La deuxième chaîne de télévision publique fédérale, ZDF, dénombre 60 000 serveurs vulnérables sur le territoire allemand et note que quoique 35 000 aient reçu une mise à jour de sécurité Windows, cela ne devrait pas suffire à résoudre une situation jugée « extrêmement critique » par de nombreux experts depuis plusieurs années. Elle révèle aussi que les attaques sont organisées: « actuellement, 10 organisations criminelles utilisent les failles des systèmes pour leurs attaques » indique en ce sens Michael Dwucet du BSI, cité par ZDF.

Début mars, jugeant la menace extrêmement critique et estimant que des dizaines de milliers de serveurs Exchange en Allemagne pouvaient être attaqués via Internet ou étaient « très probablement déjà infectés par des logiciels malveillants » le BSI a directement informé plus de 9 000 entreprises dont les serveurs étaient affectés et leur a recommandé des contre-mesures fait savoir ZDF, qui souligne aussi que « le nombre réel de systèmes vulnérables en Allemagne est probablement beaucoup plus élevé ».

Face à ce constat « désastreux », Peter Welchering, journaliste pour ZDF, cherche à expliquer les raisons de cette situation.

1. Il relève tout d’abord la situation exceptionnelle due à la pandémie : « en raison de la pandémie, de nombreuses entreprises ont mis leurs serveurs Exchange directement à disposition », explique Robert Formanek du BSI. Ce faisant, l'une ou l'autre des protections prévues par la société elle-même a été abandonnée et donc les serveurs Exchange sont devenus la cible d'attaques » écrit le journaliste.
    
2. Il met aussi en cause le trop peu de temps investi par les administrateurs de systèmes et cite ainsi Manuel Atug du groupe d’experts AG-Kritis, spécialisé dans l’amélioration de la sécurité et de la résilience de l’infrastructure IT : « combler les vulnérabilités, appliquer les mises à jour et maintenir les systèmes à jour coûte de l'argent, mais il n'y a aucune incitation pour le faire ».
    
3. Enfin, pour ZDF, les institutions publiques ont aussi failli, n’exerçant pas assez de pression sur les développeurs de logiciels. En Allemagne, ce sont près de 40 institutions publiques qui sont compétentes en matière de sécurité informatique et qui agissent « souvent en concurrence les unes des autres » explique ZDF. Manuel Atug, parle ainsi d'un « canevas de diffusion de la responsabilité », qui limite la responsabilité des fabricants de logiciels.

Source : Peter Welchering, 13/03/2021, www.zdf.de