Que faire pour sécuriser IIS, le serveur web développé par le géant de l’informatique ? Réponse peu convaincante du premier concerné...
C’est un véritable pavé dans la mare qu’a lancé il y a quelques jours le Gartner Group. Pour ces gourous autoproclamés du Web, la sécurisation d’un site passe sans doute par l’abandon pur et simple des Internet Information Servers (IIS) de Microsoft. Les récents épisodes Code Red, Code Red II, puis Nimda ont, il est vrai, donné des sueurs froides à tous les responsables informatiques utilisant ce modèle de serveur web. Ces vers se sont propagés à une vitesse impressionnante, infectant aisément, qui plus est, le réseau interne des entreprises. Encore une chance que les créateurs de ces "bestioles" ne les aient pas dotées de supers-pouvoirs de destruction de type "Armaggedon dans ton disque dur". Toutefois, alors que les risques informatiques commencent à être pris au sérieux dans les entreprises, les faiblesses à répétition d’IIS inquiètent. Microsoft tente donc de rassurer en annonçant le Strategic Technology Protection Program (STPP). Ce nouveau concept consiste à fournir une boîte à outils qui traite les bugs et les patches, ces incontournables mises à jour qui améliorent la sécurité. Mais également un support gratuit pour les problèmes de sécurité. Rien de très neuf.
Vingt ans et emmerdeur
Les outils informatiques qui seront utilisés dans STPP auraient déjà représenté un investissement de 50 millions de dollars. À ce stade, il ne serait peut-être pas inutile de s’interroger sur l’éventualité d’un recodage complet d’IIS. Il est troublant de constater que des gamins de vingt ans parviennent à trouver des failles aussi triviales que dévastatrices alors que les ingénieurs de Microsoft se contentent de faire du suivisme, publiant des patches après la sortie des vulnérabilités. Pourquoi ne pas coller une équipe sur le développement d’un IIS totalement repensé sur le plan de la sécurité ? Bien entendu, le problème consiste à maintenir une interopérabilité avec l’existant. Les trois vagues de vers semblent avoir eu raison d’un grand nombre de serveurs IIS connectés à Internet. Selon le décompte mensuel de Netcraft, quelque 150 000 sites sous IIS ont "disparu" dans les cyber-limbes d’un mois sur l’autre en septembre. Ce chiffre représente 80 000 adresses IP.