Microsoft a mis en attente les anciennes versions de SharePoint. Les pirates informatiques en profitent.

Des centaines d'organisations à travers le monde ont subi des violations de données cette semaine, suite à l'attaque de pirates informatiques qui ont exploré une vulnérabilité récemment découverte dans d'anciennes versions de SharePoint, l'outil de partage de fichiers de Microsoft . Cette série de violations s'ajoute à une situation déjà urgente et complexe : les institutions qui utilisent SharePoint depuis longtemps peuvent s'exposer à des risques accrus en continuant à utiliser ce service, alors même que Microsoft réduit progressivement le support de sa plateforme au profit de nouvelles offres cloud.

Microsoft a déclaré mardi qu'en plus d'autres acteurs, plusieurs groupes de pirates informatiques liés à la Chine exploitaient la faille, notamment présente dans les anciennes versions de SharePoint auto-hébergées par les organisations. Elle n'affecte pas la nouvelle version cloud de SharePoint que Microsoft encourage ses clients à adopter depuis de nombreuses années. Bloomberg a été le premier à signaler mercredi que l'une des victimes était l'Administration nationale de sécurité nucléaire des États-Unis, qui supervise et entretient les armes nucléaires américaines.

Les serveurs SharePoint « sur site » ou autogérés sont une cible privilégiée des pirates informatiques. Les entreprises les configurent souvent de manière à ce qu'ils soient exposés sur Internet, puis les oublient ou refusent d'allouer un budget pour les remplacer. Même si des correctifs sont disponibles, leur propriétaire peut négliger de les appliquer. Ce n'est cependant pas le cas du bug à l'origine de la vague d'attaques de cette semaine. Bien qu'il soit lié à une précédente vulnérabilité SharePoint découverte lors du concours de piratage Pwn2Own à Berlin en mai, le correctif publié par Microsoft plus tôt ce mois-ci était lui-même défectueux , ce qui signifie que même les entreprises ayant fait preuve de vigilance en matière de sécurité ont été prises au dépourvu. Microsoft s'est empressé de publier cette semaine un correctif, ou ce que l'entreprise a qualifié de « protections renforcées » dans son alerte de sécurité .

« Chez Microsoft, notre engagement, ancré dans l'initiative Secure Future, est d'aller à la rencontre de nos clients là où ils se trouvent », a déclaré un porte-parole de Microsoft dans un communiqué envoyé par courriel. « Cela implique d'accompagner les organisations sur l'ensemble du spectre de l'adoption du cloud, y compris celles qui gèrent des systèmes sur site. »

Microsoft continue de prendre en charge les versions 2016 et 2019 de SharePoint Server avec des mises à jour de sécurité et d'autres correctifs, mais ces deux versions atteindront ce que Microsoft appelle la « fin de support » le 14 juillet 2026. SharePoint Server 2013 et les versions antérieures ont déjà atteint la fin de leur cycle de vie et ne reçoivent que les mises à jour de sécurité les plus critiques via un service payant appelé « SharePoint Server Subscription Edition ». Par conséquent, toutes les versions de SharePoint Server sont de plus en plus confinées dans un bourbier numérique où la commodité de continuer à exécuter le logiciel s'accompagne de risques importants et d'une exposition potentielle pour les utilisateurs, en particulier lorsque les serveurs SharePoint sont exposés sur Internet.

« Il y a des années, Microsoft a présenté SharePoint comme une alternative plus sécurisée aux anciens outils de partage de fichiers Windows. C'est pourquoi des organisations comme les agences gouvernementales ont investi dans la mise en place de ces serveurs. Aujourd'hui, ils fonctionnent sans frais supplémentaires, contrairement à un abonnement Microsoft 365 dans le cloud qui implique un abonnement », explique Jake Williams, expert en intervention d'urgence de longue date et vice-président de la recherche et du développement chez Hunter Strategy. « Microsoft tente donc de convaincre les récalcitrants en facturant un support étendu. Mais si vous exposez un serveur SharePoint à Internet, je tiens à souligner qu'il faut également prévoir un budget pour la réponse aux incidents, car ce serveur finira par être piraté. »

L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a déclaré mardi dans ses directives concernant cette vulnérabilité : « La CISA recommande de déconnecter les versions publiques de SharePoint Server arrivées en fin de vie ou en fin de service. Par exemple, SharePoint Server 2013 et les versions antérieures sont en fin de vie et doivent être abandonnées si elles sont encore utilisées. »

L'omniprésence du système d'exploitation Windows de Microsoft dans le monde a donné lieu à d'autres situations où un long adieu a créé des problèmes de sécurité pour les utilisateurs récalcitrants, ainsi que pour d'autres organisations ou individus ayant des liens avec une entité vulnérable. Microsoft a peiné à gérer la longue file d'utilisateurs d'éditions Windows extrêmement populaires, comme Windows XP et Windows 7. Mais les logiciels hérités représentent un défi pour tout fournisseur de logiciels ou d'infrastructures numériques. Plus tôt cette année, par exemple, Oracle aurait signalé à certains clients une faille de sécurité après que des attaquants ont compromis un « environnement hérité » largement abandonné en 2017.

Le défi avec un service comme SharePoint est qu’il agit souvent comme un outil auxiliaire sans jamais être le centre d’attention.

« Pour les logiciels sur site comme SharePoint, qui sont profondément intégrés à la pile d'identités Microsoft, il existe de nombreux points d'exposition qui doivent être surveillés en permanence afin de connaître, d'exposer et de combler les lacunes critiques », explique Bob Huber, responsable de la sécurité chez Tenable, société de cybersécurité.

Interrogé sur la prétendue faille de sécurité au sein de la National Nuclear Security Administration (NNSA), le ministère de l'Énergie a souligné que l'incident n'avait pas eu d'impact sur les données sensibles ou classifiées. « Vendredi 18 juillet, l'exploitation d'une vulnérabilité zero-day de Microsoft SharePoint a commencé à affecter le ministère de l'Énergie, y compris la NNSA », a déclaré un porte-parole du DOE à WIRED dans un communiqué. « Le ministère a été peu impacté grâce à son utilisation généralisée du cloud Microsoft M365 et à ses systèmes de cybersécurité très performants. Un très petit nombre de systèmes ont été impactés. La NNSA prend les mesures appropriées pour atténuer les risques et migrer vers d'autres solutions si nécessaire. »

Microsoft n'a pas immédiatement répondu aux demandes de commentaires de WIRED concernant le processus de suppression de SharePoint Server. L'entreprise a indiqué mardi dans un billet de blog que ses clients devraient maintenir à jour les versions prises en charge de SharePoint Server avec les derniers correctifs et activer l'interface d'analyse antimalware de Microsoft ainsi que l'antivirus Microsoft Defender.