Microsoft tente de rassurer les utilisateurs de IIS
IIS est en voie de sécurisation, c’est du moins ce que tente de démontrer la firme de Redmond à ses clients. Après un été riche en attaques diverses, les failles de sécurité du serveur Web de Microsoft ont été largement montrées du doigt.
« Après les récentes attaques de virus, leur nombre et la manière brutale dont les attaques se sont déroulées (…), il appartient à Microsoft, qui occupe une position de leader, d’aider les professionnels à les contrer », a déclaré dans une interview accordée à Reuters Brian Valentine, vice-président de la division Windows chez Microsoft. En fait, Microsoft vient de lancer un programme intitulé « Strategic Technology Protection Program » (STPP) censé rassurer les utilisateurs du serveur Web Internet Information Server (IIS). Microsoft envisage la mise en place d’un numéro vert qui informera les clients des failles en matière de sécurité. Par ailleurs, l’éditeur propose gratuitement sur le Web un ensemble de solutions regroupant tous les correctifs pour IIS, supports techniques compris. Enfin, Microsoft a annoncé que son logiciel serait dorénavant configuré en position dite « locked down », c’est-à-dire la plus sécurisée.Cette annonce intervient, notamment, après les attaques des virus Code Rouge (voir édition du 31 juillet 2001) et Nimda (voir édition du 18 septembre 2001). Les vers ont exploité les failles des serveurs IIS de Microsoft et installé des backdoors (entrées de service, autrement des points de passage pour les pirates). Certains cabinets d’analyse ont évalué les coûts mondiaux liés à ces attaques à respectivement 2,6 milliards de dollars et 590 millions de dollars. Et, dernièrement, le Gartner Group a même conseillé aux entreprises de chercher des alternatives à IIS (voir la note postée par le Gartner Group (en anglais)). Actuellement, la configuration de IIS permet des fonctions plus développées mais rend l’ordinateur plus vulnérable au piratage. La prochaine version sera donc livrée avec une configuration de réglages plus sûre et un système de mise à jour automatique. 15 % de malus pour les utilisateurs de IISSelon une étude de Netcraft, sur 150 000 serveurs IIS opérationnels, 80 000 seraient tombés en panne lors d’attaques diverses, notamment à cause de Code rouge et de Nimda. Face à ces faiblesses, une compagnie d’assurances a même imposé à ses clients utilisant IIS une surprime pouvant aller jusqu’à 15 % afin de couvrir les risques liés spécifiquement à ces serveurs. Pour autant, les failles de sécurités de IIS ne sauraient expliquer seules la réussite des attaques. Selon le SANS Institute Ressource qui, avec le FBI, s’est penché sur les serveurs, la première cause de leur vulnérabilité serait d’abord des erreurs humaines lors de l’implémentation des logiciels serveurs. A méditer.