Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Projet Springfield : Microsoft veut aider les développeurs à détecter les bogues de sécurité
En recourant au cloud et à l'intelligence artificielle

Le , par Coriolan

41PARTAGES

5  0 
Microsoft a rendu disponible à ses clients l’un des outils les plus sophistiqués pour la détection de vulnérabilités potentielles de sécurité dans des produits comme Windows, Office et autres. Cette nouvelle offre au nom de code Project Springfield a été décrite comme le détecteur de bogues a un million de dollars. La raison de cette dénomination revient au fait que la détection de bogues avant le lancement de logiciels pour le grand public permet de faire d’énormes économies, en évitant au développeur d’émettre des patchs de sécurité une fois le produit est lancé. Pour des produits largement utilisés comme un système d’exploitation ou une suite de logiciels de productivité, le déploiement de ces correctifs de sécurité peut coûter jusqu’à un million de dollars.

Microsoft a donné un aperçu du Projet Springfield durant sa conférence de technologie Ignite à Atlanta. La firme avait auparavant testé le nouveau service cloud de sécurité avec un nombre restreint de clients et collaborateurs utilisant des logiciels à une échelle moins importante que Windows et Office. Microsoft elle-même avait utilisé une composante centrale du Projet Springfield appelée SAGE depuis la moitié des années 2000, dans le but de tester des produits incluant Windows 7 avant leur lancement. Bien que le code de Windows 7 avait déjà été analysé par d’autres outils de sécurité similaires, SAGE a réussi à trouver des vulnérabilités additionnels, en fait il a dégagé un tiers des bogues trouvés par ce genre de test de sécurité, appelé le fuzz testing.

La manière avec laquelle marche le fuzz testing consiste à bombarder le logiciel d’entrées aléatoires afin de chercher les instances qui mènent à son crash. Ces dernières signalent la présence d’une vulnérabilité de sécurité. Le Projet Springfield s’appuie sur ce principe dans ce qu’il appelle le “white box fuzz testing” ; il exploite l’intelligence artificielle afin d'émettre une série de questions et prendre des décisions sophistiquées sur ce qui pourrait causer un crash et signaler le problème de sécurité. De cette façon, il peut trouver des vulnérabilités que les autres outils de fuzz testing ratent, a expliqué la firme.

En combinant cette technologie avec un tableau de bord simple à utiliser et la plateforme cloud Azure de Microsoft, les utilisateurs peuvent exécuter des tests de sécurité à grand volume pour leurs logiciels d’entreprise. Cette entrée de la firme de Redmond dans le fuzz testing est appréciée, a estimé Amy DeMartine, analyste principale chez Forrester Research, « considérant le fait que Microsoft produit des logiciels affectant des millions d’utilisateurs. » Mais elle a rappelé que le fuzz testing a des limites. Quelques vulnérabilités peuvent ne pas être déclenchées par l’entrée et de là contourner la détection. « Ces outils doivent s’exécuter rapidement et s’intégrer avec les outils de développeur en continu afin que les équipes de développement puissent les utiliser avec succès. »

Avec le lancement du Projet Springfield, Microsoft continue à déployer ses efforts en termes de sécurité. Durant mars dernier, la firme avait présenté le service Windows Defender Advanced Threat Protection, destiné à exploiter l’apprentissage machine afin d’améliorer la détection d’attaques réelles sur Windows 10, au lieu des vulnérabilités.

Windows constitue l’un des OS les plus ciblés par les cyberattaques et doit recourir constamment à des correctifs de sécurité. Microsoft attribue cela à la popularité et à la part de marché énorme du système d’exploitation ; mais des experts de sécurité blâment encore le géant du logiciel pour son recours à d’anciens API Windows, dont quelques-uns qui précèdent la mise en place des normes de sécurité modernes.

Source : Blog Microsoft - WSJ

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Forum Sécurité

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de NSKis
En attente de confirmation mail https://www.developpez.com
Le 29/09/2016 à 12:20
Microsoft qui se propose d'aider à préserver la sécurité de nos données???

C'est un peu comme un braqueur de banque professionnel qui vient expliquer au banquier comme sécuriser son coffre, non?
2  0 
Avatar de Vulcania
Membre éclairé https://www.developpez.com
Le 29/09/2016 à 9:09
Si on utilise cet outil sur windows vista, ça invoque cthulhu ?
1  0 
Avatar de MagnusMoi
Membre confirmé https://www.developpez.com
Le 29/09/2016 à 13:53
Citation Envoyé par NSKis Voir le message
Microsoft qui se propose d'aider à préserver la sécurité de nos données???

C'est un peu comme un braqueur de banque professionnel qui vient expliquer au banquier comme sécuriser son coffre, non?
Parfaitement !
Mais d'un autre côté, les braqueurs qui se mettent à aider les "gentils" en mode repenti c'est culturellement ancrée chez les américains des états unies
(voir la série "White collar" tirée d'une histoire vrai, ou "attrape moi si tu peux" ...)
0  0 
Avatar de sami_c
Membre averti https://www.developpez.com
Le 29/09/2016 à 18:50
Je me demande comment serait windows si µ$ n'avait pas utilisé son super outil de détection de bugs
0  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 29/09/2016 à 14:02
Citation Envoyé par Coriolan Voir le message
Windows constitue l’un des OS les plus ciblés par les cyberattaques et doit recourir constamment à des correctifs de sécurité. Microsoft attribue cela à la popularité et à la part de marché énorme du système d’exploitation
En voilà une qu'elle est bonne. C'est sûr que mieux vaut regarder le verre à moitié plein plutôt qu'à moitié vide quand on veut se faire de la pub. Moi je vais faire un nouveau projet, avec un code tout pourri, je vais appâter du monde pour qu'ils viennent ouvrir des tickets pour dire ce qui va pas, et je vais faire passer les nombreux tickets pour la popularité du logiciel.

J'ai rien contre l'optimisme, mais faut pas non plus que ça devienne du narcissisme.
0  1