Discussion :

[Michael Guilloux]

Des millions de sites web sont encore hébergés sur des machines exécutant Windows Server 2003
Rapporte Netcraft

L’année dernière, l'US-CERT a averti que les organisations qui exécutent des systèmes dont le support a été abandonné « sont exposées à un risque élevé aux dangers de la cybersécurité, tels que les attaques malveillantes ou la perte de données électroniques ». Toutefois, un mois après la fin du support de Windows Server 2003, de nombreuses organisations exécutent encore le système de Microsoft, malgré tous les appels à passer vers des versions plus récentes de Windows Server.

Les chiffres de l’enquête de Netcraft sur les serveurs web en juillet 2015 montrent en effet que 175 millions de sites web sont encore hébergés sur des machines exécutant le système qui n’est plus pris en charge par Microsoft depuis le 14 juillet 2015. Ce qui représente plus d’un cinquième des sites de l’enquête.

La société de services Internet a développé une technique qui lui a permis de trouver que ce sont plus de 600.000 ordinateurs uniques qui ont été utilisés comme des serveurs Web pour les 175 millions de sites qui fonctionnent avec Windows Server 2003. Ce chiffre correspond à plus de 10% de toutes les machines qui hébergent des sites web.

En ce qui concerne la localisation de ces installations de Windows Server 2003, Netcraft note que plus de la moitié des machines ont été repérées en Chine et aux Etats-Unis. Ces deux pays détiennent en effet 55% des ordinateurs dans le monde entier qui exécutent le système de Microsoft, avec 169.000 pour la Chine et 166.000 pour les USA. Netcraft précise encore qu’en Chine, plus de 24 000 de ces ordinateurs sont hébergés par Alibaba Group.

Parmi les entreprises qui sont exposées aux risques liés à Windows Server 2003, figure LivePerson, une société de technologie américaine qui développe des produits pour la messagerie en ligne, le marketing et l'analyse. La société est surtout connue comme le développeur de LiveEngage, une plateforme de messagerie qui permet aux entreprises de parler en temps réel avec les visiteurs sur des sites Web. D’autres sociétés telles que Natwest, ING Direct, et Panda Security sont également exposées à des risques avec la vieille version de Windows Server.

La fin du support de Windows Server 2003 n’a pas été accompagnée par des mesures pour permettre de manière exceptionnelle aux organisations de bénéficier de mises à jour de sécurité, ce qui signifie que toutes ces organisations citées s’exposent à des risques de sécurité importants. En outre, les entreprises qui exécutent ce système se livrent à d’éventuels problèmes juridiques. D’après Netcraft, ces dernières « sont susceptibles d’être non conformes et pourraient faire face à des amendes, des frais de transactions élevés, ou d’autres peines potentiellement désastreuses ».

Source : Netcraft

Et vous ?

Qu’en pensez-vous ?

[juju26]

Nous avons encore beaucoup de client qui sont sous 2003.. tout simplement parce-que cela fonctionne très bien et stable comparé à la version 2008 et encore pire à la version 2012... Après tout dépend des services installé sur ces machines. En extranet je ne le conseil pas mais en intranet pourquoi pas !

[imikado]

Une des mesures de sécurités préconisés lors des audits c'est de masquer les informations de serveur: os, serveur ainsi que leur version ...

[RyzenOC]

En outre, les entreprises qui exécutent ce système se livrent à d’éventuels problèmes juridiques. D’après Netcraft, ces dernières « sont susceptibles d’être non conformes et pourraient faire face à des amendes, des frais de transactions élevés, ou d’autres peines potentiellement désastreuses ».

J'ai pas compris, sa a un rapport avec l'utilisation de Windows Server 2003 ?

Si oui pourquoi ? c'est illégale d'utiliser un os plus supporté

[Daïmanu]

Il me semble que le responsable informatique est légalement responsable des données qu'il héberge. Du coup en cas il peut avoir des pépins avec la justice en cas d'attaque car il n'a pas assez sécurisé son infrastructure.
Mais je peux me tromper, si quelqu'un peut confirmer ou infirmer ?

[Marwindows]

@sazearte :

Je pense que l'article fait allusion au fait, que si jamais une entreprise se fait pirater un site Web, une Messagerie, ou tout autres choses susceptible d'être piratée, sur un serveur tournant sur Windows 2003 (visiblement d'après l'article non maintenu).
L'entreprise en question a la possibilité de se retourner contre son fournisseur, pour ne l'avoir pas fait monter en gamme.
D'ou l'évocation de problème juridique et de peine ...

[Marwindows]

Il me semble que le responsable informatique est légalement responsable des données qu'il héberge. Du coup en cas il peut avoir des pépins avec la justice en cas d'attaque car il n'a pas assez sécurisé son infrastructure.
Mais je peux me tromper, si quelqu'un peut confirmer ou infirmer ?

La responsabilité est selon le contexte :

Un développeur qui laisse une faille sur son site ....

Un admin sys, qui installe des outils vulnérables sur sa machine ...

Etc ...



Bref, l’hébergeur a théoriquement, une responsabilité, uniquement sur le périmètre non modifié qu'il couvre ...

[AoCannaille]

Pour moi cela vient des contrats avec les clients.Dans un contrat il y a en soit une obligation de moyen soit une obligation de résultat . En sécurité l'obligation de résultat est plutôt rare (dur dur de garantir une fiabilité absolue!). Mais même l'obligation de moyen qui "impose de déployer ses meilleurs efforts pour atteindre l'objectif visé". Etend donné qu'il est de notoriété publique que windows serveur n'est plus maintenu et que des failles existent, c'est de la responsabilité de la boite qui l'utilise si les données sont piratées : ils n'ont pas fournis les "meilleurs efforts".

[Marwindows]

Pour avoir bossé dans une boite d’hébergement, nous laissions la liberté au client de choisir son environnement.

Certaines solutions logiciels assez anciennes, qui ne sont malheureusement plus maintenu, force parfois le choix de certaines entreprises, à leurs propres risques.

J'ai souvenir d'avoir eu la demande d'installer une version PHP4, il y a moins d'un an ...

Le client est roi, le fournisseur ne peut pas faire plus que du conseil ...

[noOneIsInnocent]

on a fait migrer un client vers Windows 2008 R2 ..on a eu des plantages systèmes .... jusqu'à la mise à jour
Les éditeurs ont aussi leurs responsabilité: sécuriser l'OS au maximum ....

[AoCannaille]

on a fait migrer un client vers Windows 2008 R2 ..on a eu des plantages systèmes .... jusqu'à la mise à jour
Les éditeurs ont aussi leurs responsabilité: sécuriser l'OS au maximum ....

Tout à fait, en cas de problème l'hebergeur peut se retourner contre l'éditeur dans le cadre de procès éventuels.