Microsoft a rendu disponible à ses clients l’un des outils les plus sophistiqués pour la détection de vulnérabilités potentielles de sécurité dans des produits comme Windows, Office et autres. Cette nouvelle offre au nom de code Project Springfield a été décrite comme le détecteur de bogues a un million de dollars. La raison de cette dénomination revient au fait que la détection de bogues avant le lancement de logiciels pour le grand public permet de faire d’énormes économies, en évitant au développeur d’émettre des patchs de sécurité une fois le produit est lancé. Pour des produits largement utilisés comme un système d’exploitation ou une suite de logiciels de productivité, le déploiement de ces correctifs de sécurité peut coûter jusqu’à un million de dollars.Microsoft a donné un aperçu du Projet Springfield durant sa conférence de technologie Ignite à Atlanta. La firme avait auparavant testé le nouveau service cloud de sécurité avec un nombre restreint de clients et collaborateurs utilisant des logiciels à une échelle moins importante que Windows et Office. Microsoft elle-même avait utilisé une composante centrale du Projet Springfield appelée SAGE depuis la moitié des années 2000, dans le but de tester des produits incluant Windows 7 avant leur lancement. Bien que le code de Windows 7 avait déjà été analysé par d’autres outils de sécurité similaires, SAGE a réussi à trouver des vulnérabilités additionnels, en fait il a dégagé un tiers des bogues trouvés par ce genre de test de sécurité, appelé le fuzz testing.
La manière avec laquelle marche le fuzz testing consiste à bombarder le logiciel d’entrées aléatoires afin de chercher les instances qui mènent à son crash. Ces dernières signalent la présence d’une vulnérabilité de sécurité. Le Projet Springfield s’appuie sur ce principe dans ce qu’il appelle le “white box fuzz testing” ; il exploite l’intelligence artificielle afin d'émettre une série de questions et prendre des décisions sophistiquées sur ce qui pourrait causer un crash et signaler le problème de sécurité. De cette façon, il peut trouver des vulnérabilités que les autres outils de fuzz testing ratent, a expliqué la firme.
En combinant cette technologie avec un tableau de bord simple à utiliser et la plateforme cloud Azure de Microsoft, les utilisateurs peuvent exécuter des tests de sécurité à grand volume pour leurs logiciels d’entreprise. Cette entrée de la firme de Redmond dans le fuzz testing est appréciée, a estimé Amy DeMartine, analyste principale chez Forrester Research, « considérant le fait que Microsoft produit des logiciels affectant des millions d’utilisateurs. » Mais elle a rappelé que le fuzz testing a des limites. Quelques vulnérabilités peuvent ne pas être déclenchées par l’entrée et de là contourner la détection. « Ces outils doivent s’exécuter rapidement et s’intégrer avec les outils de développeur en continu afin que les équipes de développement puissent les utiliser avec succès. »
Avec le lancement du Projet Springfield, Microsoft continue à déployer ses efforts en termes de sécurité. Durant mars dernier, la firme avait présenté le service Windows Defender Advanced Threat Protection, destiné à exploiter l’apprentissage machine afin d’améliorer la détection d’attaques réelles sur Windows 10, au lieu des vulnérabilités.
Windows constitue l’un des OS les plus ciblés par les cyberattaques et doit recourir constamment à des correctifs de sécurité. Microsoft attribue cela à la popularité et à la part de marché énorme du système d’exploitation ; mais des experts de sécurité blâment encore le géant du logiciel pour son recours à d’anciens API Windows, dont quelques-uns qui précèdent la mise en place des normes de sécurité modernes.
Source : Blog Microsoft - WSJ
Et vous ?
Qu'en pensez-vous ?Voir aussi :
Forum Sécurité 
Envoyé par NSKis
