Failles Microsoft Exchange : chronique d’un changement annoncé

Le 16 mars 2021, Microsoft annonçait 4 failles de sécurité majeures affectant son logiciel de messagerie phare Exchange. Et publiait dans la foulée un patch de sécurité pour les corriger. Exploitées au moins depuis janvier de la même année, ces brèches permettraient de prendre le contrôle total d’un serveur hébergé en propre. Rien moins que ça.

Microsoft publie habituellement les correctifs de ses logiciels le 2ème mardi du mois. Mais pas uniquement. Si les professionnels de l’informatique sont désormais habitués à ce rituel mensuel, les patches des failles critiques, eux, peuvent être fournis à n’importe quel moment, pour une application immédiate. Dans le cas qui nous intéresse, ils corrigeaient des failles dites zero-day, c’est-à-dire inconnues jusqu’alors de l’éditeur même. Retour sur cet épisode significatif.

Pour tous les clients exploitant un serveur Exchange, ou les prestataires en charge de la maintenance de ces machines, le 16 mars ne fut donc pas une journée comme les autres. La publication par Microsoft de ces correctifs sonna le branle-bas de combat pour tous les techniciens informatiques. Il fallait mettre à jour tous les logiciels affectés, et sans tarder, puisque ces failles étaient exploitables, et probablement exploitées, sur un très large spectre.

Exchange Online, le service Cloud équivalent de Microsoft a été épargné. En théorie en tout cas.

Quasiment toutes les versions du logiciel Exchange, de 2013 à 2019, eurent droit à leur correctif, y compris la version 2010 qui ne semblait pourtant pas affectée. Et pour cause : ces failles, une fois utilisées par des pirates, permettaient de prendre la main à distance sur un serveur, afin notamment d’y voler des données. Un groupe de hackers chinois, prénommé “Hafnium”, était visiblement très actif dans leur utilisation.

Microsoft Exchange Online épargné… en théorie

Et pour Exchange Online, le service Cloud équivalent, opéré directement par Microsoft ? Rien. Les patches ne concernaient que les versions des logiciels hébergés par les clients eux-mêmes. Cela signifie-t-il que le service de Microsoft n’était pas affecté par ces failles ? On peut en douter, puisque la technologie est la même. Pour autant, pour arriver à leurs fins, les pirates devaient utiliser tout un ensemble de vecteurs, qui sont par nature sous haute surveillance chez Microsoft.

Ce différentiel de traitement illustre à merveille l’avantage que les clients peuvent tirer d’un service hébergé et managé par l’éditeur. En concentrant leurs efforts sur une infrastructure unique, mais à large échelle, l’efficacité est bien meilleure qu’en devant assurer protection et maintenance de multiples systèmes individuels.

Alors, évidemment, toute médaille a son revers. Car le service en ligne de Microsoft, aussi efficace soit-il, n’est pas infaillible. Et si, demain, il devait subir des déboires, les aficionados de l’hébergement sur site profiteraient de l’occasion pour défendre leur modèle. Ils n’auraient évidemment pas tort. En tout cas sur le moment. Car, comme la pandémie récente nous l’a rappelé, il convient toujours de mesurer la balance bénéfice-risque. Et elle penche, un peu plus chaque jour, en faveur du service Cloud Microsoft. Et le retour en arrière ne sera certainement pas possible.

Maintenir un serveur Exchange n’est plus d’actualité

Pour commencer, l’application des correctifs sous-entend que le serveur d’un client soit maintenu et géré. Et que l’organisation en charge de cette maintenance soit au courant des failles, et de leurs correctifs. Bien après leur publication, Microsoft constatait que les brèches que ces derniers devaient combler étaient encore exploitées. Preuve que certains systèmes étaient tout simplement laissés à l’abandon, et propices à être piratés.

Ensuite, le client du service Exchange Online n’a plus à se soucier de la mise à jour de ces systèmes. Celle-ci fait partie du service, et comme on n’est jamais mieux servi que par soi-même, Microsoft est évidemment le mieux placé pour mettre à niveau ses propres logiciels. En un temps record et de manière transparente. C’est un gage de sécurité accrue. Mais pas à 100%, puisqu’il y aura toujours des failles et des bugs dans les logiciels. Tous les logiciels, mais dans le Cloud.

Aucune solution n’est parfaite. Mais en pesant soigneusement le pour et le contre, posséder son propre serveur est de moins en moins justifiable.

Enfin, et surtout, utiliser le service en ligne de Microsoft, c’est ne plus avoir à se soucier des changements de version et de l’achat de licences qui va avec. Les plus technophiles, ou les plus perspicaces, auront noté que les versions antérieures à 2010 n’ont pas été mises à jour. Tout simplement parce que ces versions hors d’âge ne sont plus supportées par Microsoft. Y en a-t-il encore en service ? Bien sûr ! On peut imaginer facilement que de telles machines sont tout simplement laissées à l’abandon. Faisant courir un risque encore plus important à leur propriétaire. Passer par un service Cloud permet de contourner ces contingences.

Pour être parfaitement impartial, il faut constater que le modèle de mise à jour en continu des services Cloud, Exchange ou autre, n’a pas que des avantages. Il contraint notamment les utilisateurs à subir parfois des changements déployés au fil du temps, et à un rythme effréné, par des éditeurs obnubilés par la concurrence. Cette fuite en avant a des conséquences pénibles, puisque notamment l’interface des logiciels évolue en permanence. Et les utilisateurs comme pour les exploitants ont du mal à suivre.

Pour autant, le confort des clients, s’il est mesuré de manière globale, sort grand gagnant de l’utilisation de ces services Cloud. Car en plus d’assurer un maintien permanent en conditions opérationnelles et une protection la plus stricte possible, elle évite un investissement massif et offre aux clients un modèle de coût en adéquation continue avec leurs besoins. Les propriétaires de versions anciennes d’Exchange sur site le comprendront aisément : ils ont été doublement punis en mars dernier, avec un serveur ouvert aux quatre vents et des licences qu’ils devront mettre à niveau rapidement. A moins de passer sur Exchange Online, bien entendu.

Emmanuel Dardaine

emmanuel dardaine expert cloud