Pourquoi Windows Server 2003 menace la sécurité du Web

Windows Server 2003 et son serveur Web associé, IIS 6, continuent à animer près d’un site Web sur cinq. Y compris au sein de grandes entreprises comme ING Direct ou les Caisses d’Epargne.

Mis à la retraite voici environ un mois, Windows Server 2003 continue à motoriser une part très significative des sites Web de la planète. Selon le dernier bilan mensuel de Netcraft – pour le mois de juillet -, plus de 600 000 serveurs Web – hébergeant des millions de sites – continuent à fonctionner sous l’OS dont le support étendu s’est éteint le 14 juillet dernier. Certes, l’usage de Windows Server 2003 est en constant recul depuis mi-2011 (voir ci-dessous), mais le système continue à faire fonctionner plus de 11 % des serveurs Web dans le monde.

Netcraft 1

La fin de support étendu pour Windows Server 2003 (dont la dernière mise à jour majeure – le SP2 – remonte à… 8 ans) signifie que Microsoft ne produira plus de correctifs de sécurité pour ce système. Exposant les serveurs concernés à des failles aisément exploitables par des pirates, même peu expérimentés. Or, comme le remarque Netcraft, les machines Windows Server 2003 disséminées sur le Web font encore tourner environ 175 millions de sites, soit environ un site sur cinq dans le monde ! La surface d’attaque est donc potentiellement considérable.

IIS 6, c’était il y a… 12 ans

Circonstance aggravante, note Netcraft, la plupart de ces sites (73 % exactement) reposent sur le serveur Web de Redmond IIS en version 6.0, celle livrée précisément avec Windows Server 2003… il y a 12 ans. Une version dont le niveau de sécurité est, là encore, totalement dépassé. Le premier éditeur mondial a réécrit totalement son serveur Web à l’occasion de la sortie de Windows Server 2008 (avec la version 7). Et la 11ème mouture de IIS est attendue avec la sortie de Windows Server 2016.

[Lire notre enquête : Windows Server 2003 : est-il trop tard pour migrer ?]

Netcraft remarque que 55 % des machines tournant encore sous l’OS mis à la retraite sont localisées en Chine et aux Etats-Unis. L’e-commerçant chinois Alibaba concentre ainsi à lui seul 24 000 machines, dont 7 500 pour sa division Cloud, Aliyun. Même remarque pour le service de chat commercial LivePerson, toujours utilisateur du couple Windows Server 2003 / IIS 6. Ca fait désordre.

Tout comme fait désordre l’utilisation du vieillissant IIS 6 par de grandes banques. Netcraft signale notamment les cas de ING Direct Espagne et des Caisses d’Epargne en France. Même si les serveurs Windows Server 2003, hébergeant IIS 6, sont ici en partie protégés par un dispositif de load balancing distribuant les requêtes entrantes (probablement des appliances F5 Big-IP renfermant un firewall applicatif permettant de vérifier la conformité du trafic, selon Netcraft). Aux Caisses d’Epargne, IIS héberge rien de moins que l’application de banque en ligne, selon le rapport de la société anglaise spécialisée dans l’analyse de la sécurité et des performances des sites Web…

A lire aussi :

Bientôt une nouvelle version de test pour Windows Server 2016
Windows Server 2003 : une fin de vie à 100 milliards de dollars
600 dollars par serveur : le prix en or massif du support prolongé de Windows Server 2003

Crédit photo : Dmitry Kalinovsky / Shutterstock