01net. : Comment expliquez-vous la multiplication des attaques contre les serveurs IIS, alors qu’ils ne sont pas majoritaires sur le Web ? Contrairement à ce qu’il fait pour les systèmes d’exploitation, Microsoft ne peut pas dire : ” C’est parce qu’ils sont plus visibles. “
Julien Vassallo : La situation n’est pas si claire. Selon le cabinet Netcraft, IIS n’est installé que sur 28 % du parc mondial des serveurs Web, contre 60 % pour Apache et seulement 2 % pour iPlanet. Cependant, on apprend que 50 % de ce même parc mondial des serveurs Web repose sur Windows, et que, selon le site de Wininfo, IIS serait en position dominante.
Pourtant, depuis environ dix-huit mois, des voix s’élèvent dans le monde de la sécurité pour dire qu’IIS est moins sûr que ses concurrents Apache ou iPlanet, qu’en pensez-vous ?
Certainement pas ! IIS n’est pas moins sûr qu’Apache ou iPlanet. D’ailleurs l’adjectif secure ne peut pas s’appliquer à un serveur Web quel qu’il soit, puisque sa vocation première n’est pas de résister aux attaques.
En l’état actuel, est-il possible de rendre IIS plus fiable de façon simple ? Et est-ce le rôle de l’administrateur ou de Microsoft ?
Tout administrateur peut appliquer les services packs, les correctifs, et s’inscrire à la liste de sécurité de Microsoft. Cependant, la complexité de la sécurisation d’un serveur IIS est proportionnelle à la complexité de l’architecture informatique en présence. Lorsque nous auditons une ferme Web, nous reprenons généralement tout depuis le début, couche par couche. L’infrastructure et la topologie sont souvent à revoir.
Est-ce qu’un haut niveau de sécurité ne risque pas de rendre le serveur trop complexe ou trop limité (obligation de supprimer la plupart des fonctionnalités que vante tant Microsoft…), est-ce que cela coûte cher comme le déclare le Gartner Group ?
Non, le serveur ne perd rien à être sécurisé, puisque le travail porte sur son architecture satellite. Quant aux coûts de sécurisation, ils doivent être proportionnels au contenu que vous protégez. Vous ne sécuriserez pas de la même façon un site personnel et un portail Internet multiaccès avec du paiement en ligne. Les enjeux ne sont pas les mêmes.
On met souvent en cause la compétence des administrateurs MCSE pour expliquer les problèmes rencontrés par les serveurs IIS. Qu’en pensez vous ? Leur formation est-elle insuffisante ?
Tout d’abord, la certification MCSE n’est pas un cursus sécurité. Cependant, les MCSE seront qualifiés pour aider les entreprises dans leurs choix concernant la sécurité. Bon nombre de MCSE se certifient aussi sur des produits non Microsoft, comme des pare-feu, lorsqu’ils décident d’entreprendre une carrière dans le monde de la sécurité.
Un serveur IIS demande-t-il plus, moins, ou autant d’entretien et de compétences qu’un serveur concurrent ? Ou bien est-ce Microsoft qui ne fait pas son travail et qui ne fournit pas assez de mises à jour, d’informations et d’outils de sécurité pour IIS ?
Non, un serveur IIS ne demande pas plus d’entretien qu’un autre serveur. Tout responsable sécurité doit être inscrit sur la mailing-list de sécurité de Microsoft, pour être informé gratuitement des derniers correctifs de sécurité. Je soulignerai ici l’importance de détenir une plate-forme Microsoft en anglais, car tous les correctifs sortent d’abord en langue anglaise.
Donc, la balle est plus dans le camp des responsables sécurité que dans celui des éditeurs ?
Effectivement, la sécurité doit être proactive. Si nous prenons l’exemple de Code Red, un simple IDS bien paramétré empêchait largement l’URL mal formée d’être exécutée sur un serveur non patché, et ce, sans pour autant ni dégrader les performances du serveur, ni augmenter sa complexité (à ce propos, Microsoft a développé un équivalent paramétrable : Urlscan.exe )
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.