Le micropatching consiste à corriger ponctuellement des vulnérabilités quand l’éditeur ou le fabricant tardent à proposer des correctifs ou n’en fournissent pas. Cette méthode rapide et simple à mettre en œuvre comporte cependant des inconvénients, notamment pour les systèmes industriels (OT).
Combler rapidement une vulnérabilité « zero-day »dans Windows pour laquelle, par définition, il n’existe aucun patch. Corriger une ancienne version de Windows dont Microsoft n’assure plus le suivi. Autant d’exemples où le micropatching, qui se concentre essentiellement sur les logiciels couramment utilisés et les failles de sécurité critiques, peut apporter une aide précieuse. Opatch d’ACROS Security, est la solution la plus connue dans ce domaine
En bref, il s’agit de quelques lignes de code qui n’ont pas accès aux fichiers exécutables ou aux clés privées de l’éditeur ou du fabricant. Ce microcode est chargé en mémoire après la vérification de la signature mais avant l’exécution du code binaire. Une chronologie qui doit être respectée à la lettre sous peine de voir le micropatch rejeté par le système cible, son code pouvant être identifié comme un code malveillant.
Le micropatching a l’avantage de la simplicité et de la rapidité, dans les grosses infrastructures informatiques dans lesquelles le déploiement des correctifs se compte en jours. Ces micropatches peuvent être supprimés facilement en cas de problème comme une action indésirée sur des fonctions de base. Le fait qu’ils soient chargés en mémoire principale, sans modification des fichiers exécutables, évite l’arrêt d’une production, sans obligation de redémarrer les logiciels et équipements.
Cela dit, l’application d’un micropatch, demande des tests à minima des logiciels. Par exemple, si certains octets ont été modifiés dans Office 2016 en raison d'un correctif, les fournisseurs de micropatchs essaient de voir si cette modification fonctionne également dans Office 2010 qui n'est plus pris en charge.
Le micropatching n’est pas adapté aux systèmes numériques industriels (OT)
De manière générale, un micropatch fourni par un éditeur tiers, ne peut être considéré comme entièrement fiable par rapport à l’éditeur d’origine des logiciels à corriger. Il peut aussi enfreindre les conditions de licence. D’autre part, le micropatching nécessite généralement l'installation d'un agent avec une connexion Internet sur le système cible. Conséquence, cela augmente la surface d'attaque de nombreux systèmes OT (Operational Technology) qui ne disposent pas, d’origine, d'une connexion Internet. Il en va de même pour les correctifs classiques. Pour les OT, à savoir le matériel et logiciels de contrôle des équipements industriels, il existe une fonction de correction avec un serveur en local pour les patches, utilisant une connexion Internet temporaire. De plus, une mise en œuvre manuelle des correctifs est souvent réalisée.
Dans tous les cas, de nombreux produits utilisés dans l'OT ne sont pas couverts par les solutions de micropatching. Dans le domaine du numérique industriel, les infrastructures OT très statiques, peuvent parfois être protégés de manière plus pertinente que le micropatching, par exemple par la segmentation des réseaux et en appliquant des règles strictes d'accès aux logiciels et équipements.
