<link rel="stylesheet" id="dashicons-css" href="https://c0.wp.com/c/5.6/wp-includes/css/dashicons.min.css" type="text/css" media="all">
ActualitésSécurité

Microsoft tue les bulletins de sécurité après plusieurs séjours

«Décevant», dit l’expert en patch après avoir conclu le remplacement signifie plus de travail pour les administrateurs.

Microsoft a retiré cette semaine les bulletins de sécurité qui, depuis des décennies, ont décrit l’éventail de vulnérabilités de chaque mois et les correctifs d’accompagnement pour les clients – en particulier les administrateurs responsables des opérations informatiques des entreprises.

Un expert en patch a rapporté le changement pour son équipe. «C’était comme essayer de réapprendre à marcher, à courir et à faire du vélo, tout en même temps», a déclaré Chris Goettl, responsable produit chez Ivanti, fournisseur de gestion de patch.

Le passage à un correctif sans bulletin mardi a mis fin à des mois de Microsoft sur le fait de tuer les bulletins qui incluaient une tentative avortée de les lancer.

Microsoft a annoncé la fin des bulletins en novembre, en disant que le dernier serait publié avec le Patch de janvier mardi et que le nouveau processus débutera le 14 février. Une base de données consultable sur les documents de support remplacerait les bulletins. Accédé via le portail « Security Updates Guide » (SUG), le contenu de la base de données peut être trié et filtré par le logiciel concerné, la date de sortie du patch, son identifiant CVE (Common Vulnerabilities and Exposures) et l’étiquette numérique du KB, ou Document de support « base de connaissances ».

Les précurseurs de SUG étaient les bulletins sur le Web qui faisaient partie des politiques de divulgation des patchs de Microsoft depuis au moins 1998. Microsoft a fait un si bon travail pour révéler ces bulletins qu’ils ont été considérés comme la référence de référence pour tous les fournisseurs de logiciels.

En février, Microsoft a annulé le Patch de ce mois-ci quelques heures seulement avant que les mises à jour de sécurité n’atteignent les clients, ce qui rend le point de départ prévu des bulletins. Microsoft a également tenu les bulletins le mois suivant, disant qu’il voulait donner aux utilisateurs plus de temps pour se préparer à la modification de SUG.

Enfin, lorsque Microsoft a envoyé hier des mises à jour cumulatives de sécurité pour Windows, Internet Explorer, Office et d’autres produits, il a omis les bulletins habituels.

Goettl, qui a retenu sa dernière évaluation, alors que Microsoft continuait à reporter le passage des bulletins, n’était pas terriblement impressionné par le substitut SUG.

Plus tôt cette année, Goettl a déclaré aujourd’hui, il avait réservé le jugement, mais a noté que le portail SUG avait « de grandes capacités ». Pourtant, il était indécis s’il serait capable de fournir la même quantité et la même qualité d’information que les bulletins, sans encombrer les administrateurs de plus de travail.

« J’étais sur la clôture, mais j’espérais que nous aurions le même niveau de détail », a-t-il déclaré.

Alors que la plupart des informations contenues dans les bulletins antérieurs sont restées disponibles via SUG en creusant dans les nombreux documents en ligne, Goettl a reconnu qu’il y avait une grande différence dans l’accessibilité.

« Ce mois-ci, 46 ont été résolues par Microsoft », a expliqué Goettl. « Il m’a fallu environ quatre heures pour faire la recherche [en SUG] que je ferais normalement avec les bulletins. Mais le mois dernier, avec 136 vulnérabilités, il m’a fallu seulement deux heures. Alors [avec les bulletins], j’ai pu le faire Trois fois le montant de la recherche dans la moitié du temps.  »

Goettl a blâmé Microsoft pour le temps supplémentaire qu’il faudra pour que les administrateurs de sécurité et de l’informatique racontent les informations. Parce que la fondation de la base de données était CVE – les identifiants pour chaque vulnérabilité discrète – il a dû ouvrir des dizaines de pages dans son navigateur pour révéler des informations sur les défauts de Windows 10 que Microsoft avait corrigés.

« Vous aviez l’habitude d’aller à une page de bulletin, disent pour Windows 10, et les vulnérabilités ont été résolues et les pages KB connexes, tout en un seul endroit », a déclaré Goettl. « Mais ce mois-ci, parce qu’il y avait 26 vulnérabilités [corrigées] dans la mise à jour cumulative de Windows 10, j’ai dû ouvrir 26 pages Web. J’ai dû ouvrir toutes les pages CVE.

« Alors c’était un peu décevant », a-t-il déclaré.

Goettl a été perplexe d’une question aujourd’hui. « Je ne sais pas pourquoi il a eu un sens pour eux [déposer les bulletins] », a-t-il déclaré lorsqu’il a été invité à spéculer sur la motivation de Microsoft pour le changement. Plus tôt aujourd’hui, Goettl avait dirigé un webinaire gratuit sur les mises à jour de sécurité de Microsoft pour le mois – une pratique standard pour Ivanti – et a déclaré que beaucoup de participants ont partagé sa prise.

« Ils étaient tous en train de se gratter la tête, se demandant pourquoi Microsoft a rendu plus difficile de trouver des trucs ».

Il reste optimiste Microsoft va écouter les clients et apporter des modifications à SUG. « Il doit y avoir un certain raffinement. Cela ne peut pas être la fin de cela », a déclaré Goettl.

Entre-temps, Ivanti a créé ce que Goettl appelle des «bulletins artificiels» à partir des informations contenues dans SUG pour les clients qui utilisent les systèmes de gestion des correctifs Shavlik. (Shavlik a été l’une des nombreuses entreprises acquises par LANDesk, ce dernier qui s’est transformé en Ivanti en janvier). Goettl a déclaré que les clients d’autres systèmes existants sous la marque Ivanti obtiendraient un traitement similaire du fournisseur.

Afficher plus
Bouton retour en haut de la page
Fermer