Microsoft logo on building

Les cyber-agences produisent les meilleures pratiques « attendues depuis longtemps » pour sécuriser Microsoft Exchange Server

Lucas Morel

Les meilleures pratiques mettent l’accent sur le renforcement de l’authentification et de l’accès des utilisateurs, sur la garantie d’un cryptage réseau fort et sur la minimisation des surfaces d’attaque des applications.

Les cyberagences de trois pays, dont les États-Unis, ont publié une liste de bonnes pratiques de sécurité pour protéger Microsoft Exchange Server, un vénérable serveur de messagerie sur site auquel de nombreux services informatiques s’accrochent encore.

L’avis, également approuvé par l’Australie et le Canada, arrive à point nommé : les acteurs malveillants continuent de détecter des failles dans Exchange Server, et de nombreuses attaques ont réussi en raison d’installations anciennes ou mal configurées. Par exemple, l’Office allemand pour la sécurité de l’information estime que neuf serveurs Exchange sur dix dans ce pays exécutent toujours des versions obsolètes du logiciel.

Même les environnements Exchange hybrides ne sont pas exempts de vulnérabilités. En août, Microsoft a publié des conseils sur une faille de haute gravité (CVE-2025-53786) dans les déploiements mixtes sur site et Exchange Online. Il permet à un acteur menaçant disposant d’un accès administrateur au serveur local d’élever ses privilèges. Cet avis était une mise à jour d’un correctif publié en avril.

Également en août, des chercheurs de Positive Technologies ont mis en garde contre la découverte d’enregistreurs de frappe injectés dans les pages d’authentification Exchange. Environ 65 victimes ont été identifiées dans 26 pays.

Les lecteurs se rappelleront peut-être également que l’une des plus grandes séries d’attaques sur Exchange Server s’est produite en janvier 2021, après que quatre exploits zero-day ont été exploités, principalement par un gang baptisé Hafnium. Selon une estimation, environ 30 000 clients aux États-Unis ont été touchés et 250 000 dans le monde.

Exchange sur site prévaut toujours dans certains environnements

Bien que de nombreux services informatiques se tournent vers des fournisseurs de messagerie basés sur le cloud, certaines entreprises et certains ministères conservent toujours leurs serveurs Exchange sur site, soit parce qu’ils n’ont pas les budgets nécessaires pour s’éloigner de l’infrastructure existante, soit parce qu’ils pensent qu’un contrôle pratique leur offre une meilleure sécurité.

Cependant, les organisations disposant de serveurs Exchange non protégés ou mal configurés restent exposées à un risque élevé de compromission alors que les activités de menace persistent, ciblant les serveurs Exchange vulnérables, y compris les versions qui ont atteint leur fin de vie, indique l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) dans son introduction au guide.

Les meilleures pratiques mettent l’accent sur le renforcement de l’authentification et de l’accès des utilisateurs, sur la garantie d’un cryptage réseau fort et sur la minimisation des surfaces d’attaque des applications. Les organisations qui les mettent bien en œuvre peuvent réduire considérablement leurs risques liés aux cybermenaces, affirme la CISA.

Le document n’est pas un guide de durcissement exhaustif ; La surveillance active des compromissions et la planification des incidents potentiels et de la récupération sont des domaines tout aussi importants sur lesquels les administrateurs Exchange doivent se concentrer, explique la CISA.

Robert Beggs, directeur de la société canadienne de réponse aux incidents DigitalDefence, a qualifié les lignes directrices sur les meilleures pratiques de « attendues depuis longtemps ».

Malgré le fait qu’Exchange soit une « cible particulièrement juteuse », avec des e-mails stockés contenant des informations professionnelles et personnelles sensibles, et parfois même des mots de passe, son entreprise a découvert « des erreurs de configuration importantes dans chaque implémentation du serveur Exchange que nous avons testée ».

Beggs a ajouté que les serveurs Exchange manquent souvent de contrôles de sécurité de l’infrastructure, de surveillance/journalisation, de solutions de sécurité des points finaux ou même de logiciels antivirus, car les utilisateurs pensent que cela interfère avec les opérations de messagerie.

La guidance

Les directives stipulent que les administrateurs doivent traiter les serveurs Exchange sur site comme étant « sous une menace imminente » et détaillent les pratiques clés pour les administrateurs :

  • Premièrement, note-t-il, « la défense la plus efficace contre l’exploitation consiste à s’assurer que tous les serveurs Exchange exécutent la dernière version et la mise à jour cumulative (CU) » ;
  • Il souligne que Microsoft Exchange Server Subscription Edition (SE) est la seule version sur site d’Exchange prise en charge, depuis que Microsoft a mis fin à la prise en charge des versions précédentes le 14 octobre 2025 ;
  • Il exhorte les administrateurs à garantir que le service d’atténuation d’urgence de Microsoft reste activé pour la fourniture de mesures d’atténuation provisoires ;
  • Il exhorte les administrateurs à établir une base de sécurité pour Exchange Server, les clients de messagerie et Windows. Le maintien d’une base de référence en matière de sécurité permet aux administrateurs d’identifier les systèmes non conformes et ceux dont les configurations de sécurité sont incorrectes, ainsi que d’effectuer des mesures correctives rapides qui réduisent la surface d’attaque disponible pour un adversaire ;
  • Il conseille aux administrateurs d’activer la protection intégrée telle que l’antivirus Microsoft Defender et d’autres fonctionnalités Windows s’ils n’utilisent pas de logiciel de sécurité tiers. Application Control pour Windows (App Control for Business et AppLocker) est une fonctionnalité de sécurité importante qui renforce la sécurité des serveurs Exchange en contrôlant l’exécution du contenu exécutable, ajoute le conseil ;
  • Il exhorte les administrateurs à s’assurer que seuls les postes de travail administratifs dédiés et autorisés soient autorisés à accéder aux environnements administratifs Exchange, y compris via PowerShell distant ;
  • Il indique aux administrateurs de veiller à renforcer l’authentification et le cryptage pour la vérification de l’identité ;
  • Il conseille de configurer la protection étendue (EP) avec des paramètres TLS et des configurations NTLM cohérents. Ceux-ci permettent à EP de fonctionner correctement sur plusieurs serveurs Exchange ;
  • Il conseille aux administrateurs de s’assurer que le paramètre par défaut de l’en-tête P2 FROM est activé, afin de détecter la manipulation et l’usurpation d’en-tête ;
  • Il indique que les administrateurs doivent activer HTTP Strict Transport Security (HSTS) pour forcer le chiffrement de toutes les connexions du navigateur avec HTTPS.

Étant donné le nombre d’options de configuration disponibles, il peut être difficile pour de nombreuses organisations de sélectionner la configuration de sécurité optimale pour leur organisation particulière au moment de l’installation, admet Beggs. Cela devient plus complexe, a-t-il déclaré, si les implémentations se produisent dans un modèle de services partagés où le serveur Exchange est hébergé dans le cloud et peut être configuré et maintenu par un tiers, et où la responsabilité d’une configuration sécurisée n’est pas claire.

« Un aspect peu reconnu de la configuration sécurisée d’Exchange est que l’application de correctifs et de mises à niveau du fournisseur peut réinitialiser ou modifier certaines informations de configuration de sécurité », a-t-il noté. Alors que les directives exhortent les administrateurs à « appliquer des lignes de base de sécurité », Beggs a déclaré qu’ils devraient vérifier que la bonne base de sécurité a été appliquée. Et, a-t-il ajouté, ils devraient revoir les paramètres de configuration au moins une fois par trimestre.

Beggs a ajouté que les instructions sont un document qui rappelle aux administrateurs qu’Exchange est un serveur et qu’il doit être considéré comme souffrant des mêmes risques et ayant les mêmes exigences de sécurité que tout autre serveur du réseau. « La sécurité doit être appliquée de manière cohérente à toutes les données, en particulier si l’on considère les données généralement présentes sur un serveur de messagerie », a-t-il déclaré.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Nikkei-Daten sur Slack-Konto eines Mitarbeiters geleakt
Nikkei-Daten sur Slack-Konto eines Mitarbeiters geleakt
Les packages NPM malveillants contiennent un voleur d'informations Vidar
Les packages NPM malveillants contiennent un voleur d’informations Vidar
Cloud strategy questions
Pourquoi les entreprises ne parviennent-elles pas à résoudre le problème de mauvaise configuration du cloud ?