Patch Tuesday : Bye-Bye pré-notification sauf aux clients Premium

Changement de stratégie pour Microsoft dans le cadre de son Patch Tuesday en réservant la pré-notification des bulletins de sécurité aux seuls comptes Premium. Les experts dénoncent un manque de transparence et une taxe déguisée pour l’accès à l’information.

Au mois de septembre dernier, Microsoft avait annoncé la fermeture de son activité de sécurité Trustworthy Computing dans le cadre d’un plan social. Ce laboratoire était un centre d’expertise reconnu et a participé à sa façon à renforcer la sécurité des différentes solutions de Microsoft. Parmi ses faits d’arme, il était en charge de la supervision des Patch Tuesday mensuels.

Est-ce une conséquence a posteriori de cette fermeture ? Toujours est-il que la firme de Redmond continue à faire évoluer son offre de mise à jour de sécurité. Dans un blog, Chis Betz responsable de Microsoft Security Response Center (MSRC), a annoncé la fin de la pré-notification publique des bulletins du Patch Tuesday. « Après une décennienous apportons des changements dans la façon dont nous délivrons le service de pré-notification (ANS pour Advanced Notification System)). Nous fournirons ces informations directement aux clients Premier et les entreprises ayant contracté à un programme de support, mais il n’y aura plus de publication de cette pré-notification à travers le blog et la page web », souligne le responsable.

Pour expliquer ce choix, Chris Betz précise que les grandes entreprises utilisent de moins en moins l’ANS au profit des mises à jour automatique ou la mise en place de solution de tests avant déploiement. Les entreprises peuvent s’appuyer sur les services Update et Update Server pour déployer ces bulletins de sécurité. Idem pour les PME, Microsoft a lancé en mai dernier, MyBulletins qui permet d’appliquer et de prioriser les mises à jour de sécurité au sein de l’entreprise.

Une nécessaire transparence et une taxe dénoncée

Pour mémoire, l’ANS permettait la semaine avant la diffusion du Patch Tuesday de connaître le nombre de bulletins de sécurité publiés, les produits de Microsoft concernés et le niveau de criticité.

Les experts en sécurité sont très mitigés face à l’annonce de l’éditeur de réserver l’ANS aux seuls comptes Premium. Wolfgang Kandek, CTO de Qualys, se montre dubitatif. « Personnellement, je pense que nos clients sont intéressés par les informations contenus dans l’ANS, mais nous allons voir comment cela fonctionne. » Il rappelle que l’année 2014 a été particulièrement perturbée par des évènements de sécurité et que la transparence de l’information sur les failles (Heartbleed, ShellShock, zero day chez Microsoft et Adobe) est essentielle pour le public et les experts.

Un avis partagé par Andrew Storms, vice-président de New Context qui dénonce chez nos confrères de ThreatPost au passage la fin de la gratuité de l’information sur les bulletins de sécurité. « Microsoft avait construit une forte relation avec la communauté d’experts en sécurité et soudainement nous passons d’un service gratuit à un modèle basé sur une redevance qui va avoir des répercussions. »

A lire aussi :

Microsoft : les Patch Tuesday deviennent des guides de piratage de Windows XP

Patch Tuesday : IE, Office et Windows corrigés en décembre

Crédit Photo : Tatiana Popova-Shutterstock