QuickTime pour Windows vulnérable : En quoi cela concerne-t-il les entreprises ?

La recommandation officielle d'Apple était de désinstaller tout simplement QuickTime. Grâce au HTML 5 et à la prise en charge de la vidéo directement dans les navigateurs web, cela ne touche pas vraiment "l'utilisateur normal".

Cette histoire est donc un sujet classique pour les consommateurs. Il existe toutefois une autre facette de QuickTime : le ProRes.

Il s'agit d'un codec vidéo développé par Apple pour le secteur professionnel du film et de la vidéo. De nombreuses superproductions hollywoodiennes sont tournées sur des caméras qui utilisent le ProRes natif comme "format de film".

Alors que les codecs ProRes sont fournis sous Mac OS X, le seul moyen légal sous Windows était d'installer QuickTime. Ce qui est particulièrement vrai pour les programmes de montage, la correction des couleurs, la 3D et les effets visuels.

Avec l'abandon de QuickTime, des workflows de production entiers se retrouvent soudain "suspendus dans le vide". Un état largement répandu dans l'environnement professionnel et les opérations informatiques.

L'obsolescence ou la fin du support des logiciels est un problème auquel on est confronté presque quotidiennement dans les systèmes de commande industriels. Pour certains composants industriels dont la durée de vie est prévue pour 20 ans ou plus, il n'est pas surprenant de trouver encore souvent Windows XP.

On trouve même parfois encore du MS-DOS !

L'option d'une mise à jour rapide n'existe pas ici. D'une part, parce que la garantie de la fonctionnalité du système ne peut plus être assurée. D'autre part, pour des raisons tout à fait banales telles que les dépendances matérielles.

Il n'est pas non plus nécessaire que le support d'un logiciel s'arrête complètement. L'application en temps voulu de correctifs critiques est déjà problématique. De nombreux systèmes critiques pour les entreprises ont justement des fenêtres de maintenance définies.

Même si le patch est disponible et pourrait être appliqué, il peut s'écouler jusqu'à six mois (voire plus !) avant la prochaine fenêtre de maintenance. Pendant ce temps, les systèmes sont "suspendus en l'air" et vulnérables.

Une exploitation informatique professionnelle ne se limite pas à la gestion des correctifs. Si l'on n'exploite que des systèmes que l'on peut patcher à tout moment et sans effets secondaires, c'est très simple - mais l'expérience montre que de tels environnements n'existent pas en dehors des diapositives de présentation.

Il faut donc aussi se préoccuper de la protection des systèmes que l'on ne peut pas ou plus patcher en temps voulu.

Dans le cas de systèmes non connectés au réseau, on peut encore s'en sortir lors d'une analyse des risques avec l'argument que les vulnérabilités non corrigées ne peuvent pas être exploitées. Mais aujourd'hui, presque tous les systèmes critiques pour l'entreprise sont en réseau !

Une autre possibilité est le patching virtuel (Virtual Shielding), comme on le trouve par exemple dans Deep Security de Trend Micro. Dans ce cas, les failles de sécurité sont protégées sans intervention dans le système réel de sorte qu'elles ne puissent plus être exploitées, par exemple via le réseau.

Le système en lui-même n'est pas corrigé et peut donc être vulnérable - mais la vulnérabilité ne peut pas être exploitée.

Cela ne doit pas être interprété comme un "laissez-passer" pour ne plus jamais patcher les systèmes. Toutefois, de telles technologies permettent de protéger les systèmes jusqu'à la fenêtre de maintenance.

Il en va autrement des systèmes pour lesquels le fabricant ne fournit plus de correctifs. De telles technologies sont souvent la seule possibilité d'exploiter des systèmes en toute sécurité. Une exploitation professionnelle de l'informatique doit se tourner vers l'avenir.

Qu'il s'agisse de systèmes critiques pour l'entreprise, d'installations industrielles ou de "simples" flux de travail dans le domaine des médias. Il ne suffit pas de réfléchir à la manière dont les systèmes peuvent être exploités en toute sécurité aujourd'hui.

Il faut également envisager l'exploitation future, éventuellement sans le soutien du fabricant. Les technologies nécessaires sont disponibles et ont fait leurs preuves. Intégrées dans le fonctionnement régulier de l'informatique, elles permettent une exploitation sûre :

2016 XVIOb aujourd'hui, où les correctifs sont disponibles et peuvent être appliqués rapidement, ou demain, où les fenêtres de maintenance seront plus espacées ou peut-être même qu'aucun correctif ne sera disponible.