D'un coup, ce sont pas moins de sept correctifs que la société a mis en ligne pour renforcer l'armure de ses produits. Non parce que la menace est plus importante que d'habitude. L'initiative de l'éditeur s'inscrit en effet dans le cadre d'une vaste refonte de sa politique de sécurité.

Les sept correctifs du jour constituent en effet la première édition des bulletins mensuels de correctifs que Microsoft a annoncé la semaine dernière. Dorénavant, la société ne publiera plus ses rustines sur son site au jour le jour, comme elle le faisait auparavant, mais le deuxième mardi de chaque mois (à partir de novembre). Seule exception : un patch sera publié si les clients de l'éditeur sont immédiatement menacés par un virus ou un ver.

Selon Microsoft, ce choix simplifiera la vie des responsables informatiques lors de la mise à jour de leur parc de machines. Ils n'auront plus à se demander quotidiennement s'ils vont devoir ou non appliquer un nouveau correctif.

L'éditeur veut aussi aider ceux qui ne souhaitent pas installer ses mises à jour. « Dorénavant, nous proposons systématiquement des solutions de contournement permettant de résoudre le problème de sécurité sans l'aide de notre correctif, précise Cyril Voisin, chef de programme sécurité chez Microsoft. Nous détaillons aussi précisément la contrepartie de ces solutions de contournement, par exemple ce qu'il se passe dans le cas de la fermeture d'un service. »

La nouvelle politique de l'éditeur ne plaît pas forcément à tous. Ainsi de Gerhard Eschelbeck, CTO et vice-président Engineering de Qualys, une société spécialisée dans la détection de vulnérabilités pour entreprises : « Le plus souvent, vous ne pouvez pas attendre. Si l'existence d'une faille est diffusée sur Internet et qu'un correctif est disponible, patienter deux semaines peut se révéler dangereux. »

A ses yeux, mieux vaut appliquer en continu les patchs. Du moins la plupart. « Certains correctifs peuvent rendrent instables des systèmes informatiques , poursuit Gerhard Eschelbeck. Avant de les conseiller à nos clients, nous les testons tous sur plusieurs configurations ; il nous est arrivé d'en renvoyer aux vendeurs en leur signalant des problèmes. Mais, au moins 95 % des correctifs marchent sans l'ombre d'un problème. »

La mensualisation des alertes n'est toutefois que la première étape d'une refonte de la politique de sécurité de Microsoft. Guère performants, car souvent négligés par les utilisateurs , les systèmes de mises à jour sont aujourd'hui remis en cause. Et ce pour tous les produits.

« Entre les logiciels propriétaires et ceux en code source libre, il n'y a pas de différence. Tous sont touchés. Même Apache a ses vulnérabilités. En regardant de près les statistiques, on peut voir que la seule corrélation se fait avec l'exposition d'un produit. » Plus un logiciel est utilisé, plus il aura besoin de correctifs. La version informatique de la rançon de la gloire.