La presse, et Les Nouvelles.net compris, n’a pas été tendre avec Microsoft ces derniers temps. Le sujet de cette incompréhension : la gestion de la crise déclenchée par l’apparition de la vulnérabilité WMF. Vue de l’extérieur, cette dernière n’a pas été un modèle de transparence ni de réactivité (le correctif officiel n’est apparu que dix jours après l’alerte et -surtout- après qu’un expert indépendant ait publié sa propre rustine).Aujourd’hui, alors que le correctif officiel est disponible, Microsoft sort de sa réserve et confie à notre confrère InfoWorld les raisons derrière sa gestion controversée de la crise.L’éditeur affirme ainsi avoir pris immédiatement la mesure de la gravité de la faille et y avoir consacré des équipes dédiées, et cela « 24/24h durant ces dix derniers jours ». Un plan d’urgence baptisé « Software Security Incident Response Process » aurait même été déclenché dès le 27 décembre.Mais tout ceci n’explique pas que le seul message officiel demeuré en ligne durant tout ce temps ait été d’une platitude exemplaire au point de laisser croire que Microsoft n’avait absolument pas saisi la gravité de la situation. Certes, ce ne serait pas la première fois que les services de communication se retrouvent à quelques années-lumières de la réalité des équipes techniques. Mais hélas quoi que fassent ces dernières, Microsoft a été essentiellement jugé, durant cette crise, sur sa seule (et très mauvaise) communication officielle, accessible en ligne sur son site.Raison d’incompréhension numéro 1, et handicap Microsoft.Il semble toutefois difficile d’imaginer qu’en engageant toutes ses ressources techniques, littéralement 24/24h, le premier éditeur mondial n’ait pas pu produire un correctif en moins de dix jours. D’autant que pendant ce temps il n’aura fallu que la moitié de ce temps à un expert solitaire pour publier une solution. Là encore, Microsoft s’explique : l’éditeur aurait d’emblée décidé de publier un correctif global, capable de corriger la vulnérabilité sur toutes les plate-formes concernées et en 23 langues, ce qui représente selon lui une tâche beaucoup plus complexe. Et en effet, les premières versions du correctif non-officiel ne fonctionnaient pas sur les versions internationales de Windows. Mais les suivantes, oui (la 1.4 s’installait sans difficulté sur les versions en français, par exemple).Raison d’incompréhension numéro 2, et c’est probablement un match nul ici.Reste qu’un correctif, ça se teste. Il s’agit là probablement de la raison la plus solide pour expliquer le retard du patch WMF officiel. Après avoir été régulièrement critiqué pour avoir produit des correctifs buggés, Microsoft a mis en place un processus formel de validation des correctifs beaucoup plus strict dont la partie visible est le passage, dernièrement, à un cycle de publication mensuel et un programme régulier de béta test privé).Microsoft affirme donc désormais respecter des protocoles de tests sévères… et longs ! Selon l’éditeur, le correctif lui-même était prêt en très peu de temps. Mais ce seraient les tests qui auraient exigé dix jours de travail.Raison d’incompréhension numéro 3, et avantage Microsoft.Enfin, le dernier point de discorde entre Microsoft et la communauté n’est pas encore résolu : l’éditeur affirme avoir choisi de suivre ses procédures habituelles (un correctif long à venir mais bien testé) car selon lui tout indiquait que les infections n’étaient pas aussi rapides et aussi nombreuses qu’on le pensait. Une affirmation bien entendu en contradiction avec les observations de l’ensemble de la communauté, éditeurs et spécialistes réunis, qui observait plutôt une exploitation massive de la faille.Impossible de trancher ici : selon des sources habituellement fiables et compétentes (F-Secure et l’éditeur d’anti-spyware Sunbelt, par exemple) dont les blogs commentaient quotidiennement l’évolution de la crise, les infections étaient bien réelles et loin d’être anecdotiques. Selon Microsoft, en revanche, le rythme en était faible et régulier. L’éditeur affirme disposer de chiffres pouvant prouver son choix. Attendons-les.