Comme une ruée des cybercriminels, des pirates informatiques et des escrocs soutenus par l’État continuent d’inonder la zone d’attaques numériques et de campagnes agressives dans le monde entier, il n’est pas surprenant que le fabricant du système d’exploitation Windows omniprésent se concentre sur la défense de la sécurité. Les mises à jour de Microsoft Patch Tuesday contiennent fréquemment des correctifs pour les vulnérabilités critiques, y compris celles qui sont activement exploitées par des attaquants dans le monde.
L’entreprise dispose déjà des groupes nécessaires pour rechercher les faiblesses de son code («l’équipe rouge») et développer des mesures d’atténuation («l’équipe bleue»). Mais récemment, ce format a de nouveau évolué pour promouvoir davantage de collaboration et de travail interdisciplinaire dans l’espoir de attraper encore plus d’erreurs et de défauts avant que les choses ne commencent à s’envenimer. Connu sous le nom de Microsoft Offensive Research & Security Engineering, ou Morse, le département combine l’équipe rouge, l’équipe bleue et la soi-disant équipe verte, qui se concentre sur la recherche de défauts ou la prise en compte des faiblesses. L’équipe rouge les a trouvés et les a corrigés de manière plus systématique en modifiant la façon dont les choses se font au sein d’une organisation.
« Les gens sont convaincus qu’il est impossible d’aller de l’avant sans investir dans la sécurité », déclare David Weston, vice-président de la sécurité des entreprises et des systèmes d’exploitation chez Microsoft, qui travaille dans l’entreprise depuis 10 ans. « Je suis en sécurité depuis très longtemps. Pendant la majeure partie de ma carrière, nous avons été considérés comme ennuyeux. Maintenant, si quoi que ce soit, les dirigeants viennent me voir et me disent : ‘Dave, est-ce que je vais bien ? Avons-nous fait tout ce que nous pouvions ? Cela a été un changement important.
Morse s’est efforcé de promouvoir des pratiques de codage sûres au sein de Microsoft afin que moins de bogues se retrouvent dans les logiciels de l’entreprise en premier lieu. OneFuzz, un framework de test Azure open source, permet aux développeurs Microsoft d’être constamment, automatiquement, en train de bombarder leur code avec toutes sortes de cas d’utilisation inhabituels pour découvrir des défauts qui ne seraient pas perceptibles si le logiciel n’était utilisé que comme prévu.
L’équipe combinée a également été à l’avant-garde de la promotion de l’utilisation de langages de programmation plus sûrs (comme Rust) dans toute l’entreprise. Et ils ont préconisé d’intégrer des outils d’analyse de sécurité directement dans le véritable compilateur logiciel utilisé dans le flux de production de l’entreprise. Ce changement a eu un impact, dit Weston, car cela signifie que les développeurs ne font pas d’analyse hypothétique dans un environnement simulé où certains bogues pourraient être négligés à une étape retirée de la production réelle.
L’équipe Morse affirme que le passage à une sécurité proactive a conduit à de réels progrès. Dans un exemple récent, les membres de Morse contrôlaient des logiciels historiques, une partie importante du travail du groupe, car une grande partie de la base de code Windows avait été développée avant ces examens de sécurité étendus. En examinant comment Microsoft avait implémenté Transport Layer Security 1.3, le protocole cryptographique fondamental utilisé sur des réseaux comme Internet pour une communication sécurisée, Morse a découvert un bogue exploitable à distance qui aurait pu permettre aux attaquants d’accéder aux appareils des cibles.
Comme l’a dit Mitch Adair, principal responsable de la sécurité chez Microsoft pour Cloud Security : « Cela aurait été aussi mauvais que possible. TLS est utilisé pour sécuriser pratiquement tous les produits de service utilisés par Microsoft.
