Deux failles viennent d'être découvertes sur Internet Information Server. La première, relativement bénigne, concerne une possibilité d'accès aux sources des scripts web via WebDav, si, et seulement si, le serveur est en version 5.1 installé sur un disque FAT ou FAT32. Statistiquement fort peu probable, surtout depuis l'invention d'IIS 6.0 et de NTFS par les tribus de Redmond.
Le second trou de sécurité semble un peu plus préoccupant. Il touche indifféremment IIS 5.0 et 6.0, et permet à un attaquant de modifier la variable Server_Name du serveur cible . La compromission des applications et services Web est plus que probable. Qui est à l'origine de ces deux découvertes ? Un chercheur norvégien -qui se nomme tout naturellement Enriksen-, et dont Jérôme Athias (décidément très en verve ces temps ci) dit la chose suivante :

« A l'instar d'un Luigi Auriemma pour les jeux, d'un Berend-Jan Wever
(digne successeur de Liu Di Yu) pour les navigateurs, Inge Henriksen
pourrait bien s'annoncer comme le chevalier blanc de IIS. Publications agressives sur son blog caché dans les méandres du labyrinthe Internet, il enchaine quelques bons coups, donc ces deux dernières publications. Souhaitant éviter un coup du berger dans la prochaine manche, le Roi préfère assurer ses arrières de manière discrète. ». En effet, Microsoft minimise la première alerte, et fait remarquer que le support de FAT sur un serveur n'est plus assuré depuis belle lurette. Mais ce roque médiatique ne doit pas nous faire oublier de vérifier si, dans certaines circonstances, cet accès WebDav ne pourrait pas faire l'objet d'autres formes d'exploitation.

. Web-profils.com, la place de marché du conseil et de l'ingénierie