Comment Microsoft compte limiter les cyberattaques contre sa messagerie Exchange

Publié le 29 septembre 2021 à 15:07 - Mis à jour le 29 septembre 2021 à 15:07

Ce contenu est réservé aux abonnés La Tribune

Microsoft bat amazon pour un contrat de "cloud computing" du pentagone

Photo d'illustration

Simon Dawson

Début 2021, Microsoft essuyait encore une fois une vague de cyberattaques contre son service de messagerie Microsoft Exchange. Les hackers avaient réussi à exploiter de nouvelles vulnérabilités avant qu'elles ne soient corrigées. Pour éviter que ce scénario ne se reproduise, Microsoft a créé un outil novateur dont le rôle est d'empêcher l'exploitation des failles sur Exchange en désactivant les parties vulnérables, dans l'attente du déploiement d'un correctif. Explications.

Microsoft aurait-t-il enfin trouvé un moyen de mettre fin aux vagues de cyberattaques contre son service de messagerie professionnelle Exchange ? Début 2021, un groupe de hacker à la solde de l'état chinois, connu sous le nom "Halfnium", avait découvert une chaîne de vulnérabilités dans Microsoft Exchange et s'en était donné à cœur joie.

Grâce à ces failles, les cybercriminels avaient installé un "webshell", c'est-à-dire une interface de contrôle alternative, sur les serveurs vulnérables. Concrètement, cette mainmise leur permettait d'épier les messageries électroniques des organisations victimes, d'accéder aux carnets de contacts des employés ou encore d'envoyer des emails à partir d'une des adresses de l'organisation.

Microsoft Exchange Emergency Mitigation Service, un outil pour les plus vulnérables

Baptisée ProxyLogon par les chercheurs, la chaîne de vulnérabilité a été réparée en mars 2021. Mais entre les organisations déjà touchées avant la sortie du correctif et celles qui ont mis trop de temps à réagir, le nombre total de victimes s'élèverait à plusieurs dizaines de milliers. Si ProxyLogon se distingue par sa virulence, il n'était que le dernier incident d'une série de vulnérabilités successives trouvées à intervalle régulier dans Microsoft Exchange depuis 2016.

À lire également

Alors pour mieux protéger ses clients contre les écueils de son propre logiciel, Microsoft a pris une mesure radicale le 28 septembre. Il a publié un nouvel outil de sécurité, nommé Microsoft Exchange Emergency Mitigation Service (EM). Désormais déployé par défaut sur les instances de Microsoft Exchange qui ont effectué la dernière mise à jour, ce dispositif permet à l'éditeur de faire des modifications automatiques sur le système de ses clients, en cas d'urgence similaire à Proxylogon. Concrètement, EM va pouvoir mettre en place des mesures de mitigation, destinés à bloquer l'exploitation de la vulnérabilité, en attendant la publication d'un correctif. Il peut désactiver certains sous-programmes d'Exchange, ou bloquer certains types de requêtes envoyées au serveur, qui sont identifiés par Microsoft comme malveillantes.

Newsletter