Si vous travaillez dans une grande entreprise, alors il y a de fortes chances pour que vous utilisiez le logiciel Outlook relié à un serveur Microsoft Exchange. Et si la direction technique n'est pas très réactive, alors il y a aussi des chances pour que vous soyez en train d'utiliser une version bientôt obsolète.
Microsoft Exchange, c'est le serveur qui permet de synchroniser les emails, les contacts ou encore les calendriers au travers de Microsoft Outlook dans une entreprise. En dehors de celle-ci, en télétravail par exemple, il est parfois possible d'accéder à sa messagerie via OWA ou Outlook Web Access.
Et c'est précisément en scannant les instances d'OWA que le cabinet de sécurité Rapid7 a fait ces découvertes. Selon les experts, il y aurait encore à ce jour plus de 139 000 serveurs reposant sur Microsoft Exchange 2010. Pourtant, dans une dizaine de jours, Microsoft arrêtera son support officiel.
Microsoft a déjà repoussé l'échéance
N'espérez pas une période de grâce, Microsoft l'a déjà fournie. Initialement, c'est en janvier de cette année que l'éditeur aurait dû cesser totalement la prise en charge d'Exchange 2010.
En septembre 2019, la firme de Redmond expliquait vouloir donner un peu de répit aux entreprises n'ayant pas effectué leur migration vers la version la plus récente de Microsoft Exchange (2019). Après le 13 octobre, les applications resteront fonctionnelles mais la société ne fournira plus aucun correctif de bug, ni aucun patch de sécurité. En outre, les fuseaux horaires ne seront plus mis à jour.
Les entreprises souhaitant conserver une solution de gestion locale sont invitées à adopter une version plus récente du serveur Exchange. Le support d'Exchange 2013 prendra fin en avril 2023 tandis que ceux d'Exchange 2016 et d'Exchange 2019 se terminera en octobre 2025.
De son côté, Microsoft encourage les entreprises à adopter sa solution hébergée Microsoft 365 fonctionnant sous la forme d'abonnements annuels. D'ailleurs, à l'avenir, l'éditeur ne proposera plus de licence permanente d'Exchange.
139 711 serveurs à risque
The Register, qui rapporte l'information, explique que Rapid7 a identifié près de 54 000 serveurs n'ayant appliqué aucune mise à jour au cours des six dernières années. 16 577 serveurs proposaient même encore Outlook Web Access en version 2007, dont le support de Microsoft s'est achevé il y a trois ans.
Ironiquement, l'un des arguments avancés par les entreprises refusant de passer à une solution entièrement hébergée comme celles de Google Suite ou de Microsoft 365 est la possibilité d'avoir la mainmise sur l'hébergement des données sensibles. Cependant, si aucune mise à jour n'est effectuée sur les serveurs de l'entreprise, une personne malintentionnée peut plus facilement prendre le contrôle de ces données.
Source : The Register