Chi va piano va sano. Jusqu’à présent, Adobe essuyait le feu des critiques en raison d’une politique de correction de faille pour le moins… nonchalante. Une situation qui ne pouvait plus perdurer, compte tenu du nombre croissant de « failles Adobe » et « d’exploits Acrobat » révélés par poignées pratiquement chaque mois. Un phénomène d’autant plus dangereux que ce composant, extérieur à Windows ou à OS/X, n’est pas pris en compte par le processus de correction de noyau des principaux éditeurs, Microsoft et Apple.
L’équipe de sécurité d’Adobe vient donc d’annoncer quasi officiellement que désormais, rendez-vous sera pris tous les trois mois, à l’image du Patch Tuesday Microsoftien. Une réponse faite dans l’unique but de donner un semblant d’organisation et de rigorisme à un processus de traitement des défauts logiciels, et essentiellement destiné à rassurer les départements sécurité des grandes entreprises. L’expérience Microsoft et Oracle, les deux principaux inventeurs du jour des rustines, a eu deux conséquences que l’équipe d’Adobe semble vouloir ignorer. En premier lieu, les « découvreurs »de failles ont un malin plaisir à publier leurs exploits la semaine ou le jour précédant le rendez-vous des bouche-trous. Ce qui ouvre une fenêtre de vulnérabilité de plus d’un mois dans le meilleur des cas. En outre -l’inoubliable expérience Conficker n’a fait que confirmer le phénomène- cette régularité de publication conforte les grandes structures à respecter un calendrier très protocolaire… et qu’importe la dangerosité d’une éventuelle exploitation. Le « patch » sera déployé et appliqué dans le mois suivant son mois de publication (afin de tenir compte des tests de régression officiellement déclarés), mais pas avant. Ce dogmatisme de la publication programmée, cette attitude régulière qui tente, en vain, de s’opposer aux pratiques précisément stochastiques des auteurs de malwares, est à l’image d’une armée régulière tentant de contrer, avec les moyens et les méthodes d’une armée régulière, les actions d’une guerre de guérilla. Adobe, en promettant une politique plus rigoureuse, a décidé d’aller dans la bonne direction… mais pas nécessairement avec les meilleurs moyens.