511 000 Serveurs windows obsolètes exposés aux hackers dans le monde
Une cartographie réalisée par des chercheurs britanniques vient de mettre un chiffre brutal sur ce que la communauté de la cybersécurité redoutait depuis des mois : 511 000 serveurs web Windows en fin de vie tournent encore sur internet, offerts à quiconque sait où chercher. Et les chercheurs, justement, ont su chercher.
Une surface d'attaque que personne ne voulait vraiment mesurer
La fondation ShadowServer, à l'origine de ce travail de cartographie, a publié les résultats sur sa propre plateforme. Ce qui frappe d'emblée, c'est moins le chiffre total que ce qu'il cache : parmi ces demi-million de machines, 227 000 ne bénéficient même plus des mises à jour de sécurité étendues — les ESU, le dernier filet de sécurité que Microsoft tend aux entreprises qui refusent de migrer. Ces serveurs-là sont, techniquement, abandonnés.
Pour comprendre ce que cela représente concrètement, il faut rappeler ce qu'est un serveur IIS — Internet Information Services. C'est le logiciel Microsoft qui transforme une machine en serveur web : il héberge des sites, des applications métier, des systèmes de paie, des outils de communication interne. Il écoute tout ce qui entre et sort d'un réseau. Laisser un IIS sans correctifs de sécurité, c'est laisser la porte d'entrée d'une entreprise entière équipée d'une serrure dont les doubles circulent librement sur les marchés souterrains.
Les états-unis en tête, l'europe pas loin derrière
Aucun pays n'est épargné, mais la concentration géographique est parlante. Les États-Unis concentrent à eux seuls un cinquième de l'ensemble de ces serveurs obsolètes — de loin la première nation exposée. En Europe, la répartition suit logiquement le poids économique des pays : France avec 15 122 serveurs concernés, Allemagne à 14 570, Italie à 10 448, Espagne à 6 317.
Ce n'est pas une coïncidence. Les grandes économies ont déployé davantage d'infrastructure numérique, souvent à une époque où Windows Server 2008 ou 2012 représentaient l'état de l'art. Migrer ces systèmes coûte cher, prend du temps, et perturbe des processus métier entiers. Alors on repousse. Et on repousse encore. Jusqu'à ce qu'une cartographie publique rappelle que le problème, lui, ne repousse pas.
Ce qu'un attaquant peut faire une fois à l'intérieur
Un serveur IIS compromis n'est pas une fin en soi pour un cybercriminel — c'est un point de départ. Depuis cette tête de pont, il peut se déplacer latéralement dans le réseau de l'entreprise, escalader ses privilèges, identifier les systèmes sensibles. Les campagnes de ransomware les plus dévastatrices de ces dernières années ont presque toutes commencé par une entrée similaire : un service exposé, non patché, invisible aux équipes IT parce que personne n'avait pensé à l'inventorier.
L'exfiltration de données clients, le chiffrement de systèmes entiers contre rançon, les attaques par déni de service distribué — tout cela devient accessible à partir du moment où une machine non maintenue sert de passerelle. Et la particularité des serveurs IIS en fin de vie, c'est qu'ils sont indexables, détectables, cartographiables. Ce que ShadowServer a fait en quelques semaines, un groupe criminel organisé peut le faire en quelques heures.
Le problème structurel que cette carte révèle
Ce qui rend cette publication particulièrement inconfortable pour les équipes de sécurité, c'est qu'elle ne révèle pas une faille zero-day ou une attaque sophistiquée. Elle révèle de la négligence à grande échelle. Des décisions reportées. Des budgets de migration non alloués. Des serveurs oubliés dans des coins de datacenter que personne ne supervise plus vraiment.
Microsoft a pourtant été clair sur les dates de fin de support de ses systèmes. Les entreprises les connaissent. 511 000 serveurs toujours en ligne après ces échéances, c'est la preuve que la connaissance du risque ne suffit pas à le faire disparaître. La carte de ShadowServer ne fait que rendre visible ce que beaucoup préféraient laisser dans l'ombre.