Passer au contenu

Microsoft mensualise ses correctifs

Les alertes de l’éditeur ne seront dorénavant publiées qu’une fois par mois, toutes ensemble. Une décision qui ne fait pas l’unanimité chez les spécialistes de la sécurité.

D’un coup, ce sont pas moins de sept correctifs que la société a mis en ligne pour renforcer l’armure de ses produits. Non parce que la menace est plus importante que d’habitude. L’initiative de l’éditeur s’inscrit en effet dans le
cadre d’une vaste refonte de sa politique de sécurité.Les sept correctifs du jour constituent en effet la première édition des bulletins mensuels de correctifs que Microsoft a annoncé la semaine dernière. Dorénavant, la société ne publiera plus ses rustines sur son
site au jour le jour, comme elle le faisait auparavant, mais le deuxième mardi de chaque mois (à partir de novembre). Seule exception : un patch sera publié si les
clients de l’éditeur sont immédiatement menacés par un virus ou un ver.Selon Microsoft, ce choix simplifiera la vie des responsables informatiques lors de la mise à jour de leur parc de machines. Ils n’auront plus à se demander quotidiennement s’ils vont devoir ou non appliquer un nouveau correctif.

‘ Attendre peut se révéler dangereux ‘

L’éditeur veut aussi aider ceux qui ne souhaitent pas installer ses mises à jour. ‘ Dorénavant, nous proposons systématiquement des solutions de contournement permettant de résoudre le problème de sécurité sans
l’aide de notre correctif,
précise Cyril Voisin, chef de programme sécurité chez Microsoft. Nous détaillons aussi précisément la contrepartie de ces solutions de contournement, par exemple ce qu’il se passe dans le cas de
la fermeture d’un service. ‘
La nouvelle politique de l’éditeur ne plaît pas forcément à tous. Ainsi de Gerhard Eschelbeck, CTO et vice-président Engineering de Qualys, une société spécialisée dans la
détection de vulnérabilités pour entreprises : ‘ Le plus souvent, vous ne pouvez pas attendre. Si l’existence d’une faille est diffusée sur Internet et
qu’un correctif est disponible, patienter deux semaines peut se révéler dangereux. ‘
A ses yeux, mieux vaut appliquer en continu les patchs. Du moins la plupart. ‘ Certains correctifs peuvent rendrent instables des systèmes informatiques, poursuit Gerhard Eschelbeck. Avant de
les conseiller à nos clients, nous les testons tous sur plusieurs configurations ; il nous est arrivé d’en renvoyer aux vendeurs en leur signalant des problèmes. Mais, au moins 95 % des correctifs marchent sans l’ombre d’un
problème. ‘
La mensualisation des alertes n’est toutefois que la première étape d’une refonte de la politique de sécurité de Microsoft. Guère performants, car souvent
négligés par les utilisateurs, les systèmes de mises à jour sont aujourd’hui remis en cause. Et ce pour tous les produits. ‘ Entre les logiciels propriétaires et ceux en code source libre, il n’y a pas de différence. Tous sont touchés. Même Apache a ses vulnérabilités. En regardant de près les statistiques, on peut voir que la seule
corrélation se fait avec l’exposition d’un produit. ‘
Plus un logiciel est utilisé, plus il aura besoin de correctifs. La version informatique de la rançon de la gloire.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Ludovic Nachury