Crédit Photo : Tatiana Popova-Shutterstock
Au mois de septembre dernier, Microsoft avait annoncé la fermeture de son activité de sécurité Trustworthy Computing dans le cadre d’un plan social. Ce laboratoire était un centre d’expertise reconnu et a participé à sa façon à renforcer la sécurité des différentes solutions de Microsoft. Parmi ses faits d’arme, il était en charge de la supervision des Patch Tuesday mensuels.
Est-ce une conséquence a posteriori de cette fermeture ? Toujours est-il que la firme de Redmond continue à faire évoluer son offre de mise à jour de sécurité. Dans un blog, Chis Betz responsable de Microsoft Security Response Center (MSRC), a annoncé la fin de la pré-notification publique des bulletins du Patch Tuesday. « Après une décennie, nous apportons des changements dans la façon dont nous délivrons le service de pré-notification (ANS pour Advanced Notification System)). Nous fournirons ces informations directement aux clients Premier et les entreprises ayant contracté à un programme de support, mais il n’y aura plus de publication de cette pré-notification à travers le blog et la page web », souligne le responsable.
Pour expliquer ce choix, Chris Betz précise que les grandes entreprises utilisent de moins en moins l’ANS au profit des mises à jour automatique ou la mise en place de solution de tests avant déploiement. Les entreprises peuvent s’appuyer sur les services Update et Update Server pour déployer ces bulletins de sécurité. Idem pour les PME, Microsoft a lancé en mai dernier, MyBulletins qui permet d’appliquer et de prioriser les mises à jour de sécurité au sein de l’entreprise.
Pour mémoire, l’ANS permettait la semaine avant la diffusion du Patch Tuesday de connaître le nombre de bulletins de sécurité publiés, les produits de Microsoft concernés et le niveau de criticité.
Les experts en sécurité sont très mitigés face à l’annonce de l’éditeur de réserver l’ANS aux seuls comptes Premium. Wolfgang Kandek, CTO de Qualys, se montre dubitatif. « Personnellement, je pense que nos clients sont intéressés par les informations contenus dans l’ANS, mais nous allons voir comment cela fonctionne. » Il rappelle que l’année 2014 a été particulièrement perturbée par des évènements de sécurité et que la transparence de l’information sur les failles (Heartbleed, ShellShock, zero day chez Microsoft et Adobe) est essentielle pour le public et les experts.
Un avis partagé par Andrew Storms, vice-président de New Context qui dénonce chez nos confrères de ThreatPost au passage la fin de la gratuité de l’information sur les bulletins de sécurité. « Microsoft avait construit une forte relation avec la communauté d’experts en sécurité et soudainement nous passons d’un service gratuit à un modèle basé sur une redevance qui va avoir des répercussions. »
A lire aussi :
Microsoft : les Patch Tuesday deviennent des guides de piratage de Windows XP
Patch Tuesday : IE, Office et Windows corrigés en décembre
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…