Rarement les victimes potentielles d’une cyberattaque auront réagi si rapidement. Le 2 mars, Microsoft a révélé l’existence d’une chaîne de quatre vulnérabilités dans Exchange, un logiciel utilisé par des centaines de milliers d’organisations pour gérer leurs emails et leurs plannings. Ces failles permettent de lancer une cyberattaque nommée ProxyLogon, que les hackers utiliseront pour générer une interface appelée « web shell » et manipuler le gestionnaire d’email à leur guise.
En même temps que son avertissement, Microsoft a publié un patch, une mise à jour destinée à colmater les quatre failles d’Exchange. Ce faisant, il a lancé un contre-la-montre entre les responsables des serveurs vulnérables, et les attaquants qui voulaient trouver un moyen rapide d’exploiter cette nouvelle faille. Cette course tourne le plus souvent à l’avantage des malfaiteurs, mais cette fois, les défenseurs peuvent se féliciter.
Le 23 mars, trois semaines après son annonce, Microsoft a tiré un bilan exceptionnel : 92 % des 400 000 serveurs vulnérables ont été patchés, ou ont au moins déployé une rustine temporaire, mais efficace. Ce sont autant de serveurs désormais imperméables à ProxyLogon, et il ne reste plus « que » 30 000 serveurs vulnérables à l’attaque.
The Record Media note que la Maison-Blanche, par le biais de la conseillère Anne Neuberger déjà en charge du dossier SolarWinds, s’attribue une large part de responsabilité dans cette réussite. L’administration Biden aurait mis la pression sur Microsoft pour réduire au maximum le nombre de serveurs vulnérables.
92 % de serveurs protégés après seulement 3 semaines
Pour comprendre ce nombre exceptionnel, il faut avoir en tête que déployer un patch sur un réseau informatique de taille conséquente n’est pas aussi simple que de lancer une mise à jour sur son PC. Il faut une certaine organisation, et certaines compétences en interne, qu’il manque parfois aux petites organisations.
Afin de combler ce manque, Microsoft a publié un outil capable d’agir comme rustine contre ProxyLogon, en attendant un déploiement du patch. Cet outil est utilisable sans compétences en informatique, et exécutable en quelques clics. Et en plus, il détecte et nettoie les éventuels dégâts causés par des malfaiteurs qui auraient déjà exploité la faille. Le géant de l’informatique est même allé plus loin et a intégré des protections contre la cyberattaque aux mises à jour automatiques de son antivirus Microsoft Defender.
À titre de comparaison, The Record Media rappelle qu’un autre bug critique de Microsoft Exchange (CVE-2020-0688), découvert en février 2020, n’était patché que sur 39 % des serveurs vulnérables 6 mois plus tard. Autre exemple, sur une attaque plus grand public : 1,7 million d’appareils étaient encore vulnérables au terrible WannaCry, deux ans après la publication de correctifs pour s’en protéger.
Une réaction exceptionnellement rapide, mais trop lente
Plus généralement, les cybercriminels, à commencer par les redoutés gangs rançongiciels, exploitent des failles connues dans leurs cyberattaques. Concrètement, les hackers analysent les versions des logiciels utilisés par leurs cibles, et si un d’entre eux n’est pas à jour, ils cherchent quelles vulnérabilités connues ils pourront exploiter. Ils n’ont plus qu’à télécharger gratuitement ou acheter des outils déjà éprouvés pour exploiter ces failles, et s’introduire chez leurs victimes. Il est très rare qu’ils aient connaissance d’une « zero day », une de ces failles inconnues de l’éditeur du logiciel.
Malgré le bilan positif de la réaction contre ProxyLogon, plusieurs organisations ont profité de la fuite pendant plusieurs jours : pas moins de dix APT, ces groupes de hackers à la solde d’États, deux gangs rançongiciels, et des organisations de cryptominining. Autrement dit, en plus des mesures de préventions, certaines organisations devront aussi faire du nettoyage à la recherche de traces laissées par d’éventuels intrus.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !