Généralement consistant en matière de sécurité, Microsoft aura paradoxalement mis beaucoup de temps avant de diffuser ses mises à jour Windows Update via le protocole HTTPS. Tout finissant visiblement par arriver un jour où l’autre, la situation vient d’évoluer.
Quoi, ils n’étaient pas encore en HTTPS ? Mythique !
4 « J'aime »
Faut pas non plus exagérer, il s’agit de mise à jour, pas de données bancaires.
Alors oui c’est mieux en chiffrant le traffic, mais ce n’est pas non plus si grave.
2 « J'aime »
Les fichiers de mise à jour sont signés, aucun risque à ce niveau.
Comme le dit Baxter_X, il s’agit de chiffrer le trafic de téléchargement, rien de bien grave.
6 « J'aime »
« Microsoft déploie enfin etc. » : m’attendais à avoir une explication un peu plus poussée que « des téléchargements sécurisés ». En quoi cela change réellement le schmibilik ? Techniquement parlant ? Y a pas une vérification de l’intégrité des fichiers interne au WU au cas ou ? Dommage, c’est un sujet intéressant mais il n’y a aucune information dans l’article 
1 « J'aime »
C’est grave pour toutes les transactions. Tu peux très facilement faire ce que tu veux avec une connexion HTTP
Encore plus pour un truc aussi sensible que ca, tu pouvais envoyer n’importe quel exécutable a la personne attaquée. Exécutable qui sera appliqué sans trop réfléchir par l’utilisateur car il s’attend a avoir un patch Microsoft
Il est impossible d’envoyer l’exécutable que tu veux. Les fichiers de mise à jour sont signés par MS.
6 « J'aime »
C’est une bonne chose… en même temps les downloads sont « signés », donc de toute façon windows ne laisse pas installer n’importe quoi. HTTPS n’a que très peu de valeur ajoutée dans ce cas.
De plus j’ai déjà eu d’anciennes version d’android, ou macos qui ont des certificats qui ont été révoqués. C’est très difficile de les mettre à jour! Le « https » dans ce cas empêche une forme de sécurité.
3 « J'aime »
Justement dans la source c’est spécifié que non. Le téléchargement de fichier n’était pas sécurisé.
D’ailleurs même si c’était le cas tu pourrais toujours compromettre une machine en filant un deuxième executable
Tu m’étonnes ils se sont bien gardés de le signaler les fourbes …
1 « J'aime »
Le téléchargement n’était pas sécurisé et les fichiers de mise à jour étaient sécurisés, c’est bon ?
2 « J'aime »
Ca ne veut rien dire « les fichiers de mises a jour étaient sécurisés » dans le cas présent.
Un exécutable c’est un exécutable, et si la personne le lance il se fiche qu’un fichier hypothétique quelque part sur internet ou sur l’ordi de X personnes soit sécurisé.
C’est exactement si je mettais un .exe sur ce forum. Ce n’est pas parce que un fichier est signé quelque part dans le monde que ca rend ce .exe moins dangereux pour autant.
Ça bouffe inutilement du temps CPU pour le chiffrage qui pourrait être utilisé pour des choses utiles…
Qui a eu un problème ?
3 « J'aime »
Sauf que pas forcement car le HTTP est archaïque et ne bénéficie pas des mises a jour des différents protocoles, du coup on peut consommer moins tout en servant plus de personne avec la même matos.
Et si ca consomme plus de CPU c’est ~1%, totalement négligeable vu tout ce que ca apporte
2 « J'aime »
Niveau conso CPU ce n’est même pas négligeable ! Et le chiffrement c’est la norme maintenant. Ça ne viendrait à aucun constructeur automobile de vendre une voiture sans ceinture de sécurité.
1 « J'aime »
Non, ce 'est pas comme si tu étais sur un forum a mettre à dispo un exe vérolé. C’est ce que l’on essaye de t’expliquer. Les mise à jour MS ne fonctionnent pas comme cela, il y a un système de signature. Si tu envoie n’importe quel exe, il ne sera pas pris en compte.
1 « J'aime »
L’HTTPS pour ce cas spécifique n’a aucun internet, les mises à jour étant signées.
Au contraire ça empêche la mise en place d’un cache simple via proxy (mais bon, il y a d’autres solutions officielles pour ça comme WSUS).
1 « J'aime »
Je pense que la tu te perds. Même si les maj sont signées, le https reste intéressant car la norme maintenant. Pas aussi indispensable que la navigation en https, mais cela reste intéressant.
Et la solution d’un cache simple est obsolète. Comme tu le dis toi même, il y a plein d’autres solutions.