Un ‘patch day’ mémorable pour les professionnels de la sécurité

Que se passe t-il lorsque les deux géants du logiciel annoncent leurs bulletins de sécurité le même jour ? Branle bat de combat au sein des directions IT, les RSSI et ingénieurs ont du pain sur la planche. Encore une journée sans fin pour les professionnels de la sécurité?

Avec 8 bulletins de sécurité du coté de chez Microsoft (5 critiques et 3 importants, voir notre article) et pas moins de 15 vulnérabilités et patchs spécifiques pour Oracle, ce mardi 12 avril n’était certainement pas un jour ordinaire pour l’industrie de la sécurité.

Point positif pour le géant de la base de données : son deuxième bulletin de l’année 2005 intègre les applications PeopleSoft ! C’est un grand pas en avant. Par le passé, aucun éditeur sécurité n’avait pu travailler avec PeopleSoft sans débourser les 25.000 dollars requis pour toute licence logicielle. Chaque éditeur a adopté une approche radicalement différente vis-à-vis du « processus » de patch. La firme de Redmond s’attache à une mise a jour mensuelle, le deuxième mardi de chaque mois, tandis que du coté de Redwood Shores, l’approche est moins agressive et survient chaque trimestre. Microsoft, malgré sa réputation, a développé avec le temps une communauté « amicale » avec les chercheurs de vulnérabilités alors que Oracle, commandé par son CSO Mary-Ann Davidson, les dénonce. Pour ses clients finaux, Microsoft fournit un pré-bulletin trois jours avant l’annonce officielle afin de leur permettre d’évaluer la charge de travaille induite et les risques encourus. Oracle quant à lui, toujours en rodage, arrive avec beaucoup de peine à maintenir son cycle trimestriel et tend à fournir ses patchs en fin de soirée plutôt qu’en début de journée? Enfin, il y a les autres. Ceux qui n’ont pas encore de cycle régulier pour les correctifs de sécurité. IBM, par exemple, profite de cette journée pour annoncer une faille critique sur Domino, son célèbre serveur Web. Pourquoi avoir choisi ce jour déjà très chargé en vulnérabilités ? Rendre l’annonce plus populaire ou bien la noyer dans le flot d’alertes ? (*) pour Vulnerabilite.com