Microsoft bousculé par les failles des serveurs NT

Cloud

Nikos Dracos, analyste senior pour la société Gartner Group, a vilipendé Microsoft pour son absence de réaction face à une grave faille de sécurité de Windows NT. Découverte début juin, elle permet à un pirate de prendre le contrôle d’un serveur Web sous NT, voire du réseau d’entreprise auquel il est relié.

Pour Nikos Dracos, consultant pour le Gartner Group, la réponse de Microsoft face à la vulnérabilité de son serveur IIS (Internet Information Server) a été « inacceptable ». Outre la lenteur de réaction de l’éditeur, l’analyste considère que la solution proposée par Microsoft sur son site Web n’est pas suffisante et que le problème n’aurait jamais dû se poser. De quoi s’agit-il précisément ? Le 8 juin dernier, la société eEye signalait à Microsoft que 90% des serveurs Windows NT pour Internet étaient vulnérables face aux attaques de pirates informatiques. Une faille de sécurité permettait à un hacker de prendre le contrôle du serveur et, dans certains cas, de s’emparer du réseau auquel le serveur était connecté.

Plus d’une semaine après, l’équipe d’eEye indiquait que Microsoft n’avait toujours pas diffusé de rustine et a cessé de répondre aux e-mails touchant à ce problème. Une alerte à l’intention des utilisateurs a finalement été publiée le 15 juin. Or la société eEye et le Gartner Group considèrent que Microsoft a réagi bien trop tardivement. « Leur réponse est inacceptable et il n’y a encore aucune réparation disponible sur le site. L’alerte aurait pu être lancée une demi-heure après la découverte du problème », assure Nikos Dracos. Pour lui, un tel problème ne devrait pas survenir, surtout si les distributeurs informatiques se montraient consciencieux : « Ce n’est pas un problème spécifique à Microsoft. Cette négligence repose sur le comportement des revendeurs qui rendent disponible un système avec des failles ».

L’éditeur s’est défendu par l’intermédiaire de Neil Laver, responsable des produits Internet chez Microsoft. « L’alerte sur notre site propose une solution qui indique aux responsables informatiques comment corriger le problème. C’est une solution avec un petit « s ». Un patch logiciel complet sera diffusé, mais il est difficile de dire quand ». Neil Laver nie que sa société a agi tardivement : « Les clients veulent une rustine (fix) qui marche et cela demande au moins deux semaines ». Il a en outre fustigé l’équipe d’eEye pour avoir dévoilé l’étendue du problème. « Il est très dommageable et irresponsable qu’ils aient diffusé les détails du problème et des programmes utilisables par les hackers. Nous préférons attendre d’avoir une réparation avant de rendre les choses publiques », explique le responsable de Microsoft.

Pour en savoir plus :

* http://www.eeye.com (US)

* http://www.microsoft.com (US)