Trois logiciels de gestion de correctifs

28/06/2007 à 07h00

Ces logiciels corrigent les vulnérabilités de centaines de postes automatiquement. Mais leur déploiement est plus aisé que leur désinstallation. L'ergonomie des interfaces conditionne la facilité d'usage.

Trois logiciels de gestion de correctifs
La désinstallation de correctifs est ardue
Precision Patch Management 5.4, de Criston
Patch Manager 8.7 SP 2, de LANDesk
SMS 2003 SP2 R2, de Microsoft

La correction des vulnérabilités d'un parc de 250, voire de 500 machines, réclame l'utilisation d'un logiciel spécialisé. Dans le cadre de notre banc d'essai, nous avons testé des logiciels destinés à automatiser l'application de correctifs pour l'environnement Windows et la suite bureautique Office de Microsoft. Pour ce faire, nous avons examiné le fonctionnement des serveurs Criston Precision Patch Management et LANDesk Patch Manager. Ces derniers sont des logiciels spécialisés dans la gestion de correctifs et ne prennent pas en charge la gestion d'un parc. Ils disposent néanmoins de fonctions d'inventaire de postes, de recherche de vulnérabilités, de télédéploiement et d'installation de correctifs.Nous avons aussi retenu Systems Management Server (SMS) 2003 de Microsoft, une suite de gestion de parc plus générale, capable d'assurer également la gestion de correctifs. Pour fonctionner, l'ensemble de ces logiciels installe des agents sur les postes de travail distants. Ces derniers inventorient la configuration matérielle et logicielle des machines distantes. L'installation s'effectue sans difficulté pour l'ensemble des logiciels. LANDesk, qui est le seul à ne pas proposer d'assistants, parvient malgré cela, à rendre très simple l'installation des agents locaux.L'inventaire des postes est ensuite comparé à un référentiel stocké par le serveur. Lorsque cette comparaison révèle l'absence d'un correctif sur le poste, ce dernier est téléchargé et télédéployé par le serveur, puis installé sur le poste à l'aide d'un deuxième agent local. Les serveurs proposent des correctifs validés au sein des laboratoires de Microsoft et téléchargés sur le site du même éditeur. Hormis Precision Patch Manager de Criston, qui télécharge les correctifs auprès de la société partenaire Shavlik, qui a vendu à Microsoft la technologie d'analyse de poste MBSA (Microsoft Baseline Security Analyzer).En pratique, le logiciel de Criston pâtit de ce choix, puisqu'il propose de télécharger moins de correctifs que ses concurrents. Le téléchargement des correctifs prend du temps. Une fois les vulnérabilités recensées, le serveur télécharge les correctifs. L'administrateur doit alors les trier afin de juger de leur importance et de leur impact sur les postes distants.

Un déploiement parfois compliqué

Il est ensuite nécessaire de préparer des catalogues de télédistribution semblables à ceux utilisés dans le cadre d'une installation de logiciels. Precision Patch Management de Criston et Patch Manager de LANDesk effectuent ce travail en quelques étapes simples, qui peuvent être automatisées chez LANDesk grâce à un circuit de validation optionnel (Business Process Manager).Pour sa part, SMS 2003 de Microsoft souffre d'un degré de complexité trop important malgré la présence d'un assistant. Par exemple, il est nécessaire de connaître au préalable quels correctifs manquent sur les postes cibles, afin d'appliquer le bon catalogue de correctifs. L'étape suivante consiste à déployer puis à installer les correctifs sur les postes de travail. Plusieurs types de correctifs peuvent être appliqués. Les correctifs simples sont mis à disposition par Microsoft après avoir été testés et validés.Les correctifs cumulatifs remplacent ceux qui ont déjà été installés et qui posent problème. Il s'agit, la plupart du temps, de fichiers MSP, télédistribués par les solutions au format d'archive CAB, qui sont décompressés automatiquement lors de leur arrivée sur un disque dur. Ce déploiement s'effectue sans difficultés pour les correctifs d'environnement Windows. Etonnamment, les correctifs pour la suite bureautique Office de Microsoft ont bien été télédistribués par SMS 2003, mais n'ont pas été installés par les agents locaux. Les ingénieurs de notre laboratoire ont dû effectuer manuellement ce travail sur les postes.Les serveurs testés appliquent également des services pack. Ces derniers regroupent plusieurs correctifs, accompagnés de fonctions additionnelles, par exemple de sécurité. La distribution d'un service pack consomme beaucoup de bande passante et doit être planifiée sur une période de temps étendue. Ce travail s'apparente à une migration d'environnement, plus proche de la gestion de parc que de celle de correctifs.

Un manque de supervision

Côté suivi de déploiement des correctifs, tous les logiciels pèchent par un manque de supervision pendant la phase de distribution des correctifs. Au mieux, ils s'assurent, a posteriori après un inventaire, que le déploiement a été correctement effectué sur les machines cibles. Au pire, il faut consulter les journaux d'événements ou les rapports d'inventaires pour savoir si le déploiement s'est correctement déroulé.Seule exception, Precision Patch Management de Criston prévient l'administrateur par e-mail ou par alerte SNMP de l'état d'avancement de l'installation des correctifs. L'administration est de meilleure qualité. Tous les logiciels analysent clairement l'absence de nouveaux correctifs sur les machines. Les rapports d'inventaires les signalent comme correctement installés une fois ces derniers déployés. Les fonctions de restitution sont claires et exhaustives pour l'ensemble des logiciels testés.Parmi les mieux équipés, Criston Precision Patch Management propose des rapports dans de multiples formats (PDF, HTML ou XML), Microsoft, avec SMS 2003, se limite au seul format HTML. Enfin, la désinstallation de correctifs est problématique pour tous. En effet, aucun ne dispose de fonctions de désinstallation automatique. Dans ces conditions, il est nécessaire de créer des scripts manuellement, et de les installer sur les postes cibles afin d'effectuer ce travail. Malgré ces procédures, certains correctifs système ne peuvent être retirés. A noter, SMS 2003 est le seul à exploiter les fonctions de restauration du système afin de faciliter le travail de désinstallation.

Si vous êtes pressé

Les logiciels de gestion des correctifs sont destinés aux parcs d'au moins 250 postes. Ils exploitent des programmes d'inventaire des postes clients, afin d'identifier les correctifs manquants. Puis, les serveurs téléchargent les correctifs et les déploient sur des machines cibles. Le travail de téléchargement des correctifs s'effectue sur le site de Microsoft, selon le degré de criticité notamment. Hormis pour Criston, qui exploite le site de Shavlik. L'ergonomie des logiciels est correcte pour les logiciels de LANDesk et de Criston. Celle de SMS 2003 de Microsoft complique plutôt la tâche. Le déploiement des correctifs s'effectue efficacement, hormis pour SMS 2003. Le suivi de déploiement est lapidaire, excepté chez Criston qui alerte l'administrateur. En revanche, l'administration et les rapports d'inventaires sont bien conçus. Le retrait de correctifs pose problème pour tous les logiciels.

Le périmètre du test

Nous avons demandé aux éditeurs de fournir des serveurs de détection de vulnérabilités et de gestion des correctifs logiciels. Les logiciels devaient prendre en charge la distribution de correctifs pour environnements Windows, Linux, Mac OS et pour les applications telles que Microsoft Office ou OpenOffice. Symantec a décliné notre invitation. D'après l'éditeur, Veritas Patch Manager s'adresse aux centres de données ou de production, ce qui est hors du périmètre de ce comparatif. Altiris n'a pas souhaité participer à ce comparatif. Autre logiciel manquant, Systems Insight Manager 5.1 de HP accompagné du module Vulnerability and Patch Management 2 (ex-Radia). Sa mise en œuvre n'a pu s'effectuer dans les temps, faute d'assistance. Les tests de ce dernier ont été réalisés hors délais, et feront l'objet d'une publication ultérieure.

Olivier Bibard

Votre opinion