Tout le monde en parle, de cette attaque des vers MS-SQL. On a pu voir des pans entiers du Net mis à genoux. Pourquoi, comment ?

  1. Un logiciel avec des parts de marché significatives (entre 40 et 70% d'après Microsoft) a des bugs de sécurité (comme a peu près tous les logiciels) dont les patchs sont publics depuis six mois
  2. Des administrateurs (ou prétendus administrateurs) n'ont pas appliqué les dites rustines.

Précisons tout de même que normalement, un serveur SQLServer ne devrait pas être accessible directement par Internet, pour des raisons évidentes de sécurité, ce qui signifie très probablement que seuls quelques milliers de serveurs dans le monde on relayé cette attaque, ce qui a suffit a faire trébucher Internet.

Imaginons une seconde qu'il existe un logiciel avec des parts de marché plus importantes encores (dans les 90%), qui n'est pas confié à des administrateurs mais des utilisateurs finaux (donc avec de moindres compétences informatiques), qui a des trous de sécurité. Et qui est dans le cadre de son utilisation normale, connecté directement à Internet (par opposition à SQLServer). Ce logiciel existe, c'est MSIE/Win. Oui, on peut conclure que MSIE (sans ses rustines) est une bombe à retardement pour le Web. Une bombe aux mains de millions d'utilisateurs rarement conscients de ce qu'ils ont entre les mains. (Comment leur en vouloir ? pour l'instant, tout à l'air de bien fonctionner...)

On peut éviter que le Web ne subisse une nouvelle attaque majeure en mettant à jour Internet Explorer en version 6 avec tous les patchs, ou en utilisant la dernière verstion d'un navigateur alternatif, qu'il soit libre ou non, qu'il soit sous Windows, Linux ou MacOSX. Oui, je suis préoccupé par la situation, mais ne vous trompez pas sur la raison de ma diatribe. Ma cible n'est pas tant Internet Explorer (qui comporte des trous de sécurité comme tout logiciel) que les utilisateurs/administrateurs inconscients qui pratiquent la politique de l'autruche en n'appliquant pas les rustines de sécurité, malgré une simplicité évidente... Je résume pour les mal-comprenants et autres durs-de-la-feuille qui auraient lu jusqu'ici : cliquez sur le bouton Windows update et suivez la procédure affichée à l'écran !.