Win Server 2003 : fin officiel du support, les entreprises fortement exposées
Toutes entreprises ayant conservé leurs serveurs sous Windows Server 2003 s’exposent officiellement à des attaques, ouvrant la porte en grand à l’exploitation de faille de sécurité.
Les DSI se retrouvent désormais face à un dilemme : Microsoft ne publiera plus de correctifs pour Windows Server 2003. C’est officiel depuis le 14 juillet 2015. Environ 11 millions de machines dans le monde abritent encore l’ancien OS, si l’on en croit la société Camwood, un spécialiste britannique de la migration d’applications.
Sans correctifs de sécurité, les serveurs sous Windows Server 2003 demeurent des cibles idéales. A cela s’ajoute également les très sérieux problèmes de conformité.
Dans un rapport publié en février 2015, IDC notait ainsi que « l’absence d’OS à jour et supporté posait des problèmes importants en matière de mise en conformité aux lois en place et empêchait les entreprises de répondre positivement aux besoins des directions métiers, des partenaires et des clients ». Par exemple, les entreprises, dont les activités reposent sur le paiement par cartes de crédit, peuvent ne plus être conformes à la norme PCI DSS 3.0
Si les départements IT ont eu des années pour migrer vers de nouvelles plateformes, l’enjeu a surtout été d’identifier quelle place occupait Windows Server 2003, soutient Tony Lock, analyste principal chez Freeform Dynamics. « De nombreuses entreprises n’ont tout simplement pas d’inventaire à jour. La première chose à faire est aujourd’hui de se lancer dans une recherche rapide, même incomplète, des machines qui tournent encore sous Windows Server 2003. Il existe nombre d’outils d’inventaire qui permettent de le faire », affirme-t-il.
Logiquement, des spécialistes de la sécurité se sont mis à développer des outils pour sécuriser l’OS dont le support était arrivé en fin de vie et donner une réponse aux coûts très élevés pratiqués par Microsoft dans le cadre d’un contrat de support personnalisé. TripWire, par exemple, a publié un outil qui permet d’identifier les faiblesses de l’OS. SecureCheq pour Windows Server 2003 passe en revue les 20 failles les plus connues de Windows Server 2003 ainsi que les mauvaises configurations les plus problématiques.
« Des mesures peuvent aujourd’hui être prises pour renforcer ses systèmes et réduire leur surface d’attaque », soutient Ken Westin, analyste en sécurité chez Tripwire. « Cela vise à compliquer la tâche des attaquants qui ciblent les machines Win 2003, même avec des failles de type zero-day. »
Isoler et sécuriser les serveurs Windows 2003
Après avoir identifié les mauvaises configurations, les entreprises ont aussi la possibilité de mettre de côté le système Windows Server 2003 pour l’isoler d’Internet. Elles peuvent également limiter l’usage des serveurs à une liste établie d’applications.
Pour Andrew Avanessian, vice-président Avecto, cette liste blanche d’applications doit permettre aux administrateurs système de maintenir une continuité d’activité lors de la ré-écriture et de la re-factorisation d’applications. « En attendant, limiter les droits administrateurs permettra aux administrateurs système d’ajuster cela à la main, tout en disposant des privilèges adéquats pour effectuer des correctifs, si nécessaire. »
Mais pour Karl Sigler, expert sécurité chez Trustware, cela va aussi au-delà de cet isolement. « Filtrer les exploits et les malwares fournit également une protection supplémentaire. Les gateways anti-malware peuvent filtrer les exploits avant même qu’ils n’atteignent les serveurs. Ce concept est connu sous le nom de « Virtual Patching ». En bloquant un exploit avec une gateway, vous êtes moins dépendants des correctifs physiques qui manqueront à Windows Server 2003. »
Deep Security de Trend Micro est justement un exemple de ce type de système. Il s’agit d’une plateforme de sécurité hébergée qui propose de nombreux points de contrôle via un agent unique.
Passer à la migration
Puis les entreprises doivent ensuite définir un plan stratégique pour Windows Server. Il existe plusieurs outils pour accompagner les départements IT à déplacer les paramètres et configurations d’un OS serveur à l’autre, comme dans le cadre d’une migration de Windows Server 2003 vers les versions 2008 ou 2012 R2 de l’OS.
L’autre option consiste également à déplacer certaines workloads dans le Cloud. En associant des outils de gestion Cloud à d’autres de migration, les entreprises peuvent rapidement et simplement migrer un serveur physique ou virtuel vers le Cloud, soutient Ian Finlay, COO d’Abiquo, un fournisseur de Cloud hybride.
« Les pare-feu conçus pour cibler les faiblesses de Windows Server 2003 peuvent ensuite être ajoutés à ces serveurs pour les protéger, tout en permettant aux entreprises d’avoir toujours accès à leurs données critiques », affirme-t-il.
Abiquo s’est récemment associé à Fusion Media Networks pour proposer un service de migration de serveurs sous Windows Server 2003 vers le Cloud, le présentant comme une étape intermédiaire vers une upgrade complète vers Windows Server 2012.
Traduit et adapté par la rédaction