Avec son dernier Patch Tuesday du 8 novembre 2022, Microsoft corrige de nombreuses failles de sécurité et des bugs dans Windows et ses autres logiciels. Installez ces correctifs sans attendre pour avoir un PC fonctionnel et protégé.

Si vous utilisez des logiciels Microsoft, notamment Windows, Office, Skype, Teams ou Edge, vous avez tout intérêt à installer sans attendre les mises à jour que l'éditeur propose. Et en particulier, le Patch Tuesday, ce fameux ensemble de correctifs, que l'éditeur publie traditionnellement le deuxième mardi de chaque mois, pour, non seulement réparer des bugs, mais aussi, et surtout, combler des failles de sécurité récemment identifiées et, souvent, déjà exploitées par des pirates. C'est le cas du dernier Patch Tuesday en date, diffusé le 8 novembre 2022, qui corrige 68 vulnérabilités ainsi que 6 failles zero-day activement mises à profit par les hackers. 

Patch Tuesday : un ensemble de correctifs à installer sans attendre

Le mot d'ordre est simple et clair : n'attendez pas pour effectuer ces mises à jour de sécurité ! De fait, dans un copieux rapport de 114 pages – le Microsoft Digital Defense Report 2022, téléchargeable librement, mais hélas uniquement anglais – publié sur son site Microsoft Security, Microsoft dresse un bilan pour le moins alarmant sur la montée en puissance des cyberattaques. Surtout, l'éditeur signale que les hackers – privés ou étatiques – savent se ruer sur les failles découvertes pour les exploiter avant même que les utilisateurs installent les correctifs adaptés, en profitant justement de leur lenteur à réagir en soulignant la réduction du délai observé entre l'annonce d'une vulnérabilité et son exploitation. L'éditeur estime ainsi qu'une faille "dans la nature" reste exploitable en moyenne 14 jours après avoir été rendue publique, ce qui laisse beaucoup de temps aux pirates pour en tirer parti. En soulignant que certains États, comme la Chine, sont devenus "particulièrement compétent" pour dénicher et exploiter ces fameuses vulnérabilités dites zero-day… Bref, comme les pirates ont une belle longueur d'avance, il est essentiel d'installer des correctifs dès qu'ils sont disponibles.

Quelles sont les failles corrigées par le Patch Tuesday ?

Sur les 68 vulnérabilités corrigées par le Patch Tuesday de novembre 2022, 11 sont considérées comme critiques, car faisant courir différents risques sérieux (élévation de privilèges, exécution de code à distance, déni de service, etc.). Toutes ces failles sont référencées et documentées en détail par Microsoft sous des appellations normalisées : CVE-2022-39327, CVE-2022-41040, CVE-2022-41080, CVE-2022-38015, CVE-2022-37967, CVE-2022-37966, CVE-2022-41044, CVE-2022-41039, CVE-2022-41088, CVE-2022-41118 et CVE-2022-41128. La lecture des fiches de Microsoft n'a rien d'une sinécure : il faut surtout retenir que ces vulnérabilités concernent Windows 7, Windows Server 2008 et 2011, Windows 8.1, Windows 10 et Windows 11, y compris dans la version 22H2. Mais aussi d'autres produits Microsoft comme Office, Excel, Word, Visual Studio, BitLocker ou encore le noyau Linux utilisé par WSL2, qui fait notamment tourner les applications Android dans Windows 11. Bref, de nombreux trous dans la raquette qu'il convient de boucher au plus vite !

Aussi impressionnant soit-il, ce nombre de failles n'est pas un record. En avril 2022, Microsoft en avait corrigé 128 avec son Patch Tuesday. Et, en juin, c'était 55 donc la fameuse vulnérabilité Follina. Référencée officiellement sous l'appellation CVE-2022-30190, elle permettait d'infecter un PC via un document Word vérolé allant récupérer un fichier HTML contenant du code malveillant ensuite exécuté par une ligne de commande PowerShell en passant par l'outil de diagnostic du support de Windows. Un procédé astucieux, d'autant plus dangereux que la désactivation des macros ne suffisait pas pour se prémunir d'une attaque. La faille, qui avait d'ailleurs déjà été exploitée par des pirates pour cibler des agences gouvernementales américaines et européennes, avait ainsi servi à propager des spywares (logiciels espions), des chevaux de Troie bancaires (pour voler des informations) et des malwares capables de supprimer des données. Autant dire que l'affaire était grave… 

Preuve que malgré tous ses efforts, Microsoft laisse toujours des failles dans ses logiciels. Mais, contrairement à ce que propagent les mauvaises langues, Apple est logé à la même enseigne : et l'éditeur à la pomme publie aussi très régulièrement des mises à jour de sécurité pour macOS et iOS, parfois à un rythme élevé…

Par ailleurs, notons que Microsoft profite du Patch Tuesday de novembre pour diffuser en parallèle diverses mises à jour fonctionnelles pour ses systèmes, notamment pour Windows 10 et Windows 11. Des versions aux vertus discrètes, mais réelles. Ainsi, dans certains cas, on peut enfin accéder au Gestionnaire des tâches de Windows 11 par un clic droit dans la barre des tâches – la fonction était revenue il y a quelques jours, dans une mise à jour de Windows 11 22H2, mais pas chez tout le monde ! Dans d'autres cas, les PC qui n'avaient mystérieusement pas droit au passage à Windows 11 22H2 – alors qu'ils étaient officiellement compatibles – se voient proposer l'option. Les voies de Microsoft sont insondables…

Comment télécharger le Patch Tuesday de Microsoft ?

Le Patch Tuesday – l'ensemble de correctifs que Microsoft prépare pour tous ses logiciels, et pas uniquement Windows – est publié le deuxième mardi de chaque mois (voir notre fiche pratique pour tout savoir sur les mises à jour, les builds de Windows et les correctifs KB). Pour en profiter, il suffit de passer par Windows Update en ouvrant les paramètres de Windows. Deux cas de figure se présentent alors : soit les mises à jour sont en mode automatique – l'option par défaut –, et il suffit d'attendre qu'elles soient téléchargées pour les installer après un redémarrage du PC ; soit elles sont en mode manuel, et il faut cliquer sur le bouton Rechercher des mises à jour pour forcer leur téléchargement avant de redémarrer l'ordinateur. D'une façon générale, mieux vaut avoir le réflexe de vérifier systématiquement la disponibilité de mises à jour et de correctifs au moins une fois par mois, le deuxième mercredi, par exemple, juste après la diffusion du Patch Tuesday.