Considérée comme une opportunité pour les cybercriminels, la fin de la prise en charge de Windows 7 met en lumière la nécessité de stratégies efficaces de mise à jour corrective, selon Amanda Maréchal.
Fin de la prise en charge de Windows 7
Microsoft a officiellement mis fin à la prise en charge de Windows 7 le 14 janvier dernier. Ainsi, l’éditeur n’est plus tenu de fournir des mises à jour de sécurité pour ce système d’exploitation répandu. Les clients payants ont toutefois la possibilité de s’abonner à des mises à jour de sécurité étendues.
Le
14 janvier
est probablement l’ultime mise à jour pour Windows 7
Les ordinateurs exécutant des logiciels non corrigés ou non pris en charge tels que Windows 7 sont davantage exposés aux cyberattaques, aux virus et aux logiciels malveillants. C’est la raison pour laquelle les experts en sécurité conseillent aux millions d’utilisateurs de Windows 7 de mettre à niveau leur système d’exploitation – près de 200 millions d’ordinateurs seraient toujours sous Windows 7.
Bien que Windows 7 ait désormais
plus de dix ans d’existence, des failles de sécurité continuent d’y être détectées. En janvier 2020, la National Security Agency des États-Unis a mis en garde contre de nouvelles vulnérabilités importantes dans les systèmes d’exploitation Windows, notamment Windows 7 et la dernière version Windows 10. Microsoft a inclus un correctif dans sa dernière – et probablement ultime – mise à jour pour Windows 7 le 14 janvier 2020.
Microsoft a officiellement mis fin à la prise en charge de Windows 7 le 14 janvier dernier. Ainsi, l’éditeur n’est plus tenu de fournir des mises à jour de sécurité pour ce système d’exploitation répandu. Les clients payants ont toutefois la possibilité de s’abonner à des mises à jour de sécurité étendues.
Le
14 janvier
est probablement l’ultime mise à jour pour Windows 7
Les ordinateurs exécutant des logiciels non corrigés ou non pris en charge tels que Windows 7 sont davantage exposés aux cyberattaques, aux virus et aux logiciels malveillants. C’est la raison pour laquelle les experts en sécurité conseillent aux millions d’utilisateurs de Windows 7 de mettre à niveau leur système d’exploitation – près de 200 millions d’ordinateurs seraient toujours sous Windows 7.
Bien que Windows 7 ait désormais plus de dix ans d’existence, des failles de sécurité continuent d’y être détectées. En janvier 2020, la National Security Agency des États-Unis a mis en garde contre de nouvelles vulnérabilités importantes dans les systèmes d’exploitation Windows, notamment Windows 7 et la dernière version Windows 10. Microsoft a inclus un correctif dans sa dernière – et probablement ultime – mise à jour pour Windows 7 le 14 janvier 2020.
Vulnérabilités connues
La décision de Microsoft de mettre un terme à la prise en charge de Windows 7 représente une opportunité considérable pour les cybercriminels. Les failles présentes dans les logiciels peuvent être exploitées par les pirates informatiques à des fins malveillantes : elles constituent souvent un élément important des outils et techniques
que ceux-ci utilisent pour accéder aux réseaux, voler des données ou procéder à une cyber-extorsion.
Les pirates recherchent des vulnérabilités dites « zero day », c’est-à-dire des failles inconnues des développeurs et des utilisateurs. Cependant, la plupart du temps, les cybercriminels sont capables d’exploiter des vulnérabilités
connues, car les logiciels ne sont souvent pas à jour. Dès qu’une faille est identifiée, les éditeurs publient rapidement une mise à jour ou un correctif permettant de résoudre le problème, mais les systèmes non corrigés restent exposés aux attaques.
Par exemple, l’attaque mondiale par le rançongiciel WannaCry en 2017 a exploité une vulnérabilité
connue de Windows, baptisée « Eternal Blue ». Bien qu’un correctif ait été publié plusieurs mois avant l’épidémie de WannaCry, le logiciel malveillant a infecté des centaines de milliers d’ordinateurs non corrigés dans le monde.
La décision de Microsoft de mettre un terme à la prise en charge de Windows 7 représente une opportunité considérable pour les cybercriminels. Les failles présentes dans les logiciels peuvent être exploitées par les pirates informatiques à des fins malveillantes : elles constituent souvent un élément important des outils et techniques que ceux-ci utilisent pour accéder aux réseaux, voler des données ou procéder à une cyber-extorsion.
Les pirates recherchent des vulnérabilités dites « zero day », c’est-à-dire des failles inconnues des développeurs et des utilisateurs. Cependant, la plupart du temps, les cybercriminels sont capables d’exploiter des vulnérabilités connues, car les logiciels ne sont souvent pas à jour. Dès qu’une faille est identifiée, les éditeurs publient rapidement une mise à jour ou un correctif permettant de résoudre le problème, mais les systèmes non corrigés restent exposés aux attaques.
Par exemple, l’attaque mondiale par le rançongiciel WannaCry en 2017 a exploité une vulnérabilité connue de Windows, baptisée « Eternal Blue ». Bien qu’un correctif ait été publié plusieurs mois avant l’épidémie de WannaCry, le logiciel malveillant a infecté des centaines de milliers d’ordinateurs non corrigés dans le monde.
Une opportunité pour les cybercriminels
Malgré le rôle des vulnérabilités non corrigées dans les cyber-attaques très médiatisées comme WannaCry, le problème persiste. Selon Gartner, les systèmes non corrigés restent l’une des causes principales des violations de sécurité informatique : environ 99 % des vulnérabilités sont connues au moment de l’incident.
Comme l’explique Verizon dans son rapport « 2019 Data Breach Investigations Report », chaque vulnérabilité ou faille de sécurité divulguée et chaque publication de mise à jour système ou de correctif représentent une opportunité pour les cybercriminels. Ces derniers cherchent sans cesse des moyens de monétiser les vulnérabilités, soit via des attaques ciblées sophistiquées contre les sites Web et les réseaux des entreprises, soit via des attaques non ciblées, notamment par hameçonnage ou rançongiciel.
Au cours des dernières années, certaines des violations de données les plus significatives étaient dues à des vulnérabilités non corrigées. Par exemple, des systèmes non mis à jour ont contribué à la violation massive des données d’Equifax en 2017. Plus récemment, une attaque par rançongiciel contre Travelex le 31 décembre 2019 – qui a obligé l’entreprise à mettre ses sites Internet hors ligne pendant plus de deux semaines – était apparemment liée à une vulnérabilité connue d’un logiciel VPN.
Malgré le rôle des vulnérabilités non corrigées dans les cyber-attaques très médiatisées comme WannaCry, le problème persiste. Selon Gartner, les systèmes non corrigés restent l’une des causes principales des violations de sécurité informatique : environ 99 % des vulnérabilités sont connues au moment de l’incident.
Comme l’explique Verizon dans son rapport « 2019 Data Breach Investigations Report », chaque vulnérabilité ou faille de sécurité divulguée et chaque publication de mise à jour système ou de correctif représentent une opportunité pour les cybercriminels. Ces derniers cherchent sans cesse des moyens de monétiser les vulnérabilités, soit via des attaques ciblées sophistiquées contre les sites Web et les réseaux des entreprises, soit via des attaques non ciblées, notamment par hameçonnage ou rançongiciel.
Au cours des dernières années, certaines des violations de données les plus significatives étaient dues à des vulnérabilités non corrigées. Par exemple, des systèmes non mis à jour ont contribué à la violation massive des données d’Equifax en 2017. Plus récemment, une attaque par rançongiciel contre Travelex le 31 décembre 2019 – qui a obligé l’entreprise à mettre ses sites Internet hors ligne pendant plus de deux semaines – était apparemment liée à une vulnérabilité connue d’un logiciel VPN.
Gestion des correctifs logiciels ( « Patch Management »)
Les pirates informatiques savent qu’ils disposent d’un temps limité pour tenter d’exploiter une vulnérabilité à partir du moment où elle est révélée. Par conséquent, une correction rapide des failles permet de renforcer la protection. Cependant, la correction des vulnérabilités n’est pas toujours évidente, car les mises à jour logicielles sont nombreuses et les correctifs risquent d’interrompre ou de réduire le fonctionnement des systèmes critiques.
Les experts en cybersécurité recommandent aux entreprises :
• d’adopter une stratégie corrective prenant en compte l’ordre de priorité des mises à jour ;
• d’aligner les correctifs sur les principaux risques auxquels l’organisation est confrontée ;
• de corriger en priorité les vulnérabilités importantes une fois qu’elles sont identifiées ;
• d’établir un plan d’action pour les vulnérabilités exploitables restantes ;
• d’exécuter sur leurs systèmes des logiciels pris en charge et mis à jour, dans la mesure du possible.
Il existe des raisons légitimes pour lesquelles certains ordinateurs et appareils continuent d’utiliser des logiciels obsolètes ou non corrigés. Les décisions concernant l’exécution de logiciels non pris en charge doivent être prises en connaissance de cause et accompagnées de mesures appropriées visant à assurer la sécurité informatique, telles que l’isolation de tels systèmes des autres réseaux.
Les pirates informatiques savent qu’ils disposent d’un temps limité pour tenter d’exploiter une vulnérabilité à partir du moment où elle est révélée. Par conséquent, une correction rapide des failles permet de renforcer la protection. Cependant, la correction des vulnérabilités n’est pas toujours évidente, car les mises à jour logicielles sont nombreuses et les correctifs risquent d’interrompre ou de réduire le fonctionnement des systèmes critiques.
Les experts en cybersécurité recommandent aux entreprises :
• d’adopter une stratégie corrective prenant en compte l’ordre de priorité des mises à jour ;
• d’aligner les correctifs sur les principaux risques auxquels l’organisation est confrontée ;
• de corriger en priorité les vulnérabilités importantes une fois qu’elles sont identifiées ;
• d’établir un plan d’action pour les vulnérabilités exploitables restantes ;
• d’exécuter sur leurs systèmes des logiciels pris en charge et mis à jour, dans la mesure du possible.
Il existe des raisons légitimes pour lesquelles certains ordinateurs et appareils continuent d’utiliser des logiciels obsolètes ou non corrigés. Les décisions concernant l’exécution de logiciels non pris en charge doivent être prises en connaissance de cause et accompagnées de mesures appropriées visant à assurer la sécurité informatique, telles que l’isolation de tels systèmes des autres réseaux.
Assurance Cyber
Une correction rapide des vulnérabilités est non seulement une bonne pratique d’hygiène informatique, mais aussi une règle de base en matière de gestion des risques. Les assureurs souhaitent connaître la stratégie de mise à jour corrective de l’entreprise, ainsi que les mesures prises pour sécuriser les systèmes non pris en charge. Les assurés doivent quant à eux vérifier leurs contrats, car certains assureurs appliquent des exclusions pour les pertes résultant de systèmes non pris en charge ou obsolètes.
Les autorités de réglementation accordent également davantage d’attention à la sécurité des systèmes d’information. Ainsi, la non-correction des systèmes présente des conséquences de plus en plus lourdes en termes de sanctions, de pertes d’exploitation et d’atteinte à la réputation. Equifax s’est vu infliger une amende de 700 millions de dollars par les autorités américaines pour la violation de données de 2017, tandis que le groupe hôtelier américain Marriott
Marriott a écopé d’une amende de 99 millions de livres au Royaume-Uni, en vertu du Règlement général sur la protection des données (RGPD) de l’Union européenne, pour une violation de données causée par un logiciel non corrigé. Dans le cadre du RGPD, les autorités administratives comme la CNIL peuvent imposer des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise.
Une correction rapide des vulnérabilités est non seulement une bonne pratique d’hygiène informatique, mais aussi une règle de base en matière de gestion des risques. Les assureurs souhaitent connaître la stratégie de mise à jour corrective de l’entreprise, ainsi que les mesures prises pour sécuriser les systèmes non pris en charge. Les assurés doivent quant à eux vérifier leurs contrats, car certains assureurs appliquent des exclusions pour les pertes résultant de systèmes non pris en charge ou obsolètes.
Les autorités de réglementation accordent également davantage d’attention à la sécurité des systèmes d’information. Ainsi, la non-correction des systèmes présente des conséquences de plus en plus lourdes en termes de sanctions, de pertes d’exploitation et d’atteinte à la réputation. Equifax s’est vu infliger une amende de 700 millions de dollars par les autorités américaines pour la violation de données de 2017, tandis que le groupe hôtelier américain Marriott
Marriott a écopé d’une amende de 99 millions de livres au Royaume-Uni, en vertu du Règlement général sur la protection des données (RGPD) de l’Union européenne, pour une violation de données causée par un logiciel non corrigé. Dans le cadre du RGPD, les autorités administratives comme la CNIL peuvent imposer des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise.
Mises à jour correctives ( dit « Patching ») : une nécessité sur le long terme
La fin de la prise en charge de Windows 7 est synonyme d’une sécurité réduite pour les utilisateurs et laisse la voie libre aux pirates informatiques. De nombreuses organisations ont profité de cette occasion pour passer à un système d’exploitation plus récent. En revanche, les entreprises utilisant des logiciels non pris en charge ou non corrigés, sans mettre en place des mesures de contrôle adéquates, s’exposent à des risques inutiles qui pourraient s’avérer coûteux à long terme.
La fin de la prise en charge de Windows 7 est synonyme d’une sécurité réduite pour les utilisateurs et laisse la voie libre aux pirates informatiques. De nombreuses organisations ont profité de cette occasion pour passer à un système d’exploitation plus récent. En revanche, les entreprises utilisant des logiciels non pris en charge ou non corrigés, sans mettre en place des mesures de contrôle adéquates, s’exposent à des risques inutiles qui pourraient s’avérer coûteux à long terme.
Autres articles similaires
Abonnez-vous pour être informé des futurs articles issus de la série sur l’imprévisibilité et des autres rapports, informations ou réflexions de QBE.
Abonnez-vous dès maintenant