Adobe fait payer les correctifs de sécurité
Adobe facture 375 $ la mise à jour de sécurité de CS5 ou propose de passer à CS6. Cette attitude est un désastre pour les relations publiques déclare un expert sécurité. C'est un retour au « bonnet d'âne » pour un autre.
Adobe a annoncé aux utilisateurs de Creative Suite, la suite d'outils qui intègre les produits tels que Photoshop ou Illustrator, qu'ils devraient dépenser 375 $ pour une mise à jour afin de se protéger contre huit vulnérabilités critiques.
Un des bugs est présent dans Flash Professional, deux dans Photoshop et cinq dans Illustrator. Mais plutôt que de mettre à jour les programmes, Adobe a dit aux utilisateurs de passer à CS6. Pour les utilisateurs qui ne peuvent pas passer à CS6, Adobe recommande de suivre les bonnes pratiques de sécurité, et de s'y prendre avec prudence lors de l'ouverture de fichiers venant de sources mal maîtrisées.
Les commentaires des utilisateurs sont furieux. Quant aux experts en sécurité, ils ont été étonnés d'une telle approche de la part d'Adobe. « C'est totalement indigne d'eux » a déclaré Andrew Storms, directeur des operations de sécurité chez nCircle Security. « Après tout ce qu'ils avaient fait pour changer en matière de sécurité, cela les ramène directement au bonnet d'âne. » « C'est un désastre de relations publiques » pour Graham Cluley, consultant chez Sophos, éditeur d'antivirus.
Adobe a confirmé que la version concernée de CS ne serait pas mise à jour car il n'y avait pas de nécessité dans le monde réel. Est-ce que ce ne sera pas tenter le sort ? « Quand Adobe déclare que Photoshop n'est pas une cible, c'est comme lancer une invitation » pense Andrew Storms, « Je suis sûr qu'ils pensaient que les PDF n'ont plus n'étaient pas une cible. »
Andrew Storms critique également Adobe pour abandonner ses utilisateurs. « Si CS5 avait cinq ans d'ancienneté, je pourrais comprendre, mais Photoshop CS5 a juste deux ans. » Les vulnérabilités de Photoshop pourraient être exploitées au travers d'images .tif infectées, a prévenu Adobe, qui n'a pas précisé quels seraient les vecteurs d'attaque possibles contre Illustrator ou Flash Professional.
