Microsoft a décidé de prendre acte des critiques formulées par les utilisateurs concernant sa politique de diffusion de bulletins d’alertes et de patchs. Depuis plusieurs mois, l’éditeur publie en ligne un pré-bulletin qui annonce les prochains patchs qui seront disponibles ainsi que des détails permettant aux entreprises d’organiser leur « patchday ».

Ce pré-bulletin d’annonces n’est publié qu’une seule fois par mois. Une méthode contestée par certains experts en sécurité et les utilisateurs. Par ailleurs, ces pré-annonces ne sont mises en ligne qu’une fois le patch réalisé. Là encore, cette approche ne fait pas l’unanimité.

Microsoft a donc décidé de changer de stratégie et devrait annoncer cette semaine un nouveau service pilote d’alertes de sécurité ‘Microsoft Security Advisories’ destiné à compléter ses bulletins de sécurité mensuels. Le nouveau programme ne sera pas astreint au rythme mensuel que l’éditeur s’était jusqu’alors imposé.

Contrairement au passé, ces nouveaux bulletins d’alertes seront publiés au moment de la découverte de la faille et plus uniquement lorsque le patch est disponible.

Microsoft change donc de philosophie. Il s’était toujours prononcé contre les experts et les sites spécialisés qui communiquent immédiatement autour d’une vulnérabilité même si elle n’est pas corrigée. Pour autant, le firme ne paratiquera pas le full-disclosure qui consiste à livrer toutes les informations techniques permettant d’exploiter une faille.

Par contre, le rythme du traditionnel patch-day ne devrait pas être modifié. Les correctifs du mois de mai doievnt d’ailleurs être mis en ligne ce mardi.