Dans une note à ses clients, le cabinet d’études américain Gartner encourage les entreprises victimes des vers Code Rouge et Nimda à changer de serveurs Web. Constatant que ces nouveaux types de vers exploitent les failles de sécurité des serveurs Microsoft IIS, le Gartner recommande à ses clients d’étudier des solutions alternatives comme Apache ou iPlanet.” Code Rouge a montré comme il est facile d’attaquer les serveurs IIS. Donc, l’utilisation de serveurs IIS sécurisés et connectés à Internet entraîne un coût de possession élevé. Les entreprises doivent mettre à jour chaque serveur IIS avec chaque patch de sécurité Microsoft ?” presque toutes les semaines “, détaille le cabinet d’études.
Les produits Microsoft, cibles favorites des virus
Au final, ce rapport conseille d’étudier les serveurs Web Apache et iPlanet car “ils ne sont pas soumis aux attaques des concepteurs de virus et de vers”, précise John Pescatore, auteur du rapport.Une analyse ” un peu rapide “, estime pour sa part Patrick Chambet, consultant en sécurité et spécialiste des solutions Microsoft pour la société Edelweb. ” La philosophie de Microsoft est de fournir des applications prêtes à l’emploi et faciles à installer. Du coup, l’installation par défaut de IIS permet de tout faire, mais elle est très vulnérable “, observe-t-il.En effet, Microsoft IIS installe par défaut beaucoup de fichiers DLL vulnérables comme les interpréteurs de fichiers .HTR (permettant l’administration à distance des mots de passe des utilisateurs), .printer (pour la gestion du standard Internet Printing Protocol, IPP), etc. La plupart des serveurs d’entreprise n’ont pas besoin de toutes ces DLL, mais ces fonctions sont activées lors de l’installation de IIS et exposent les serveurs Web à des attaques virales.
Apache plus sûr que Microsoft IIS
” Le problème de Microsoft IIS est de tout permettre par défaut et de conseiller ensuite aux administrateurs de patcher leurs serveurs pour les sécuriser. Ainsi, on multiplie dès le départ le nombre de vulnérabilités du serveur et le nombre de patchs à télécharger pour se protéger, note Patrick Chambet. Mon conseil serait de commencer par supprimer toutes les fonctions vulnérables dont on a pas besoin. Ensuite, il faut télécharger les patchs protégeant les fonctions du serveur Web vitales pour l’activité de l’entreprise. “De ce point de vue, le serveur Web Apache est certainement plus sûr que Microsoft IIS. Apache fonctionne en effet par modules : au départ, on installe un serveur Web minimal auquel on ajoute les modules dont on a besoin (PHP, Reverse Proxy, etc.) afin den étendre les possibilités. Cette approche modulaire facilite la maintenance et la sécurisation du serveur Web.” Si Microsoft proposait une configuration sécurisée, son serveur Web serait moins vulnérable, estime Patrick Chambet. De plus, il faudrait réécrire une bonne partie du code de IIS. La procédure de décodage des URL, notamment, est très vulnérable aux dépassements de mémoire tampon ou à certains jeux de caractères. “
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
