Failles Microsoft Exchange : chronique d’un changement annoncé

Le 16 mars 2021, Microsoft annonçait 4 failles de sécurité majeures affectant son logiciel de messagerie phare Exchange. Et publiait dans la foulée un patch de sécurité pour les corriger. Exploitées au moins depuis janvier de la même année, ces brèches permettraient de prendre le contrôle total d’un serveur hébergé en propre. Rien moins que ça.

Microsoft publie habituellement les correctifs de ses logiciels le 2ème mardi du mois. Mais pas uniquement. Si les professionnels de l’informatique sont désormais habitués à ce rituel mensuel, les patches des failles critiques, eux, peuvent être fournis à n’importe quel moment, pour une application immédiate. Dans le cas qui nous intéresse, ils corrigeaient des failles dites zero-day, c’est-à-dire inconnues jusqu’alors de l’éditeur même. Retour sur cet épisode significatif.

Pour tous les clients exploitant un serveur Exchange, ou les prestataires en charge de la maintenance de ces machines, le 16 mars ne fut donc pas une journée comme les autres. La publication par Microsoft de ces correctifs sonna le branle-bas de combat pour tous les techniciens informatiques. Il fallait mettre à jour tous les logiciels affectés, et sans tarder, puisque ces failles étaient exploitables, et probablement exploitées, sur un très large spectre.

Exchange Online, le service Cloud équivalent de Microsoft a été épargné. En théorie en tout cas.

Quasiment toutes les versions du logiciel Exchange, de 2013 à 2019, eurent droit à leur correctif, y compris la version 2010 qui ne semblait pourtant pas affectée. Et pour cause : ces failles, une fois utilisées par des pirates, permettaient de prendre la main à distance sur un serveur, afin notamment d’y voler des données. Un groupe de hackers chinois, prénommé “Hafnium”, était visiblement très actif dans leur utilisation.

Microsoft Exchange Online épargné… en théorie

Et pour Exchange Online, le service Cloud équivalent, opéré directement par Microsoft ? Rien. Les patches ne concernaient que les versions des logiciels hébergés par les clients eux-mêmes. Cela signifie-t-il que le service de Microsoft n’était pas affecté par ces failles ? On peut en douter, puisque la technologie est la même. Pour autant, pour arriver à leurs fins, les pirates devaient utiliser tout un ensemble de vecteurs, qui sont par nature sous haute surveillance chez Microsoft.

Ce différentiel de traitement illustre à merveille l’avantage que les clients peuvent tirer d’un service hébergé et managé par l’éditeur. En concentrant leurs efforts sur une infrastructure unique, mais à large échelle, l’efficacité est bien meilleure qu’en devant assurer protection et maintenance de multiples systèmes individuels.

Alors, évidemment, toute médaille a son revers. Car le service en ligne de Microsoft, aussi efficace soit-il, n’est pas infaillible. Et si, demain, il devait subir des déboires, les aficionados de l’hébergement sur site profiteraient de l’occasion pour défendre leur modèle. Ils n’auraient évidemment pas tort. En tout cas sur le moment. Car, comme la pandémie récente nous l’a rappelé, il convient toujours de mesurer la balance bénéfice-risque. Et elle penche, un peu plus chaque jour, en faveur du service Cloud Microsoft. Et le retour en arrière ne sera certainement pas possible.

Maintenir un serveur Exchange n’est plus d’actualité

Pour commencer, l’application des correctifs sous-entend que le serveur d’un client soit maintenu et géré. Et que l’organisation en charge de cette maintenance soit au courant des failles, et de leurs correctifs. Bien après leur publication, Microsoft constatait que les brèches que ces derniers devaient combler étaient encore exploitées. Preuve que certains systèmes étaient tout simplement laissés à l’abandon, et propices à être piratés.

Ensuite, le client du service Exchange Online n’a plus à se soucier de la mise à jour de ces systèmes. Celle-ci fait partie du service, et comme on n’est jamais mieux servi que par soi-même, Microsoft est évidemment le mieux placé pour mettre à niveau ses propres logiciels. En un temps record et de manière transparente. C’est un gage de sécurité accrue. Mais pas à 100%, puisqu’il y aura toujours des failles et des bugs dans les logiciels. Tous les logiciels, mais dans le Cloud.

Aucune solution n’est parfaite. Mais en pesant soigneusement le pour et le contre, posséder son propre serveur est de moins en moins justifiable.

Enfin, et surtout, utiliser le service en ligne de Microsoft, c’est ne plus avoir à se soucier des changements de version et de l’achat de licences qui va avec. Les plus technophiles, ou les plus perspicaces, auront noté que les versions antérieures à 2010 n’ont pas été mises à jour. Tout simplement parce que ces versions hors d’âge ne sont plus supportées par Microsoft. Y en a-t-il encore en service ? Bien sûr ! On peut imaginer facilement que de telles machines sont tout simplement laissées à l’abandon. Faisant courir un risque encore plus important à leur propriétaire. Passer par un service Cloud permet de contourner ces contingences.

Pour être parfaitement impartial, il faut constater que le modèle de mise à jour en continu des services Cloud, Exchange ou autre, n’a pas que des avantages. Il contraint notamment les utilisateurs à subir parfois des changements déployés au fil du temps, et à un rythme effréné, par des éditeurs obnubilés par la concurrence. Cette fuite en avant a des conséquences pénibles, puisque notamment l’interface des logiciels évolue en permanence. Et les utilisateurs comme pour les exploitants ont du mal à suivre.

Pour autant, le confort des clients, s’il est mesuré de manière globale, sort grand gagnant de l’utilisation de ces services Cloud. Car en plus d’assurer un maintien permanent en conditions opérationnelles et une protection la plus stricte possible, elle évite un investissement massif et offre aux clients un modèle de coût en adéquation continue avec leurs besoins. Les propriétaires de versions anciennes d’Exchange sur site le comprendront aisément : ils ont été doublement punis en mars dernier, avec un serveur ouvert aux quatre vents et des licences qu’ils devront mettre à niveau rapidement. A moins de passer sur Exchange Online, bien entendu.

Walter Energies part du bon pied avec le Cloud Microsoft 365

Pour une jeune pousse, négliger les nouvelles technologies est un non-sens. Même quand on est expert en installation sanitaire sur LausanneC’est le cas de Walter Energies qui, dès son lancement, a confié ses données au Cloud Microsoft 365. Et sécurisé ses appareils par la même occasion. Récit côté coulisses d’un démarrage réussi. 

Lorsqu’elle a été créée en 2019, Walter Energies s’est tout d’abord tourné vers un hébergeur classique : il fallait dans un premier temps se focaliser sur le site Web et assurer sa visibilité. Mais rapidement, la gestion des emails est devenue problématique. L’activité se développant, perdre du temps avec l’informatique n’était plus acceptable. C’est là que Steel Blue entre en scène, comme le raconte Mme Donnenwirth, présidente de Walter Energies. 

Nous avions choisi OVH pour héberger notre site Web, et nous avions souscrit à un abonnement Exchange dans le même temps. Mais la messagerie ne fonctionnait pas et nous accumulions déboires et perte de temps. Une recherche rapide sur Internet nous a amené chez Steel Blue, dont les nombreux témoignages client nous ont permis de nous projeter facilement. Nous recherchions un service géré par des professionnels, et leur expertise en la matière était rassurante.
Emilie Donnenwirth, co-fondatrice Walter Energies

Après un rapide état des lieux, il apparaît que les données de Walter Energies sont stockées localement sur les ordinateurs, sans sauvegarde digne de ce nom. Le chantier était donc plus important que prévu. Steel Blue propose donc de migrer sur Microsoft 365, qui regroupe dans un seul package licences Office et services en ligne de premier ordre. En plus de stocker ses données dans le Cloud, Microsoft 365 les protège en même temps que les appareils qui les exploite. 

Steel Blue nous a fait passer un cap avec le Cloud Microsoft 365. Nous avons évidemment transféré nos emails chez Microsoft, mais aussi mis nos données à l’abri dans le Cloud avec SharePoint et OneDrive. Surtout, nos appareils ont été configurés automatiquement grâce aux modèles automatisés de Steel Blue, et leur sécurité poussée à l’extrême. En cas de perte ou de vol, nous pouvons effacer les données à distance, et remplacer le matériel rapidement et avec un minimum d’intervention.
Emilie Donnenwirth, co-fondatrice Walter Energies

Ce cap franchi, Walter Energies se trouvait rassuré par les prestations et les garanties offertes par Steel Blue. Il était temps de se concentrer sur les affaires. Et sur les prochaines étapes de son développement, basé sur la vente en ligne. Nous confier cette nouvelle mission semblait évident, afin de n’avoir qu’un seul interlocuteur de confiance pour l’entier de ses ressources. 

Même si nous fournissons surtout des prestations de services, nous souhaitons pouvoir vendre du matériel en ligne, la fiabilité de notre site, sa sécurité et sa capacité à monter en puissance seront alors cruciales. Surtout, nos systèmes internes devront fonctionner de concert avec le site marchand. Là encore, Steel Blue dispose de solides références pour ce type d’hébergement. Et leur vision à 360 degrés fait que nous pourrons compter sur eux les yeux fermés.
Emilie Donnenwirth, co-fondatrice Walter Energies

Et pour la suite ? Libérée de ses contraintes techniques, Walter Energies peut envisager sereinement les mois à venir en se focalisant sur son métier et ses prochaines ventes en ligne. Tout en utilisant au mieux ses outils numériques, et en adoptant dès le départ une posture digitale qui lui donnera un avantage sur la concurrence. 

A ce stade, vous vous demandez peut-être si Microsoft 365 pourrait aussi aider votre entreprise à prendre le virage numérique. Pour le savoir, rien de plus simple : expliquez-nous votre métier, et nous vous expliquerons comment le nôtre peut y contribuer. Pour Walter Energies, vous l’aurez compris, c’est déjà dans les tuyaux.