Ce serait à hurler de rire si ce n’était à pleurer. Microsoft, le FBI et toutes les autorités compétentes se fendent d’une annonce commune avec moult moulinets de bras : Code Rouge, la bête immonde, doit mourir ! Tous les administrateurs réseau doivent s’unir dans ce combat pour la Paix et la Sécurité. Sauf que...
... Sauf qu’un
tout petit test, très simple, réalisé en seulement quelques heures, permet de s’apercevoir qu’une grande partie des sites de ces Hautes Autorités n’est même pas protégée. Pire, un vieux bug baptisé Unicode est toujours en activité sur le Réseau. À trop regarder la paille dans l’œil du voisin, Microsoft et les autres en oublieraient de balayer leurs propres vers ? Certes, mais le problème majeur est ailleurs : la sécurité informatique n’est pas une affaire de marketing et de grands discours. Protéger correctement un site web, rapiécer un logiciel défaillant, cela demande du temps, pas mal de travail et beaucoup de personnes compétentes.
Car, pendant ce temps-là, sur BugTraq ou ailleurs, les vrais spécialistes de sécurité se posent une question essentielle : sur quel ton faut-il demander à Microsoft de patcher son serveurs web IIS défaillant ? Faut-il publier les failles et s’exposer à ce qu’elles soient, comme dans l’affaire Code Rouge, détournées par des gens mal intentionnées ? Faut-il se taire, au risque de ne jamais voir les choses changer ?
Et dire que, pendant ce temps-là, Code Rouge rampe encore...