Adobe participera au programme de pré-patch de Microsoft

Adobe et Microsoft travaillent désormais ensemble pour offrir aux éditeurs de solutions de sécurité un panorama unifié sur leurs efforts pour corriger les bugs. Avant la fin de l'année, Adobe commencera à utiliser le Microsoft Active Protections Program (MAPP) pour partager les détails sur les derniers patchs, selon Brad Arkin, directeur de produit sécurité et vie privée chez Adobe. « Le programme MAPP est le mètre étalon de la façon dont les vendeurs devraient partager l'information sur les vulnérabilités de leurs produits avant de délivrer des mises-à-jour de sécurité. »

Au départ, Adobe voulait reproduire MAPP dans son propre programme, mais aurait rapidement réalisé que ça prendrait beaucoup de temps de concevoir et développer un programme similaire à Microsoft, qui avait été lancé deux ans plus tôt. Les discussions avec la firme de Redmond ont alors commencé, au départ dans l'espoir d'avoir quelques tuyaux. « Finalement, ensemble, nous sommes arrivés à la conclusion que ce serait beaucoup plus sympa de travailler ensemble là-dessus plutôt que Microsoft nous aide à réinventer la roue, » explique Arkin.

En général, lorsqu'un patch est publié, les pirates commencent par l'analyser pour voir quelles failles sont comblées. Ils n'ont ensuite plus qu'à profiter du temps d'adoption du patch pour attaquer directement les systèmes qui n'ont pas encore effectué la mise à jour. Et Adobe a grièvement été touché ces deux dernières années par des pirates qui ont trouvé bug sur bug dans ses produits. Cette situation ne plait pas à l'éditeur, ni aux entreprises spécialisées dans la sécurité, qui connaissent alors un surcroit de travail pour ajouter des processus de détection de ces attaques.

Certains éditeurs de solutions de sécurité, comme SourceFire, commencent même à se plaindre d'Adobe. L'éditeur devrait largement calmer le jeu en rejoignant MAPP, puisque ces éditeurs auront désormais accès aux vulnérabilités en amont des mises-à-jour. En général, 48h de délai sont accordées, qui leur permet de mettre au point la détection des attaques moins précipitamment dans leurs systèmes. Près de 65 éditeurs participent au programme de Microsoft, qui recevront toutes bientôt les premières données d'Adobe. C'est la première fois que MAPP est étendu à une entreprise autre que Microsoft. La possibilité qu'il s'étende à d'autres éditeurs logiciels est laissée ouverte par Redmond.