L'équipe Microsoft Racing pour attraper les bugs avant qu'ils ne surviennent

L’équipe Microsoft Racing pour attraper les bugs avant qu’ils ne surviennent

Comme une ruée des cybercriminels, des pirates informatiques et des escrocs soutenus par l’État continuent d’inonder la zone d’attaques numériques et de campagnes agressives dans le monde entier, il n’est pas surprenant que le fabricant du système d’exploitation Windows omniprésent se concentre sur la défense de la sécurité. Publications de la mise à jour Patch Tuesday de Microsoft fréquemment contiennent des correctifs pour les vulnérabilités critiques, y compris celles qui sont activement exploité par des attaquants dans le monde.

L’entreprise dispose déjà de la groupes d’accessoires pour chasser les faiblesses de son code («l’équipe rouge») et développer des atténuations («l’équipe bleue»). Mais récemment, ce format a de nouveau évolué pour promouvoir davantage de collaboration et de travail interdisciplinaire dans l’espoir de détecter encore plus d’erreurs et de défauts avant des choses commencer à spirale. Connu sous le nom de Microsoft Offensive Research & Security Engineering, ou morsele département combine l’équipe rouge, l’équipe bleue et la soi-disant équipe verte, qui se concentre sur la recherche de défauts ou la prise de faiblesses que l’équipe rouge a trouvées et les corrige de manière plus systémique en modifiant la façon dont les choses sont faites au sein d’une organisation.

“Les gens sont convaincus que vous ne pouvez pas aller de l’avant sans investir dans la sécurité”, déclare David Weston, vice-président de la sécurité des entreprises et des systèmes d’exploitation de Microsoft, qui travaille dans l’entreprise depuis 10 ans. « Je suis en sécurité depuis très longtemps. Pendant la majeure partie de ma carrière, nous avons été considérés comme ennuyeux. Maintenant, si quoi que ce soit, les dirigeants viennent me voir et me disent : ‘Dave, est-ce que je vais bien ? Avons-nous fait tout ce que nous pouvions ? Cela a été un changement important.”

Morse s’est efforcé de promouvoir des pratiques de codage sûres au sein de Microsoft afin que moins de bogues se retrouvent dans les logiciels de l’entreprise en premier lieu. OneFuzz, un framework de test Azure open source, permet aux développeurs Microsoft d’être constamment, automatiquement, en train de bombarder leur code avec toutes sortes de cas d’utilisation inhabituels pour découvrir des défauts qui ne seraient pas perceptibles si le logiciel n’était utilisé que comme prévu.

L’équipe combinée a également été à l’avant-garde de la promotion de l’utilisation de langages de programmation plus sûrs (comme Rust) dans toute l’entreprise. Et ils ont préconisé d’intégrer des outils d’analyse de sécurité directement dans le véritable compilateur logiciel utilisé dans le flux de production de l’entreprise. Ce changement a eu un impact, dit Weston, car cela signifie que les développeurs ne font pas d’analyse hypothétique dans un environnement simulé où certains bogues pourraient être négligés à une étape retirée de la production réelle.

L’équipe Morse affirme que le passage à une sécurité proactive a conduit à de réels progrès. Dans un exemple récent, les membres de Morse contrôlaient des logiciels historiques, une partie importante du travail du groupe, car une grande partie de la base de code Windows avait été développée avant ces examens de sécurité étendus. En examinant comment Microsoft avait implémenté Transport Layer Security 1.3, le protocole cryptographique fondamental utilisé sur des réseaux comme Internet pour une communication sécurisée, Morse a découvert un bogue exploitable à distance qui aurait pu permettre aux attaquants d’accéder aux appareils des cibles.

Comme Mitch Adair, principal responsable de la sécurité chez Microsoft pour la sécurité dans le cloud, Mets-le: “Cela aurait été aussi mauvais que possible. TLS est utilisé pour sécuriser essentiellement chaque produit de service utilisé par Microsoft.

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *