« Nous vous prévenons de la sortie prochaine de 5 correctifs. Sur quelle plateforme ? Motus. Concernant quel service ? Mystère. A propos de quelle application ? Mais taisez vous donc, les murs ont des oreilles ! ». Ainsi peut-on résumer le dernier bulletin de pré-alerte Microsoft mis en ligne dans le courant de la nuit du 9 au 10 décembre.

Après avoir essuyé les feux de la critique pour « tentative de dévoiement élitiste des mécanismes d'information sécurité », Microsoft, alias Corp, a été contraint à un peu plus de transparence et s'est mis à pré-annoncer ses prochaines rustines... gratuitement. Sa prochaine rustine devrait-on dire, puisque l'unique bulletin anticipé réellement public n'a concerné qu'une seule inconsistance touchant ISA Server.

Avec ce bulletin de décembre, qui n'apprend strictement rien, Microsoft renoue avec une tradition fortement ancrée : celle de l'opacité la plus totale justifiée par l'éventuel avantage que pourraient en tirer ces méchants pirates qui n'attendent que çà. Craignant même d'en avoir trop dit, le communiqué s'achève par la clause de réserve suivante : « The information contained in this notification is subject to change due to the complexity of testing security updates. Therefore, the notification should not be viewed as definitive ». Des fois qu'on pourrait y deviner des choses.

Rappelons que les « pré-bulletins » étaient initialement destinés aux administrateurs soucieux de planifier un déploiement de patchs. Le correctif est-il vital pour l'intégrité du réseau ? Son application nécessite-t-elle un redémarrage du serveur ? Quel sera le service qui en subira les conséquences ? Mon Exchange ? Mon SQL Server ? Mon ISA Server ? IIS ?ou sera-ce simplement une modification des DFS ou de mon Sharepoint Server, inaccessibles de l'extérieur ?

Car planifier un correctif, c'est avant tout prévoir une opération risquant d'affecter l'uptime de tout un réseau, et gérer les charges de travail liées aux opérations de maintenance. Une faille SQL Server pour un client Oracle n'a aucune importance, pas plus qu'un problème ISA Server pour un utilisateur de PIX. Un « mastic » dans les ADS ou un trou dans le gestionnaire de disque, là, c'est plus ennuyeux... il faudra y passer, et si possible durant le week-end, lorsque plus personne ou presque n'utilise les contrôleurs de domaine ou les serveurs de fichiers. Sans pour autant demander des précisions sur le 4ème octet du buffer clavier, le responsable de parc a besoin d'un minimum d'informations. Une pré-annonce n'est pas l'annonce du bulletin, mais l'annonce d'une faille, un détail qui ne semble pas avoir été compris par les têtes pensantes du « response team » de Corp.

Publier un avertissement expliquant « Some of these security updates may require a restart » pourrait également légèrement agacer. Cette fausse révélation d'une insistante imprécision aurait très bien pu être évitée. Là, au moins, le message aurait été clair : No Comment.

Les administrateurs du monde entier n'ont plus qu'à prendre la chose avec humour et ignorer les prochaines pré-annonces. Ca fera une URL de moins à contrôler. En attendant, le réseau d'informateurs de la rédaction de CSO, ne reculant devant aucun sacrifice, dévoile -gratuitement- le contenu des bulletins préliminaires de Microsoft pour les 4 prochains mois :

Janvier : peut-être 2 failles concernant éventuellement les noyaux NT (Windows XP y compris) et probablement Internet Explorer. Les correctifs associés risquent, le cas échéant, de nécessiter un redémarrage de la machine. Les autres « issues » concernent Windows 98 et ne sont donc pas prises en compte par le présent bulletin.
Février : 1 bulletin portant sur un risque de faille jugé peu critique (NdT : en langage Microsoft, traduire par « pas important à nos yeux tant que le service n'est pas monté »). L'on émet l'hypothèse hypothétique que la taille de la rustine sera d'autant moins grande qu'elle ne sera d'autant plus réduite.
Mars : Placé sous l'influence de la planète guerrière, les serveurs du second décan et les PC ascendant SCSI doivent s'attendre à une rentrée de mémoire. Faites confiance à votre contact commercial Visual Studio, il vous expliquera les arcanes du garbage collector de .Net.
Avril : Ne te découvre pas d'un fil, surtout si c'est celui d'alimentation. Les versions de Windows 2000 SP4, XP SP2, 2003 Enterprise Server SP1 sont susceptibles de ne plus fonctionner du tout si le 220 Volt leur vient à manquer.

. Web-profils.com, la place de marché du conseil et de l'ingénierie