Failles: Microsoft va multiplier les alertes

Microsoft a décidé de prendre acte des critiques formulées par les utilisateurs concernant sa politique de diffusion de bulletins d’alertes et de ‘patchs’. Depuis plusieurs mois, l’éditeur publie en ligne un pré-bulletin qui annonce les prochains ‘patchs’ qui seront disponibles ainsi que des détails permettant aux entreprises d’organiser leur « patchday ».

Ce pré-bulletin d’annonces n’est publié qu’une seule fois par mois. Une méthode contestée par certains experts en sécurité et les utilisateurs. Par ailleurs, ces pré-annonces ne sont mises en ligne qu’une fois le ‘patch’ réalisé. Là encore, cette approche ne fait pas l’unanimité. Microsoft a donc décidé de changer de stratégie et devrait annoncer cette semaine ce nouveau service pilote d’alertes de sécurité. Baptisé ‘Microsoft Security Advisories’, il est destiné à compléter ses bulletins de sécurité mensuels. Ce nouveau programme ne sera pas astreint au rythme mensuel que l’éditeur s’était jusqu’alors imposé. Contrairement au passé, ces nouveaux bulletins d’alertes seront publiés au moment de la découverte de la faille et non pas uniquement lorsque le correctif est disponible. Microsoft change donc de philosophie. Il s’était jusqu’ici toujours prononcé contre les experts et les sites spécialisés qui communiquent immédiatement autour d’une vulnérabilité même si elle n’est pas corrigée. Pour autant, la firme ne pratiquera pas le mode full-disclosure qui consiste à livrer toutes les informations techniques permettant d’exploiter une faille. En revanche, le rythme du traditionnel patch-day ne devrait pas être modifié. Une mise en ligne des correctifs du mois de mai était d’ailleurs attendue ce mardi 10 mai.