Microsoft a pris la décision de ne plus avertir les entreprises à l’avance des patchs de sécurité prévus chaque deuxième mardi de chaque mois, à moins de payer. Une décision critiquée mais logique selon l’éditeur, qui estime que le flux d’informations n’est plus adapté aux besoins actuels.
Plus de notifications, à moins d'avoir un abonnement payant
Ce sera le cas demain, comme chaque deuxième mardi de chaque mois : Microsoft publiera ses patchs de sécurité pour l’ensemble des produits qui peuvent être atteints par Windows Update, tels que Windows, Office, le framework .Net et ainsi de suite. Environ une semaine avant ce lâcher, la firme fournit des informations aux entreprises via des notifications, afin qu’elles soient prévenues des produits touchés et qu’elles puissent réfléchir à leur installation, cette dernière pouvant perturber la production.
Problème : Microsoft a décidé de supprimer ces informations, tout du moins pour ceux qui ne payent pas. Le responsable Chris Betz explique sur un blog officiel que l’Advance Notification Service a été créé il y a plus de dix ans. Or, il ne correspondrait plus aux besoins actuels. Les informations seront donc réservées aux clients abonnés « Premier » au Security Response Center, ainsi qu’à ceux faisant partie d’autres programmes de sécurité, comme l’Active Protections Program.
Plus en détail, l’Advance Notification Service ne serait en fait plus aussi utilisé qu'avant. Chris Betz indique en effet que ce service a toujours été conçu pour les grands comptes, les retours de ces derniers montreraient que les habitudes ont changé. L'amélioration des procédures de tests et de déploiement par les administrateurs des parcs rendrait secondaires ces informations. Plus précisément, ils souhaitent obtenir des informations beaucoup plus précises, liées à leurs structures, et non pas de vagues indications sur les produits qui seront touchés.
Les petites et moyennes entreprises devront passer par MyBulletins
Dans la pratique, et toujours selon les retours, les administrateurs se tourneraient davantage vers des solutions complètes de gestion des correctifs et autres mises à jour. C’est le cas par exemple avec le Windows Server Update Service ou certains produits hébergés directement dans le cloud. Notez que les clients Premier pourront passer par le Technical Account Manager pour continuer à recevoir les fameuses informations.
Et pour les clients classiques ? Microsoft propose d’utiliser MyBulletins. Le service permet aux administrateurs de déclarer précisément les produits qu’ils utilisent, afin de connaitre les mises à jour disponibles. Problème : contrairement au procédé habituel, MyBulletins ne fournit aucune notification, et il faut se connecter volontairement pour obtenir les détails.
Quand bien même la décision est présentée comme logique, elle reste critiquée. C’est particulièrement chez The Hackers News qui indique avoir été contacté par nombre de lecteurs mécontents de la situation. Nos confrères soulignent en outre que la disparition des notifications s’appliquera également aux correctifs d’urgence déployés parfois en cas d’importante faille. D’un autre côté, comme un porte-parole l’a signalé à ZDnet, les informations obtenues par les abonnés Premier ne seront pas sous NDA et pourront donc être partagées.
