Malgré un bilan plutôt positif, le nombre global de failles de sécurité des produits et services Microsoft a quasiment triplé depuis 2016. Encore faut-il préciser qu’une grande partie de ce chiffre est issu des failles du vieux navigateur Internet Explorer et de Edge. Ce constat ne doit pas inciter les entreprises et institutions à baisser la garde.
« Les vulnérabilités de Windows Server ont diminué de 41% ; elles ont atteint leur plus bas niveau depuis 2018. Les vulnérabilités critiques de Windows Server ont également diminué de 50% l'an dernier, atteignant leur plus bas niveau depuis 2015 » déclare Matthieu Jouzel, ingénieur solutions de BeyondTrust, société américaine spécialiste de la gestion des identités et des accès. De fait, depuis 2001, quand le ver informatique Code Red exploitait une faille de sécurité du serveur Web IIS (Internet Information Services) de Microsoft, l’entreprise de Bill Gates a beaucoup amélioré la sécurité de ses produits et services. En témoigne la pléthore de corrections de bugs, dont IT SOCIAL se fait l’écho regulièrement.
Le rapport 2022 sur les vulnérabilités de Microsoft publié par BeyondTrust propose une vision plutôt rassurante sur la sécurité des produits de la firme de Seattle mais les mises en garde et la prudence s'imposent. Depuis la première publication du rapport, il y a neuf ans, le nombre total de vulnérabilités signalées dans les produits et plateformes Microsoft a diminué de 5 %. C’est peu.
Dans un monde globalisé, profondément modifié par l'apparition de la pandémie du Covid, l’année 2020 a constitué un pic pour la découverte de failles de sécurité. Un léger reflux est constaté en 2021 par tous les éditeurs de logiciels et fournisseurs de solutions cloud.
L’élévation de privilèges : en tête des vulnérabilités constatées
Ce type de faille permet à un attaquant de s’attribuer des droits d’accès élevés pour accéder au SI d’une organisation de travail. Selon BeyondTrust, l’élévation de privilèges est pour la 2ème année consécutive, le type de vulnérabilité le plus courante, soit 49% du nombre global de failles en 2021. Cette vulnérabilité a remplacé le RCE (Remote Code Exécution), à savoir l’exécution de code à distance qui prédominait de 2013 à 2019. Selon BeyondTrust, les risques dus aux vulnérabilités pourraient largement être atténués pour les trois-quarts d’entre eux en réduisant drastiquement les droits d’accès.
En bref, la sécurisation accrue des produits et services Microsoft a complexifié la tâches des pirates qui doivent désormais exploiter plusieurs vulnérabilités à la fois mais avec une diminution des risques globaux pour les victimes.
Dans tous les cas, la protection contre le vol d’identités, les mots de passe soutirés par phishing et autres menaces ne peut reposer sur une confiance totale envers les utilisateurs et outils numérique. Les entreprises et institutions doivent respecter les bonnes pratiques de sécurité, suivre les standards de conformité et envisager de contracter une cyberassurance.