Pour Nikos Dracos, consultant pour le Gartner Group, la réponse de Microsoft face à la vulnérabilité de son serveur IIS (Internet Information Server) a été « inacceptable ». Outre la lenteur de réaction de l’éditeur, l’analyste considère que la solution proposée par Microsoft sur son site Web n’est pas suffisante et que le problème n’aurait jamais dû se poser. De quoi s’agit-il précisément ? Le 8 juin dernier, la société eEye signalait à Microsoft que 90% des serveurs Windows NT pour Internet étaient vulnérables face aux attaques de pirates informatiques. Une faille de sécurité permettait à un hacker de prendre le contrôle du serveur et, dans certains cas, de s’emparer du réseau auquel le serveur était connecté.
Plus d’une semaine après, l’équipe d’eEye indiquait que Microsoft n’avait toujours pas diffusé de rustine et a cessé de répondre aux e-mails touchant à ce problème. Une alerte à l’intention des utilisateurs a finalement été publiée le 15 juin. Or la société eEye et le Gartner Group considèrent que Microsoft a réagi bien trop tardivement. « Leur réponse est inacceptable et il n’y a encore aucune réparation disponible sur le site. L’alerte aurait pu être lancée une demi-heure après la découverte du problème », assure Nikos Dracos. Pour lui, un tel problème ne devrait pas survenir, surtout si les distributeurs informatiques se montraient consciencieux : « Ce n’est pas un problème spécifique à Microsoft. Cette négligence repose sur le comportement des revendeurs qui rendent disponible un système avec des failles ».
L’éditeur s’est défendu par l’intermédiaire de Neil Laver, responsable des produits Internet chez Microsoft. « L’alerte sur notre site propose une solution qui indique aux responsables informatiques comment corriger le problème. C’est une solution avec un petit « s ». Un patch logiciel complet sera diffusé, mais il est difficile de dire quand ». Neil Laver nie que sa société a agi tardivement : « Les clients veulent une rustine (fix) qui marche et cela demande au moins deux semaines ». Il a en outre fustigé l’équipe d’eEye pour avoir dévoilé l’étendue du problème. « Il est très dommageable et irresponsable qu’ils aient diffusé les détails du problème et des programmes utilisables par les hackers. Nous préférons attendre d’avoir une réparation avant de rendre les choses publiques », explique le responsable de Microsoft.
Pour en savoir plus :
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…