Internet Information Server (IIS) a été épinglé à maintes reprises depuis la rentrée, pour ses défaillances en matière de sécurité. Microsoft devait réagir, d’autant que les critiques ne venaient pas de concurrents ou de tenants du logiciel libre, mais du respectable Gartner. Celui-ci allait jusqu’à recommander à ses clients d’opter pour les serveurs web concurrents.L’éditeur a donc répliqué en repensant la procédure d’installation d’IIS. La prochaine version 6.0, attendue pour la mi-2002 avec Windows.net Server, s’installera de façon modulaire. L’administrateur devra valider chacune des extensions dont il souhaite disposer, alors qu’elles sont toutes copiées aujourd’hui par défaut, ce qui rend le serveur plus vulnérable. C’est l’un des apports du programme de sécurité STPP (Strategic Technology Protection Program) lancé mi-octobre.
Des programmes correctifs à télécharger régulièrement
Le programme STTP comprend aussi d’autres volets, comme la mise à disposition d’un kit permettant l’identification des failles de sécurité. A charge, ensuite, pour l’administrateur de télécharger régulièrement les programmes correctifs (patches) correspondants.La procédure est lourde, mais inévitable. Julien Vassalo, consultant chez Avanade (filiale commune à Microsoft et Acenture), argumente : “De la même manière qu’un administrateur télécharge les dernières signatures de virus, il doit se tenir informé des derniers patches de sécurité.” La contrainte n’est pas trop pénible car le processus est industrialisé. Les concurrents procèdent de la même manière : “ La fréquence des versions d’Apache est comparable à celle des correctifs de sécurité d’IIS. “
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.