Avez-vous des machines fonctionnant sur des systèmes d’exploitation non pris en charge ? Tous vos logiciels sont-ils à jour avec les derniers correctifs appliqués ?
Si vous n’effectuez pas les correctifs rapidement, ou si vous utilisez encore des systèmes d’exploitation ou des logiciels obsolètes et non pris en charge, vous prenez des risques inutiles et laissez votre réseau ouvert aux attaques informatiques.
Les hackers parcourent constamment Internet à la recherche de systèmes vulnérables à attaquer. Même si vous utilisez Windows XP ou Vista sur une seule machine d’un réseau, cela pourrait permettre à un pirate d’exploiter les vulnérabilités et d’accéder à tout ou partie de ce réseau.
Un nombre alarmant d’entreprises utilisent encore des logiciels périmés et ne procèdent pas rapidement aux correctifs. Par exemple, 7,4 % des entreprises utilisent encore Windows XP, même si Microsoft a cessé de publier des correctifs de sécurité pour ce système d’exploitation il y a trois ans.
Les pirates découvrent de nouvelles vulnérabilités dans les logiciels et les systèmes d’exploitation plus rapidement que les fabricants de logiciels ne peuvent corriger ces failles. Des vulnérabilités « zero day » sont régulièrement découvertes et des exploits — portions de code qui permettent d’exploiter une vulnérabilité dans un programme de façon à obtenir des privilèges utilisateur — sont développés pour tirer parti des failles et accéder aux réseaux d’entreprise.
Lorsqu’un développeur de logiciel cesse de publier des mises à jour, la liste des vulnérabilités potentielles qui peuvent être exploitées s’allonge rapidement.
Prenez l’exemple de Windows.
Chaque « Patch Tuesday » — un ensemble de mises à jour publiées chaque deuxième mardi de chaque mois — contient des correctifs pour remédier à plusieurs vulnérabilités critiques. Celles-ci peuvent être exploitées pour exécuter un code ou accéder à un système afin d’obtenir des privilèges utilisateur. Bien qu’il n’existe peut-être pas d’exploits qui permettent d’exploiter les failles au moment où les correctifs sont publiés, cela ne tarde pas souvent à se produire.
En effet, les pirates peuvent consulter les mises à jour et les correctifs d’ingénierie inverse pour découvrir les vulnérabilités. Des exploits pourront alors être développés pour attaquer les machines fonctionnant avec des systèmes d’exploitation non corrigées.
Prenons l’exemple de la récente série de mises à jour de Microsoft dans son Patch Tuesday de mars. La marque a discrètement corrigé un tas de défauts pour lesquels des exploits avaient été développés. Quatre jours plus tard, des kits d’exploitation développés par The Equation Group ont été mis en ligne par Shadow Brokers. Ces outils pouvaient être utilisés pour exploiter les failles corrigées par Microsoft quelques jours auparavant.
Les kit d’exploitation peuvent être utilisés pour attaquer des machines non corrigées. Pourtant, les correctifs publiés par la marque n’ont été conçus que pour corriger des failles dans les versions prises en charge de Windows. Beaucoup de ces outils d’exploitation peuvent ainsi être utilisés pour attaquer les versions non prises en charge telles que Windows XP et Vista.
L’un de ces outils, appelé Eternalromance, est probablement fonctionnel sur toutes les versions précédentes de Windows jusqu’à Windows XP. Par ailleurs, EasyPi, Eclipsedwing, Emeraldthread, Emeraldthread, eraticgopher et esteemaudit ont tous été confirmés fonctionner sous Windows XP.
Voici les outils d’exploitation récemment découverts par The Equation Group. Ils ne représentent qu’un petit pourcentage des exploits qui existent et qui peuvent attaquer la vulnérabilité des anciennes versions non corrigées de Windows. Et sachez qu’en plus de ces exploits, il en existe d’autres pour de nombreux autres logiciels.
Il aura toujours d’exploits « zero-day » qui pourront être utilisés pour attaquer les entreprises, mais l’utilisation de logiciels périmés et de systèmes d’exploitation non pris en charge rend les choses trop faciles pour les pirates informatiques.
Les entreprises de toutes tailles doivent donc s’assurer qu’elles disposent de bonnes politiques de gestion des correctifs qui couvrent leurs logiciels et systèmes d’exploitation et tous leurs périphériques. Cependant, comme les systèmes d’exploitation non pris en charge ne seront jamais corrigés, l’utilisation continue de ces produits représente un risque très important et inutile.