte peut ne pas s'afficher correctement au lieu de l'icône de verrouillage pour les sites SSL
32.0.1 - WebRTC: setRemoteDescription () échoue silencieusement si aucun rappel de réussite n'est spécifié
Ainsi, à titre d'exception aux conseils généraux, la mise à jour vers Firefox 32.0.1 si vous exécutez Firefox 32.0 n'est pas un problème urgent, sauf si vous utilisez plusieurs cartes graphiques (ou utilisez Android). Mais lorsque 32.0.2 apparaît, la mise à jour peut l'être. Vous devez être très prudent à chaque fois sur ce qui a changé exactement si vous souhaitez continuer à exécuter les versions les plus récentes de votre navigateur (et en toute sécurité).
Si vous avez affaire à un seul ordinateur, la mise à jour prend probablement moins de temps que de le découvrir ☺ (et nous devrions être reconnaissants à la dernière génération de mises à jour automatiques pour les avoir rendues si transparentes)
Voici un lien vers les notes de mise à jour de sécurité de Firefox:
Vous pouvez voir par le nombre de correctifs, et en particulier ceux marqués "critiques", qu'en ne mettant pas à jour, vous risquez beaucoup.
Réponse la plus courte, lisez le changelog de Firefox pour une version et voyez pourquoi. Tu peux le trouver @
https://www.mozilla.org/en-US/firefox/releases/
Pour toutes les versions spécifiques. Cliquez simplement sur l'un des numéros de version.
Tous les logiciels ont des bugs. Les mises à jour aident à résoudre ces bogues.
En ce qui concerne les navigateurs, les bogues peuvent signifier que des logiciels malveillants peuvent infecter votre navigateur, voire votre machine. Pire cas? Un attaquant peut connaître vos coordonnées bancaires et vider votre compte.
C'est à cause d'une catégorie de vulnérabilités connue sous le nom de vulnérabilités côté client. Au fil du temps, les serveurs sont devenus plus sécurisés, donc les cyber-escrocs, au lieu de se concentrer sur les serveurs de nos jours, se concentrent sur les bogues de sécurité côté client. En ce qui concerne les navigateurs, ces bogues sont principalement utilisés après les bogues gratuits (spécialement dans Internet Explorer qui a changé récemment grâce à l'incorporation de plus de protections contre ces bogues).
Il existe des logiciels connus sous le nom de "kits d’exploitation" (par exemple, Blackhole , Sweet Orange et Stuxnet ) qui ont plusieurs exploits côté client prêts à tirer hébergés sur un site Internet. Une fois que vous visitez le site Web avec votre navigateur non mis à jour (ou Java: D), boom, ils ont accès à toutes vos informations d'identification.
Lorsque vous visitez une page Web, il héberge des logiciels malveillants quelque part sur la page. Votre navigateur télécharge le contenu et le traite, exploite du code dans votre navigateur, lui donnant accès à votre ordinateur. Il installe un serveur de messagerie et commence à envoyer des spams - des milliers de messages toutes les quelques minutes.
N'avez-vous pas remarqué que votre système a ralenti et/ou votre disque dur fonctionne dur?
Vous visitez une page Web, il héberge des logiciels malveillants quelque part sur la page. Votre navigateur télécharge le contenu et le traite, et cette fois, il récolte tous les contacts de votre carnet d'adresses, recherchant également des noms d'utilisateur (c.-à-d., Votre compte de messagerie nom d'utilisateur et plus) et le mot "mot de passe" dans tous vos messages. S'il en trouve un, il le renvoie "chez lui". Maintenant, quelqu'un peut exécuter l'un des programmes largement disponibles qui essaie le trouvé nom d'utilisateur et pw sur des dizaines de sites.
Vous visitez une page Web, il héberge des logiciels malveillants quelque part sur la page. Votre navigateur télécharge le contenu et le traite, et cette fois il recherche des informations de carte de crédit et bancaires ...