« Très peu d'équipements sont efficaces sortis de la boîte », constate Hubert Tournier, consultant sécurité chez Deloitte. De nombreuses intrusions pourraient être évitées si les outils étaient correctement configurés, particulièrement ceux accessibles depuis Internet. « On rencontre souvent des serveurs DNS qui ne devraient résoudre des noms qu'en interne, mais qui rendent ce service à tout Internet. Idem avec les serveurs de cache ou les relais. L'entreprise installe elle-même Apache ou Squid pour économiser une prestation, alors qu'elle ne connaît rien à leur configuration ! Elle se retrouve alors avec un outil qui devrait n'être qu'un reverse proxy [dédié au contrôle d'accès, NDLR], mais qui, en fait, permet à n'importe qui de surfer anonymement », détaille Nicolas Jombart, consultant sécurité chez HSC.

Les éditeurs ont eux aussi leur part de responsabilité. Microsoft n'a, par exemple, décidé que depuis peu de livrer son serveur Web IIS avec une configuration par défaut plus fermée. Installée auparavant dans sa configuration la plus lâche, la version 5 activait spontanément les serveurs FTP et SMTP, même si l'entreprise ne comptait pas s'en servir, ainsi que la gestion de technologies telles que les CGI, WebDav ou l'impression à travers Internet. Or, ces technologies ont été à l'origine de piratages.

Dans bien des cas, les entreprises victimes sont tombées à cause de services qu'elles n'utilisaient pas ou dont elles ignoraient qu'ils étaient activés. « Il ne faut jamais mettre un outil en production sans avoir jeté un coup d'oeil sur les paramétrages », conclut Hubert Tournier.