Le
14 janvier
est probablement l’ultime mise à jour pour Windows 7
Les ordinateurs exécutant des logiciels non corrigés ou non pris en charge tels que Windows 7 sont davantage exposés aux cyberattaques, aux virus et aux logiciels malveillants. C’est la raison pour laquelle les experts en sécurité conseillent aux millions d’utilisateurs de Windows 7 de mettre à niveau leur système d’exploitation – près de 200 millions d’ordinateurs seraient toujours sous Windows 7.
Bien que Windows 7 ait désormais
plus de dix ans d’existence, des failles de sécurité continuent d’y être détectées. En janvier 2020, la National Security Agency des États-Unis a mis en garde contre de nouvelles vulnérabilités importantes dans les systèmes d’exploitation Windows, notamment Windows 7 et la dernière version Windows 10. Microsoft a inclus un correctif dans sa dernière – et probablement ultime – mise à jour pour Windows 7 le 14 janvier 2020.
Le
14 janvier
est probablement l’ultime mise à jour pour Windows 7
Les ordinateurs exécutant des logiciels non corrigés ou non pris en charge tels que Windows 7 sont davantage exposés aux cyberattaques, aux virus et aux logiciels malveillants. C’est la raison pour laquelle les experts en sécurité conseillent aux millions d’utilisateurs de Windows 7 de mettre à niveau leur système d’exploitation – près de 200 millions d’ordinateurs seraient toujours sous Windows 7.
Bien que Windows 7 ait désormais plus de dix ans d’existence, des failles de sécurité continuent d’y être détectées. En janvier 2020, la National Security Agency des États-Unis a mis en garde contre de nouvelles vulnérabilités importantes dans les systèmes d’exploitation Windows, notamment Windows 7 et la dernière version Windows 10. Microsoft a inclus un correctif dans sa dernière – et probablement ultime – mise à jour pour Windows 7 le 14 janvier 2020.
La décision de Microsoft de mettre un terme à la prise en charge de Windows 7 représente une opportunité considérable pour les cybercriminels. Les failles présentes dans les logiciels peuvent être exploitées par les pirates informatiques à des fins malveillantes : elles constituent souvent un élément important des outils et techniques
que ceux-ci utilisent pour accéder aux réseaux, voler des données ou procéder à une cyber-extorsion.
Les pirates recherchent des vulnérabilités dites « zero day », c’est-à-dire des failles inconnues des développeurs et des utilisateurs. Cependant, la plupart du temps, les cybercriminels sont capables d’exploiter des vulnérabilités
connues, car les logiciels ne sont souvent pas à jour. Dès qu’une faille est identifiée, les éditeurs publient rapidement une mise à jour ou un correctif permettant de résoudre le problème, mais les systèmes non corrigés restent exposés aux attaques.
Par exemple, l’attaque mondiale par le rançongiciel WannaCry en 2017 a exploité une vulnérabilité
connue de Windows, baptisée « Eternal Blue ». Bien qu’un correctif ait été publié plusieurs mois avant l’épidémie de WannaCry, le logiciel malveillant a infecté des centaines de milliers d’ordinateurs non corrigés dans le monde.
La décision de Microsoft de mettre un terme à la prise en charge de Windows 7 représente une opportunité considérable pour les cybercriminels. Les failles présentes dans les logiciels peuvent être exploitées par les pirates informatiques à des fins malveillantes : elles constituent souvent un élément important des outils et techniques que ceux-ci utilisent pour accéder aux réseaux, voler des données ou procéder à une cyber-extorsion.
Les pirates recherchent des vulnérabilités dites « zero day », c’est-à-dire des failles inconnues des développeurs et des utilisateurs. Cependant, la plupart du temps, les cybercriminels sont capables d’exploiter des vulnérabilités connues, car les logiciels ne sont souvent pas à jour. Dès qu’une faille est identifiée, les éditeurs publient rapidement une mise à jour ou un correctif permettant de résoudre le problème, mais les systèmes non corrigés restent exposés aux attaques.
Par exemple, l’attaque mondiale par le rançongiciel WannaCry en 2017 a exploité une vulnérabilité connue de Windows, baptisée « Eternal Blue ». Bien qu’un correctif ait été publié plusieurs mois avant l’épidémie de WannaCry, le logiciel malveillant a infecté des centaines de milliers d’ordinateurs non corrigés dans le monde.
Malgré le rôle des vulnérabilités non corrigées dans les cyber-attaques très médiatisées comme WannaCry, le problème persiste. Selon Gartner, les systèmes non corrigés restent l’une des causes principales des violations de sécurité informatique : environ 99 % des vulnérabilités sont connues au moment de l’incident.
Comme l’explique Verizon dans son rapport « 2019 Data Breach Investigations Report », chaque vulnérabilité ou faille de sécurité divulguée et chaque publication de mise à jour système ou de correctif représentent une opportunité pour les cybercriminels. Ces derniers cherchent sans cesse des moyens de monétiser les vulnérabilités, soit via des attaques ciblées sophistiquées contre les sites Web et les réseaux des entreprises, soit via des attaques non ciblées, notamment par hameçonnage ou rançongiciel.
Au cours des dernières années, certaines des violations de données les plus significatives étaient dues à des vulnérabilités non corrigées. Par exemple, des systèmes non mis à jour ont contribué à la violation massive des données d’Equifax en 2017. Plus récemment, une attaque par rançongiciel contre Travelex le 31 décembre 2019 – qui a obligé l’entreprise à mettre ses sites Internet hors ligne pendant plus de deux semaines – était apparemment liée à une vulnérabilité connue d’un logiciel VPN.
Malgré le rôle des vulnérabilités non corrigées dans les cyber-attaques très médiatisées comme WannaCry, le problème persiste. Selon Gartner, les systèmes non corrigés restent l’une des causes principales des violations de sécurité informatique : environ 99 % des vulnérabilités sont connues au moment de l’incident.
Comme l’explique Verizon dans son rapport « 2019 Data Breach Investigations Report », chaque vulnérabilité ou faille de sécurité divulguée et chaque publication de mise à jour système ou de correctif représentent une opportunité pour les cybercriminels. Ces derniers cherchent sans cesse des moyens de monétiser les vulnérabilités, soit via des attaques ciblées sophistiquées contre les sites Web et les réseaux des entreprises, soit via des attaques non ciblées, notamment par hameçonnage ou rançongiciel.
Au cours des dernières années, certaines des violations de données les plus significatives étaient dues à des vulnérabilités non corrigées. Par exemple, des systèmes non mis à jour ont contribué à la violation massive des données d’Equifax en 2017. Plus récemment, une attaque par rançongiciel contre Travelex le 31 décembre 2019 – qui a obligé l’entreprise à mettre ses sites Internet hors ligne pendant plus de deux semaines – était apparemment liée à une vulnérabilité connue d’un logiciel VPN.
Les experts en cybersécurité recommandent aux entreprises :
• d’adopter une stratégie corrective prenant en compte l’ordre de priorité des mises à jour ;
• d’aligner les correctifs sur les principaux risques auxquels l’organisation est confrontée ;
• de corriger en priorité les vulnérabilités importantes une fois qu’elles sont identifiées ;
• d’établir un plan d’action pour les vulnérabilités exploitables restantes ;
• d’exécuter sur leurs systèmes des logiciels pris en charge et mis à jour, dans la mesure du possible.
Il existe des raisons légitimes pour lesquelles certains ordinateurs et appareils continuent d’utiliser des logiciels obsolètes ou non corrigés. Les décisions concernant l’exécution de logiciels non pris en charge doivent être prises en connaissance de cause et accompagnées de mesures appropriées visant à assurer la sécurité informatique, telles que l’isolation de tels systèmes des autres réseaux.
Les experts en cybersécurité recommandent aux entreprises :
• d’adopter une stratégie corrective prenant en compte l’ordre de priorité des mises à jour ;
• d’aligner les correctifs sur les principaux risques auxquels l’organisation est confrontée ;
• de corriger en priorité les vulnérabilités importantes une fois qu’elles sont identifiées ;
• d’établir un plan d’action pour les vulnérabilités exploitables restantes ;
• d’exécuter sur leurs systèmes des logiciels pris en charge et mis à jour, dans la mesure du possible.
Il existe des raisons légitimes pour lesquelles certains ordinateurs et appareils continuent d’utiliser des logiciels obsolètes ou non corrigés. Les décisions concernant l’exécution de logiciels non pris en charge doivent être prises en connaissance de cause et accompagnées de mesures appropriées visant à assurer la sécurité informatique, telles que l’isolation de tels systèmes des autres réseaux.
Les autorités de réglementation accordent également davantage d’attention à la sécurité des systèmes d’information. Ainsi, la non-correction des systèmes présente des conséquences de plus en plus lourdes en termes de sanctions, de pertes d’exploitation et d’atteinte à la réputation. Equifax s’est vu infliger une amende de 700 millions de dollars par les autorités américaines pour la violation de données de 2017, tandis que le groupe hôtelier américain Marriott
Marriott a écopé d’une amende de 99 millions de livres au Royaume-Uni, en vertu du Règlement général sur la protection des données (RGPD) de l’Union européenne, pour une violation de données causée par un logiciel non corrigé. Dans le cadre du RGPD, les autorités administratives comme la CNIL peuvent imposer des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise.
Les autorités de réglementation accordent également davantage d’attention à la sécurité des systèmes d’information. Ainsi, la non-correction des systèmes présente des conséquences de plus en plus lourdes en termes de sanctions, de pertes d’exploitation et d’atteinte à la réputation. Equifax s’est vu infliger une amende de 700 millions de dollars par les autorités américaines pour la violation de données de 2017, tandis que le groupe hôtelier américain Marriott
Marriott a écopé d’une amende de 99 millions de livres au Royaume-Uni, en vertu du Règlement général sur la protection des données (RGPD) de l’Union européenne, pour une violation de données causée par un logiciel non corrigé. Dans le cadre du RGPD, les autorités administratives comme la CNIL peuvent imposer des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise.
Abonnez-vous pour être informé des futurs articles issus de la série sur l’imprévisibilité et des autres rapports, informations ou réflexions de QBE.