Microsoft a annoncé qu'elle publiera deux mises à jour de sécurité la semaine prochaine, le mardi 11 septembre exactement à l'occasion de son Patch Tuesday mensuel, pour sa plate-forme de développement Visual Studio et son outil d'administration et de déploiement de logiciels System Center Configuration Manager. «Les clients veulent profiter du cycle calme de septembre pour revoir leurs stocks d'actifs », a déclaré Angela Gunn du groupe Trustworthy Computing, dans un billet de blog.

Microsoft a d'abord dit à ses utilisateurs qu'il allait désactiver tous les certificats numériques RSA inférieurs à 1024 bits en juin, précisant ensuite qu'il publierait une mise à jour en août pour bloquer l'accès aux clés courtes de Windows. Microsoft a bien expédié cette mise à jour le mois dernier, mais il s'agissait d'un téléchargement optionnel. Le 9 octobre prochain, pour le Patch Tuesday suivant, Microsoft proposera une mise à jour automatique pour ce problème. Il s'agit de l'avis de sécurité 2661254 (KB2661254). Les entreprises peuvent, bien sûr, toujours retarder la mise à jour d'octobre à l'aide d'un logiciel de gestion des correctifs, tels que Windows Server Update Service (WSUS).

Un peu de temps avant une mise à jour majeure en octobre

Andrew Storms, directeur des opérations de sécurité chez nCircle, s'est fait l'écho de Microsoft en incitant les administrateurs à utiliser la marge de manoeuvre de septembre pour préparer le mois d'octobre. « Nous sommes dans une période de crise», a-t-il dit. «C'est une de choses que les gens peuvent avoir oublié, et si [la mise à jour d'octobre] est approuvée, alors certaines choses pourraient mal se passer."

Sur le blog de nCircle, M. Storms a mis en ligne plusieurs liens vers des articles et des documents de support du site de Microsoft qui expliquent l'invalidation à venir de certains certificats. D'autres experts en sécurité ont abondé dans le sens de M. Storms.

"Pour la plupart des utilisateurs informatiques, ce sera un mois tranquille, fournissant une excellente occasion de ... poser un autre regard sur l'avis de sécurité 2661254 (KB2661254), qui entrera en mode d'installation automatique en octobre », a déclaré Wolfgang Kandek, CTO de Qualys, dans un courriel, se référant à la dépréciation de la longueur des certificats.

Une précédent en mars 2007

Marcus Carey, chercheur en sécurité chez Rapid7, est également de cet avis. « Le léger mois de septembre permettra aux entreprises de se préparer, ce qui est une bonne chose, car la suppression des certificats obsolètes va casser des choses dans les applications qui les utilisent encore », a déclaré M. Carey, également dans un courriel. « Il semblerait presque que Microsoft ait intentionnellement donné un peu de temps aux entreprises afin qu'elles puissent se concentrer sur la mise à jour de leurs certificats existants. »

C'est certainement possible, a déclaré M. Storm. « Ils auraient pu prendre une décision de type administrative afin de retarder les autres mises à jour et donner du temps aux entreprises [pour travailler sur leurs certificats], » a-t-il dit. Microsoft a déjà utilisé cette tactique en mars 2007, a poursuivi M. Storms, quand il n'avait publié aucun bulletin de sécurité afin de laisser les clients appliquer une mise à jour.

Microsoft publiera ses deux mises à jour le 11 septembre prochain vers 19 heures (heure de Paris).