email

Renforcement des serveurs Exchange

Voici comment atténuer les risques d’attaques ciblées sur les serveurs de messagerie de votre organisation.

Stan Kaminsky
13 Déc 2025

Peu d’experts en cybersécurité contesteraient le fait que les attaques contre les serveurs Microsoft Exchange doivent être considérées comme inévitables et que le risque de compromission reste constamment élevé. En octobre, Microsoft a mis fin au support d’Exchange Server 2019, faisant d’Exchange Server Subscription Edition (Exchange SE) la seule solution sur site prise en charge pour 2026. Malgré cela, de nombreuses organisations continuent d’utiliser Exchange Server 2016, 2013 et même des versions encore plus anciennes.

Pour les cybercriminels, Exchange est une cible irrésistible. Sa popularité, sa complexité, la multitude de paramètres disponibles et, surtout, son accessibilité depuis des réseaux externes le rendent vulnérable à un large éventail d’attaques :

Infiltration des boîtes de messagerie via des attaques par pulvérisation de mots de passe ou spearphishing
Compromission de compte via des protocoles d’authentification obsolètes
Vol d’emails spécifiques par l’injection de règles de flux de messagerie malveillantes via Exchange Web Services
Détournement des jetons d’authentification des employés ou falsification de messages en exploitant les failles de l’infrastructure de traitement des emails Exchange
Exploitation des vulnérabilités Exchange en vue d’exécuter un code arbitraire (déploiement de shells Web) sur le serveur
Mouvement latéral et compromission du serveur, où le serveur Exchange devient un point d’ancrage pour la reconnaissance du réseau, l’hébergement de programmes malveillants et la tunnellisation du trafic
Exfiltration d’emails à long terme via des dispositifs spécialisés pour Exchange

Pour bien comprendre la complexité et la diversité des attaques Exchange, il est utile de passer en revue les recherches menées sur les menaces GhostContainer, Owowa, ProxyNotShell et PowerExchange.

Il est possible de compliquer la tâche des pirates informatiques qui chercheraient à compromettre Exchange et de réduire l’impact d’une attaque fructueuse, mais il faut pour cela mettre en œuvre toute une série de mesures, allant de simples modifications de configuration à des migrations laborieuses de protocoles d’authentification. Une analyse conjointe des mesures de défense prioritaires a récemment été publiée par le CISA, le Centre canadien pour la cybersécurité et d’autres organismes de réglementation en matière de cybersécurité. Alors, comment renforcer la sécurité de votre serveur Exchange sur site ?

Migration depuis les versions en fin de vie

Microsoft et le CISA recommandent tous deux de passer à Exchange SE afin de bénéficier à temps des mises à jour de sécurité. Pour les organisations incapables d’effectuer la transition immédiatement, un abonnement payant aux mises à jour de sécurité étendues (ESU) est disponible pour les versions 2016 et 2019. Microsoft souligne que la mise à niveau de 2016 ou 2019 vers Exchange SE est comparable en termes de complexité à l’installation d’une mise à jour cumulative standard.

Si, pour une raison quelconque, il est nécessaire de continuer à utiliser une version non prise en charge, celle-ci doit être complètement isolée des réseaux internes et externes. Tout le flux de messagerie doit être acheminé via une passerelle de sécurité spécialement configurée.

Mises à jour régulières

Microsoft publie deux mises à jour cumulatives (CU) par an, ainsi que des correctifs de sécurité mensuels. Une tâche essentielle pour les administrateurs Exchange consiste à mettre en place un processus permettant de déployer rapidement ces mises à jour, car les cybercriminels n’hésitent pas à exploiter les vulnérabilités connues. Vous pouvez suivre le calendrier de publication et le contenu de ces mises à jour sur la page officielle de Microsoft. Pour vérifier l’état de santé et le statut des mises à jour de votre installation Exchange, utilisez des outils comme SetupAssist et Exchange Health Checker.

Mesures d’atténuation d’urgence

Pour les vulnérabilités critiques activement exploitées, des conseils d’atténuation temporaires sont généralement publiés sur le blog Exchange et sur la page des mesures d’atténuation Exchange. Le service Emergency Mitigation (EM) doit être activé sur vos serveurs de messagerie Exchange. Le service EM se connecte automatiquement au service Office Config afin de télécharger et d’appliquer les règles d’atténuation prévues en cas de menaces urgentes. Ces mesures permettent de désactiver rapidement les services vulnérables et de bloquer les requêtes malveillantes à l’aide des règles de réécriture d’URL dans IIS.

Bases sécurisées

Il convient d’appliquer un ensemble uniforme de configurations optimisées pour les besoins de l’organisation non seulement aux serveurs Exchange, mais également aux clients de messagerie sur l’ensemble des plateformes et leurs systèmes d’exploitation sous-jacents.

Étant donné que les bases recommandées en matière de sécurité diffèrent selon les systèmes d’exploitation et les versions d’Exchange, le guide du CISA fait référence aux benchmarks CIS et aux instructions Microsoft, qui sont largement utilisés et disponibles gratuitement. Le dernier benchmark CIS a été créé pour Exchange 2019, mais il est également entièrement applicable à Exchange SE, car l’édition Subscription Edition actuelle est semblable à Exchange Server 2019 CU15 pour ce qui est des options configurables.

Solutions de sécurité spécialisées

Une erreur critique commise par de nombreuses organisations consiste à ne pas installer d’agents EDR et EPP sur leurs serveurs Exchange. Pour empêcher l’exploitation des vulnérabilités et l’exécution de shells Web, le serveur doit être protégé par une solution de sécurité comme Kaspersky Endpoint Detection and Response. Exchange Server s’intègre à l’interface AMSI (Antimalware Scan Interface), qui permet aux outils de sécurité de traiter efficacement les événements côté serveur.

La mise sur liste d’autorisation des applications peut considérablement entraver les tentatives des pirates visant à exploiter les vulnérabilités d’Exchange. Cette fonctionnalité est intégrée par défaut dans la plupart des solutions EPP avancées. Toutefois, si vous devez la mettre en œuvre à l’aide d’outils Windows natifs, vous pouvez restreindre les applications non fiables via App Control for Business ou AppLocker.

Pour protéger les employés et leurs machines, le serveur doit utiliser une solution du type Kaspersky Security for Mail Server afin de filtrer le trafic de messagerie. Cela répond à plusieurs défis pour lesquels la version sur site d’Exchange, en configuration standard, ne dispose pas des outils nécessaires, comme l’authentification de l’expéditeur via les protocoles SPF, DKIM et DMARC, ou la protection contre le spam sophistiqué et le phishing ciblé.

Si, pour une raison quelconque, un EDR complet n’est pas déployé sur le serveur, il est essentiel d’activer au moins l’antivirus par défaut et de s’assurer que la règle ASR (Attack Surface Reduction) « Bloquer la création de webshells pour les serveurs » est activée.

Pour éviter toute dégradation des performances du serveur lors de l’exécution de l’antivirus par défaut, Microsoft recommande d’exclure certains fichiers et dossiers des analyses.

Limitation de l’accès administratif

Les pirates informatiques élèvent souvent leurs privilèges en abusant de l’accès au Centre d’administration Exchange (EAC) et à la commande à distance PowerShell. Les meilleures pratiques recommandent de rendre ces outils accessibles uniquement à partir d’un nombre fixe de postes de travail à accès privilégié (PAW). Cette mesure peut être appliquée via les règles de pare-feu sur les serveurs Exchange eux-mêmes ou à l’aide d’un pare-feu. Les règles d’accès client intégrées à Exchange peuvent également offrir une utilité limitée dans ce scénario, mais elles ne peuvent pas contrer les abus de PowerShell.

Adoption de Kerberos et SMB au lieu de NTLM

Microsoft supprime progressivement les anciens protocoles réseau et d’authentification. Les installations Windows modernes désactivent les protocoles SMBv1 et NTLMv1 par défaut, et les versions futures devraient désactiver le protocole NTLMv2. À partir d’Exchange SE CU1, le protocole NTLMv2 sera remplacé par Kerberos, mis en œuvre à l’aide de MAPI sur HTTP, comme protocole d’authentification par défaut.

Les équipes informatiques et de sécurité se doivent de procéder à un audit approfondi de l’utilisation des protocoles hérités au sein de leur infrastructure et d’élaborer un plan de migration vers des méthodes d’authentification modernes et plus sécurisées.

Méthodes d’authentification modernes

À partir d’Exchange 2019 CU13, les clients peuvent combiner le protocole OAuth 2.0, une authentification à plusieurs facteurs et le service ADFS pour renforcer l’authentification serveur. Ce modèle est appelé « authentification moderne » ou « Modern Auth » en abrégé. De cette manière, un utilisateur ne peut accéder à une boîte aux lettres qu’après avoir réussi l’authentification à plusieurs facteurs via ADFS, le serveur Exchange recevant alors un jeton d’accès valide du serveur ADFS. Une fois que tous les utilisateurs ont migré vers Modern Auth, l’authentification de base doit être désactivée sur le serveur Exchange.

Activation de la protection étendue

La protection étendue (EP) offre une protection contre les attaques par relais NTLM, les attaques de type « Adversary-in-the-Middle » et autres techniques similaires. Elle renforce la sécurité du protocole TLS en utilisant un jeton de liaison de canal (CBT). Si un pirate vole des identifiants ou un jeton et tente de les utiliser dans une autre session TLS, le serveur met fin à la connexion. Pour activer la protection étendue, tous les serveurs Exchange doivent être configurés pour utiliser la même version du protocole TLS.

La protection étendue est activée par défaut sur les nouvelles installations de serveur à partir d’Exchange 2019 CU14.

Versions sécurisées du protocole TLS

L’ensemble de l’infrastructure serveur, y compris tous les serveurs Exchange, doit être configuré pour utiliser la même version du protocole TLS : 1.2 ou, idéalement, 1.3. Microsoft fournit des conseils détaillés sur la configuration optimale et les vérifications préalables nécessaires. Vous pouvez utiliser le script Health Checker pour vérifier l’exactitude et l’uniformité de ces paramètres.

HSTS

Pour vous assurer que toutes les connexions sont protégées par le protocole TLS, vous devez également configurer le protocole HTTP Strict Transport Security (HSTS). Cette mesure permet de prévenir certaines attaques AitM. Une fois que vous aurez configuré Exchange Server conformément aux recommandations de Microsoft, toutes les connexions à Outlook sur le Web (OWA) et au Centre d’administration Exchange seront chiffrées.

Téléchargement de domaines

La fonctionnalité Téléchargement de domaines offre une protection contre certaines attaques de falsification de requêtes intersites et le vol de cookies en transférant les téléchargements de pièces jointes vers un domaine autre que celui qui héberge Outlook sur le Web de l’organisation. Cela sépare le chargement de l’interface utilisateur et de la liste des messages du téléchargement des pièces jointes.

Modèle d’administration basé sur les rôles

Exchange Server met en œuvre un modèle de contrôle d’accès basé sur les rôles (RBAC) pour les utilisateurs privilégiés et les administrateurs. Le CISA constate que les comptes disposant de privilèges d’administrateur AD sont souvent également utilisés pour gérer Exchange. Dans une telle configuration, une compromission du serveur Exchange entraîne immédiatement une compromission de l’ensemble du domaine. Il est donc essentiel d’utiliser des autorisations séparées et le modèle RBAC pour séparer la gestion d’Exchange des autres privilèges administratifs. Cette mesure permet de réduire le nombre d’utilisateurs et d’administrateurs disposant de privilèges trop élevés.

Signature de flux PowerShell

Les administrateurs utilisent fréquemment des scripts PowerShell appelés cmdlets pour modifier les paramètres et gérer les serveurs Exchange via Exchange Management Shell (EMS). L’accès à distance à PowerShell devrait de préférence être désactivé. Lorsque cette option est activée, les flux de données de commande envoyés au serveur doivent être protégés par des certificats. À partir de novembre 2023, ce paramètre sera activé par défaut pour Exchange 2013, 2016 et 2019.

Protection des en-têtes des messages électroniques

En novembre 2024, Microsoft a introduit une protection renforcée contre les attaques consistant à falsifier les en-têtes P2 FROM des emails, qui donnaient l’impression aux victimes que les messages provenaient d’un expéditeur de confiance. Les nouvelles règles de détection signalent désormais les emails dont les en-têtes sont susceptibles d’avoir été manipulés. Les administrateurs ne doivent pas désactiver cette protection et sont invités à transmettre les emails suspects comportant l’en-tête X-MS-Exchange-P2FromRegexMatch aux experts en sécurité pour une analyse plus approfondie.

Les botnets sur roues : le piratage massif des caméras de bord

Des chercheurs ont découvert comment se connecter en quelques secondes à la caméra de bord (ou « dashcam ») d’un tiers et l’utiliser comme vecteur pour de futures attaques.

Conseils

Vulnérabilité Pixnapping : captures d’écran impossibles à bloquer sur votre téléphone Android

Pixnapping est une vulnérabilité Android découverte par des chercheurs. Elle permet à des applications de voler des mots de passe, des codes à usage unique et d’autres informations confidentielles à partir de l’écran sans aucune autorisation spéciale du système d’exploitation. En quoi consiste cette vulnérabilité et que pouvez-vous faire pour vous en protéger ?

Extorsion de fonds : comment les escrocs utilisent le chantage

Vous avez reçu un email à caractère menaçant. Que faites-vous ensuite ?

Hacking Black Friday : utiliser les modèles LLM pour faire des économies lors des soldes de fin d’année

Nous partons à la recherche des bonnes affaires d’une nouvelle façon : avec l’IA comme alliée. Lisez cet article pour découvrir des exemples de prompts efficaces.

Confidentialité sur les réseaux sociaux en 2025 : ce que vous devez savoir

Quels réseaux sociaux se contentent principalement d’afficher vos publications à vos amis, et lesquels les utilisent pour l’entraînement de l’IA et le ciblage publicitaire ? Nous examinons le classement 2025 des plateformes de réseaux sociaux populaires sur le plan de la confidentialité.

Protection des enfants