Le 2 mars 2021, Microsoft a publié des informations sur quatre vulnérabilités critiques de son logiciel de serveur de messagerie Exchange, largement utilisé, qui sont activement exploitées. Elle a également publié des mises à jour de sécurité pour toutes les versions d’Exchange jusqu’en 2010.
Microsoft a déclaré à l’expert en cybersécurité Brian Krebs avoir été informé des vulnérabilités au début du mois de janvier. Le Centre australien de cybersécurité a également publié un avis sur les vulnérabilités.
La situation a été largement relayée par les médias généralistes ainsi que par les sites spécialisés en cybersécurité, mais souvent de manière inexacte. Mais la situation met également en lumière une contradiction dans la politique de cybersécurité du gouvernement.
Lorsque les gouvernements trouvent des failles dans des logiciels largement utilisés, ils peuvent ne pas en publier les détails afin de renforcer leurs propres capacités de cybersécurité offensive, c’est-à-dire la capacité de cibler des ordinateurs et des réseaux pour les espionner, les manipuler et les perturber. Les opérations de ce type reposent souvent sur l’exploitation des vulnérabilités des logiciels commerciaux – laissant ainsi leurs propres citoyens vulnérables aux attaques en conséquence.
Que s’est-il passé?
Microsoft a publié des patchs pour corriger les vulnérabilités et a fourni des conseils sur la façon de réagir si les systèmes ont déjà été affectés.
Ces vulnérabilités peuvent être vraiment dommageables pour toute personne exploitant son propre serveur de messagerie Exchange. Les attaquants peuvent exécuter n’importe quel code sur le serveur et compromettre entièrement la messagerie d’une entreprise, ce qui leur permet de se faire passer pour n’importe qui dans l’entreprise. Ils pourraient également lire tous les courriels stockés sur le serveur et potentiellement compromettre plus de systèmes au sein du réseau des entreprises.
Qui a été touché?
Il est important de clarifier qui exactement était concerné par les vulnérabilités: toute personne exécutant sa propre instance d’Exchange, et le risque était plus élevé si l’accès web était activé.
Selon un rapport ABC/Reuters:
Toutes les personnes concernées semblent exécuter des versions Web du client de messagerie Outlook et les héberger sur leurs propres machines, au lieu de s’appuyer sur des fournisseurs de cloud.
Mais l’utilisation d’une version d’Exchange hébergée dans le cloud ne résoudrait pas nécessairement le problème, car les vulnérabilités existent toujours. Qui plus est, les grandes entreprises choisiront très probablement encore ou seront tenues par la réglementation d’exécuter également un serveur Exchange local qui peut être exploité de la même manière.
Un autre problème ouvert lié au déplacement des serveurs de messagerie vers le cloud est que cela donne également au fournisseur un accès à tous les e-mails non cryptés par défaut. Un cryptage de bout en bout renforcerait la sécurité, mais ce n’est pas actuellement une pratique standard.
Questions pour Microsoft
Comme les vulnérabilités existaient dans des versions du logiciel publiées en 2010 déjà, on peut supposer que des attaquants plus habiles les ont déjà utilisées. Cela soulève une question fondamentale sur la qualité du logiciel, que Microsoft développe depuis 1996. Pourquoi Microsoft n’a-t-il pas repéré ces vulnérabilités plus tôt?
Autre question: si Microsoft était au courant des vulnérabilités début janvier, pourquoi a-t-il fallu deux mois pour alerter ses clients?
Des questions pour la politique de cybersécurité.
Nous devons également considérer la manière dont nous traitons les vulnérabilités des logiciels qui constituent l’épine dorsale de notre infrastructure informatique et de réseau. De toute évidence, ces vulnérabilités auraient constitué un outil de cybersécurité offensif formidable pour un certain nombre d’acteurs.
Il y a un conflit fondamental entre le renforcement des capacités de cybersécurité offensive et la protection de nos propres entreprises et citoyens.
Imaginez que vous soyez chargé de construire des capacités de cybersécurité offensive. Vous découvrez ces vulnérabilités dans Microsoft Exchange. Allez-vous alerter le fournisseur, Microsoft dans ce cas, pour vous assurer qu’elles sont corrigées dès que possible, ou allez-vous les garder secrètes pour ne pas perdre votre nouvelle grande cyberarme? Avoir secrètement accès à la messagerie d’une organisation pourrait être très précieux pour les forces de l’ordre ou les services de renseignement.
La stratégie australienne de cybersécurité 2020 n’aborde pas la contradiction entre la mise en place de capacités de cybersécurité offensives et la protection des Australiens contre les vulnérabilités en matière de cybersécurité.
L’établissement de capacités de cybersécurité offensives est explicitement mentionné dans la stratégie. En revanche, la détection des vulnérabilités dans le but de les atténuer n’est pas un objectif clair.
L’ouverture sur les vulnérabilités existantes – qui permettrait aux citoyens australiens de réagir à ces vulnérabilités – ne fait pas non plus partie de la stratégie. L’Australie dispose de l’expertise dans le secteur public, le secteur privé et la société civile pour avoir ce dialogue important sur la meilleure façon de protéger les citoyens et les entreprises australiennes.
Images utilisées avec l’aimable autorisation de Pexels/Christina Morillo.
Cet article est republié depuis The Conversation sous une licence Creative Commons. Lire l’article original.