Ne l'appelez plus Patch Tuesday mais Update Tuesday. Cette appellation serait moins chargée en connotations négatives selon les services de communication de Microsoft. Et pour la première fois en une décennie, le firme ne livrera pas à tous ses clients les explications sur correctifs attendus mardi prochain. L'éditeur a en effet décidé de réserver ces informations critiques aux clients bénéficiant d'un support payant. « Pour aller de l'avant, nous allons directement fournir des informations ANS (Advance Notification Service) aux clients Premier et aux organisations actuelles impliqués dans nos programmes de sécurité, et se plus largement diffuser ces informations à travers un blog et une page Web », a indiqué Chris Betz, directeur principal au centre Microsoft Security Response (MSRC), le groupe l'origine des alertes.
Ce changement de taille s'applique également aux alertes occasionnels que Microsoft publie avant de fournir aux utilisateurs un correctif d'urgence. ANS ne fournira donc plus d'alertes publiques pour les mises à jour « out-of-band ».
Les professionnels en sécurité critiquent la décision de Microsoft
« Ils sont passés de la gratuité à la facturation, et ce, sans raison particulière », a déclaré Andrew Storms, vice-président de la société New Context à San Francisco, spécialisée dans les services en sécurité. « Cela n'a aucun sens ». Et Ross Barrett, directeur senior de l'ingénierie sécurité chez Rapid7, a lâché avec les deux petites bombes. « C'est une attaque en règle contre l'informatique et les équipes de sécurité », a déclaré M. Barrett dans un courriel à nos confrères d'IDG NS à SF. « Faire ce changement sans délai est tout simplement inconscients de l'impact que cela aura dans le monde réel. Honnêtement, c'est très choquant. » Les alertes ne sont plus disponibles sur la page « Advanced Service de notification», que Microsoft alimente depuis 10 ans, a souligné le technicien.
Cette information surprenante est apparue hier jeudi sur le site web de Microsoft, soit quelques jours avant l'arrivée du prochain Patch Tuesday, le 13 janvier à environ 10 heures Pacific Time. Les avertissements décrivent habituellement le nombre de mises à jour et quels produits ils viennent corriger, sans oublier la description et la gravité des vulnérabilités sous-jacentes. Des informations essentielles les administrateurs de parc informatique, PC et serveurs.
« En privatisant ANS vers Premier et un support de protection payant, cela montre bien que Microsoft veut toute la tarte et forcera les organisations à payer », a ajouté Tim Byrne, chef de produit chez Core Security, dans un courriel.
Réduction des ressources en sécurité
Cette décision fait probablement partie de la réorganisation que Microsoft a mis en place depuis 2013, mais surtout depuis les licenciements massifs de la mi-2014. Par exemple, le groupe de sécurité Trustworthy Computing a été fermé en septembre dernier, et les employés dispatchés dans d'autres services ont tout simplement été licenciés.
« Les changements annoncés aujourd'hui s'appliquent à toutes les notifications Advance Notification Service (ANS) », a répondu un porte-parole de Microsoft interrogé par courriel par nos confrères d'IDG NS. Dans un tweet, Dustin Childs, du service de communication de Microsoft, a laconiquement écrit : « Wow. #ANS dès maintenant uniquement pour les clients premiers ».
Microsoft ne détaille plus son Patch Tuesday, rebaptisé Update Tuesday
2
Réactions
Pour la première fois depuis 10 ans, Microsoft n'a pas livré à tous les utilisateurs les détails sur les corrections apportées par son prochain service de mise à jour disponible tous les 3ème mardi de chaque mois.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
A Visiteur5231. Normal, c'est une citation de Tim Byrne, bien connu pour sa faiblesse en français :-)
Signaler un abusAvez-vous relu votre article ? Sur le plan de la langue française ?
Signaler un abusSi vous pouviez publier la recette de la tarte que veut Microsoft dans le 3ème paragraphe à partir de la fin, nous pourrions en profiter.