La société de sécurité américaine eEye publie une alerte de sécurité à propos du serveur Web IIS de Microsoft. Ça va hacker dans les chaumières... Mais fallait-il vraiment la dévoiler ?
Votre serveur Web est du type IIS de Microsoft ? Vous feriez bien de courir télécharger le patch émis par Microsoft après l’annonce par la société eEye d’une nouvelle faille grosse comme une maison. C’est la troisième fois que eEye publie une alerte de sécurité de ce type. Elle permet à n’importe quel internaute d’obtenir des droits suffisants pour faire n’importe quoi sur le serveur. Parmi les sites connus vulnérables, on peut citer le site officiel de Ferrari, le site réservé aux développeurs et celui du support de Intel, plusieurs sites du Nasdaq... Bref, la moisson des pirates va être copieuse. Il est possible de télécharger un patch chez Microsoft . Visiblement, pour l’instant, il n’a pas été appliqué partout...
eEye Style...
La société de sécurité informatique eEye dont le " Chief hacking officer ", Marc Maiffret a été une sorte de célébrité ,il y a quelques années, dans le milieu des hackers, en est à son troisième bug majeur découvert sur IIS, le serveur Web de Microsoft. A chaque fois, ce sont des centaines de sites qui ont été piratés par les script-kiddies, les gamins qui, grosso-modo, appuient sur le bouton d’un programme ad-hoc distribué sur le Web.
En l’occurrence, eEye a annoncé dans un premier message que l’ " exploit ", le bout de programme permettant d’exploiter le bug, ne serait " pas distribué au grand public en raison des risques ". Mais dans son dernier mail, Marc Maiffret annonçait mardi que l’exploit serait posté sur le site de eEye dans la semaine... Cela pose la question suivante : est-il bénéfique de diffuser ce genre de bugs ? Les partisans du concept de full disclosure (tranparence totale) répondront que cela permet d’améliorer la sécurité des sites tournant sous IIS. D’autres, pourtant pas moins bon en informatique, (voir le site anti.security) diront que non. Selon ces derniers, cela n’aura d’autres effets que de créer des dégâts sur des sites et des réseaux. Et ils n’ont pas complètement tort...