Les mises à jour de sécurité du lecteur Flash seront désormais calées par Adobe sur le calendrier des correctifs établi par Microsoft pour son Patch Tuesday mensuel. Simultanément, l'éditeur d'Acrobat vient de livrer un correctif pour sept failles de sécurité affectant Flash et Microsoft a mis à disposition un patch pour son navigateur Internet Explorer 10 qui embarque Flash. Mais le plus important, c'est bien la décision des deux éditeurs de synchroniser leurs mises à jour de Flash. Ils se sont d'abord rapprochés sur cette question via le programme MAPP (Microsoft Active Protections Program) lorsque Microsoft a accepté d'embarquer le lecteur Flash dans IE10. « Il était alors inévitable qu'Adobe suive sa cadence », souligne Andrew Storms, directeur des opérations de sécurité chez nCircle Security.

Dans le cadre de MAPP, Microsoft fournit à l'avance des informations sur ses prochains correctifs à certains fournisseurs de solutions de sécurité. Le but est de leur laisser le temps de mettre au point des mécanismes de détection pour contrer les attaques à venir. A partir de juillet 2010, Adobe a lui aussi commencé à utiliser MAPP pour communiquer des informations sur les failles de ses produits aux spécialistes de la sécurité, rappellent nos confrères de ComputerWorld.

Une désynchronisation problématique

Le deuxième mardi de chaque mois, Microsoft livre son Patch Tuesday. Adobe, lui, était plus irrégulier jusque-là dans ses livraisons de correctifs pour Flash. Depuis le début de l'année, il a fourni neuf mises à jour : une en février, deux en mars, une en mai et une autre en juin, puis deux en août et, enfin, une en octobre et la dernière ce mois-ci. Cette désynchronisation des patches entre les deux éditeurs a commencé à devenir problématique lorsque Microsoft a annoncé qu'il insérait le Flash Player dans IE10 pour Windows 8 et Windows RT. Mais c'est en septembre que les problèmes sont vraiment apparus lorsqu'il a indiqué qu'il ne mettrait pas IE10 à jour avant au moins six semaines, alors même qu'Adobe avait livré des corrections le mois précédent pour combler une faille que les hackers avaient commencé à exploiter.

Par la suite, Microsoft est revenu sur ses déclarations et il a mis à jour IE10. Cette actualisation a été suivie en octobre d'un autre correctif, livré le jour où Adobe a lui-même fourni ses rustines pour Flash.

Rationaliser les processus de mises à jour pour la IT

Les experts en sécurité avaient à ce moment-là critiqué à la fois Adobe et Microsoft pour ces livraisons désordonnées -alors que le second déviait rarement du calendrier fixé pour son Patch Tuesday. Une désorganisation qui ne pouvait qu'embrouiller les clients, en particulier les équipes IT des entreprises qui se calaient sur le programme régulier de Microsoft. Même si les mises à jour de Flash alourdissent le Patch Tuesday, les professionnels de la sécurité ont pressé Adobe de modifier sa politique. « Concentrer les mises à jour sur un seul jour est préférable pour les équipes informatiques qui doivent les appliquer », souligne Wolfgang Kandek, directeur technique de Qualys, dans un e-mail. « De cette façon, cela peut être englobé dans un même processus, ce qui permet de les rationaliser et d'installer plus largement les mises à jour de Flash ». Andrew Storms, de nCircle Security, le rejoint sur ce point, prédisant que dans quelques mois, cela deviendra une composante habituelle du Patch Tuesday. « Cela va forcer Adobe à s'inscrire dans un cycle régulier associé à des processus reproductibles que les utilisateurs vont apprendre à reconnaître et à apprécier », assure-t-il.

Pour rejoindre ce cycle, Adobe a discuté en interne et s'est coordonné avec Microsoft, a expliqué Wieke Lips, porte-parole de la société. Andrew Storms et Wolfgang Kandek pensent que l'éditeur a été contraint à le faire lorsque Microsoft a décidé de « bundler » Flash avec IE10.

La surprise, pointe Andrew Storms, c'est qu'il ait fallu autant de temps à Microsoft et Adobe pour synchroniser leurs mises à jour de sécurité, tout particulièrement avec le rétropédalage de l'éditeur d'IE10, en septembre. « Il apparaissait alors clairement qu'en dépit de la décision d'intégrer Flash au navigateur, personne n'avait pris en compte les implications que cela pouvait avoir », souligne-t-il. Malheureusement, ce sont les utilisateurs qui risquaient d'en payer les pots cassés sur la toute nouvelle plateforme Windows 8, fait-il remarquer. On voit rétrospectivement qu'il avait raison. S'il y a une société destinée à coller aux basques du Patch Tuesday, c'est bien Adobe, qui a adopté les pratiques de sécurité de Microsoft sur le code et utilise certaines de ses technologies de sandboxing anti-attaques dans son Reader et dans Flash.