Des Microsoft-boys jouent aux poseurs de bombes

Une enquête du Wall Street Journal, confirmée par Microsoft, vient de révéler un sérieux trou de sécurité permettant de pénétrer sans effort des serveurs Web tournant avec la solution Internet Information Server (IIS) de Microsoft. Des programmeurs de Redmond ont placé dans un fichier système un mot de passe caché, agissant comme une sorte de porte de service permettant à un tiers d’accéder à des fichiers très confidentiels d’un serveur Web. Ces employés, selon Microsoft, auraient agi de leur plein gré. Pratique qui va «absolument à l’encontre de notre politique», a martelé un porte-parole du groupe. Les responsables sont menacés d’être licenciés. Selon les quelques détails techniques révélés par le quotidien, la faille se cachait dans le fichier système DVWSSR.DLL, qui s’installe d’office lorsque l’on utilise des extensions de FrontPage 98, logiciel de création de pages HTML. En tapant la fameuse phrase secrète à un endroit non divulgué, on pouvait accéder aux fichiers confidentiels du serveur. Selon les informaticiens qui ont révélé l’affaire, cette faille n’affecterait pas les versions récentes de IIS (Windows 2000), mais seulement les versions incluant FrontPage 98. Le plus cocasse est que cette «porte de service» est inspirée de la guerre ouverte entre Microsoft et Netscape. Une partie du code d’accès secret contenait la phrase «Netscape engineers are weenies» (minables ou petits joueurs)… Microsoft a promis d’informer les utilisateurs et de corriger la faille dès que possible.