Dans un mouvement qui peut finir par aider les spammeurs, Microsoft blâme une nouvelle loi canadienne anti-pourriel pour la récente décision de l’entreprise de cesser d’envoyer des courriels réguliers sur les mises à jour de sécurité pour ses les fenêtres système d’exploitation et d’autres logiciels Microsoft.
Mise à jour, 17h39 HE : Dans un renversement apparent, Microsoft annonce maintenant qu’il rétablira les notifications de sécurité par e-mail. Veuillez lire la mise à jour à la fin de cet article.
Histoire originale :
La semaine dernière, Microsoft a envoyé l’avis suivant aux professionnels de l’informatique et aux autres personnes qui se sont inscrites pour recevoir des notifications par e-mail des mises à jour de sécurité :
« Depuis le 1er juillet 2014, en raison de l’évolution des politiques gouvernementales concernant l’émission de messagerie électronique automatisée, Microsoft suspend l’utilisation des notifications par e-mail qui annoncent ce qui suit : «
* Notifications anticipées des bulletins de sécurité
* Résumés des bulletins de sécurité
* Nouveaux avis et bulletins de sécurité
* Révisions majeures et mineures des avis et bulletins de sécurité
« Au lieu de recevoir des notifications par e-mail, vous pouvez vous abonner à un ou plusieurs des flux RSS décrits sur le site Web Security TechCenter. »
« Pour plus d’informations ou pour vous inscrire à un flux RSS, visitez la page Web Microsoft Technical Security Notifications à l’adresse http://technet.microsoft.com/security/dd252948.”
Interrogé sur la raison de ce changement, un porte-parole de Microsoft a déclaré que la communication par courrier électronique avait été suspendue pour se conformer à une nouvelle loi canadienne anti-spam qui entre en vigueur le 1er juillet 2014.
Des experts anti-spam qui ont travaillé en étroite collaboration sur Loi canadienne anti-pourriel (CASL) se disent déconcertés par la réponse de Microsoft à une loi en préparation depuis près d’une décennie.
Neil Schwartzmanndirecteur général de la Coalition contre les courriels commerciaux non sollicités (CAUCE), a déclaré que la LCAP contient des exclusions pour la garantie et les alertes de sécurité et de sécurité des produits qui exempteraient plus que adéquatement les missives Microsoft du règlement.
En effet, une exception dans la loi dit qu’il ne s’applique pas aux messages électroniques commerciaux qui fournissent uniquement « des informations de garantie, des informations de rappel de produit ou des informations de sûreté ou de sécurité concernant un produit, un bien ou un service que la personne à qui le message est envoyé utilise, a utilisé ou a acheté.”
« Je suis totalement incapable de comprendre comment les habitants de Redmond ont pris une décision apparemment paniquée », a déclaré Schwartzman, « notant que Microsoft était étroitement impliqué dans les discussions au Parlement canadien sur la trajectoire et le contenu du projet de loi. « C’est la première entreprise que je connaisse qui a été aussi stupide. »
Schwartzman a déclaré que de nombreuses entreprises ont utilisé la LCAP comme excuse pour rafraîchir leurs listes de diffusion et pour réengager leurs clients. Certains sont même allés jusqu’à inscrire les répondants qui confirment qu’ils souhaitent toujours recevoir des communications par e-mail d’une entreprise dans des tirages pour des prix en espèces et d’autres cadeaux.
« Au cours des deux dernières semaines, je n’ai vu qu’un flux constant de courriers de reconfirmation de diverses entreprises », a-t-il déclaré. « Je suis maintenant en lice pour plusieurs chèques-cadeaux de 500 $ parce que j’ai confirmé mon courriel. Et au bas de chacun de ces messages se trouve une note qui dit « veuillez ignorer cette offre si vous n’êtes pas canadien ».
Membre du conseil d’administration de CAUCE Jeff Williamsun ancien responsable de programme de groupe au Centre de protection contre les logiciels malveillants de Microsoft, a qualifié la décision de Microsoft d’un peu plus qu’un appel difficile.
« Je peux imaginer la discussion et l’interrogation parmi les avocats et [Microsoft] s’ils doivent essayer d’obtenir des centaines de millions d’opt-ins avant le 30 juin ou s’ils doivent changer la façon dont ils partagent les informations », a déclaré Williams. « Je suis sûr que ce n’était pas une décision facile, mais je n’appellerais pas cela une réaction excessive. »
En plus de diffuser des avis sur les nouvelles mises à jour via les flux RSS de Microsoft, la société semble également mettre les alertes de sécurité par e-mail à la disposition des utilisateurs qui ont Vivre, Perspectives ou Hotmail comptes avec Microsoft. Et bien sûr, les lecteurs peuvent continuer à compter sur BreachTrace pour présenter des informations sur toutes les nouvelles mises à jour de sécurité disponibles auprès de Microsoft, y compris chaque ensemble Patch Tuesday ainsi que les mises à jour d’urgence « hors bande » publiées pour faire face aux menaces de sécurité zero-day.
Mise à jour, 17 h 40 HE : Dans un revirement apparent de sa décision, Microsoft annonce maintenant qu’il redémarrera ses notifications de sécurité par e-mail au début du mois prochain. D’un porte-parole de Microsoft : « Le 27 juin 2014, Microsoft a informé les clients que nous suspendions les notifications de sécurité Microsoft en raison de la modification des politiques gouvernementales concernant l’émission de messagerie électronique automatisée. Nous avons revu nos processus et reprendrons ces notifications de sécurité avec notre service de notification avancé (ANS) mensuel le 3 juillet 2014.”