Il y a 20 ans cette semaine, Bill Gates envoyait un e-mail désormais célèbre à tous les employés de Microsoft annonçant la création de l’initiative Trustworthy Computing (TwC). L’initiative visait à placer la sécurité des clients et, en fin de compte, la confiance des clients, au premier plan de tous les employés de Microsoft. La note de Gates a exhorté les équipes à fournir des produits « disponibles, fiables et sûrs en tant que services standard tels que l’électricité, les services d’eau et la téléphonie ».

La protection des clients est au cœur de la mission de Microsoft. Avec plus de 8 500 experts en sécurité Microsoft de 77 pays, des équipes dédiées, des centres d’opérations de sécurité 24h/24 et 7j/7 et des milliers de partenaires dans l’industrie, nous continuons d’apprendre et d’évoluer pour répondre à l’évolution du paysage mondial des menaces.

En 2003, nous avons consolidé notre processus de mise à jour de sécurité dans le premier Patch Tuesday pour offrir une plus grande prévisibilité et transparence aux clients. En 2008, nous avons publié le Security Development Lifecycle pour décrire l’approche de Microsoft en matière de sécurité et de confidentialité à toutes les étapes du processus de développement.

Bien sûr, l’initiative Trustworthy Computing ne serait pas ce qu’elle est aujourd’hui sans l’incroyable collaboration de l’industrie et de la communauté. En 2005, Microsoft a organisé sa première conférence sur la sécurité « Blue Hat », au cours de laquelle nous avons invité des chercheurs externes en sécurité à parler directement avec les dirigeants et ingénieurs de Microsoft derrière les produits qu’ils recherchaient.

Aujourd’hui, le Microsoft Security Response Center (MSRC) travaille avec des milliers de chercheurs et de professionnels de la sécurité internes et externes pour résoudre rapidement les vulnérabilités de sécurité dans les produits commercialisés. Au cours des 20 dernières années, MSRC a évalué plus de 70 000 cas de vulnérabilité de sécurité potentiels partagés par des milliers de chercheurs externes en sécurité et de partenaires industriels via la divulgation coordonnée des vulnérabilités (CVD), depuis lors, nous avons émis plus de 7 600 CVE pour assurer la sécurité des clients.

Depuis 2011 avec le premier Bluehat Award, nous avons attribué plus de 40 millions de dollars via le programme Microsoft Bug Bounty pour reconnaître ces partenariats vitaux avec la communauté mondiale de la recherche en sécurité dans plus de 60 pays.

Le parcours de sécurité qui a commencé avec TwC a impliqué plusieurs milliers de personnes chez Microsoft et dans l’industrie. Pour célébrer 20 ans d’engagement, de partenariat et d’apprentissage de la sécurité des clients, nous partageons les réflexions et les histoires de certains de ces employés, partenaires industriels, experts et associés qui ont contribué à rendre ce voyage possible.

—Aanchal Gupta, vice-président du centre de réponse de sécurité Microsoft

La genèse de l’informatique de confiance

La genèse de l'informatique de confiance
© licdn.com

En 2001, un petit nombre d’entre nous « personnel de sécurité » a commencé à s’éloigner des « produits de sécurité » pour penser davantage à la « protection des fonctionnalités ». De nombreuses personnes considèrent la « sécurité » comme des produits de sécurité, tels que les anti-malware et les pare-feu. Mais ce n’est pas l’image complète. Sur le même sujet : Apple Seeds Première bêta de macOS Monterey 12.3 pour les développeurs. Nous avons formé une équipe appelée Secure Windows Initiative (SWI) et avons travaillé en étroite collaboration avec des équipes de développement individuelles pour mettre davantage l’accent sur la sécurisation de leurs fonctionnalités.

Cela a bien fonctionné, mais ce n’était tout simplement pas évolutif.

David LeBlanc et moi avons parlé de choses que nous avons trouvées en travaillant avec différentes équipes. Nous avons remarqué que les mêmes questions de sécurité au niveau du code nous ont été posées à maintes reprises. Nous avons donc décidé d’écrire un livre sur le sujet pour couvrir les bases afin que nous puissions nous concentrer sur les choses difficiles.

Ce livre était Écrire un code sécurisé.

En 2001, deux vers ont frappé les produits de Microsoft : CodeRed et Nimda. Ces deux vers ont amené certains clients à repenser leur utilisation des services d’information sur Internet. De nombreuses leçons de cet épisode sont entrées dans notre livre et l’ont amélioré. Les vers ont également amené l’équipe du compilateur C ++ à réfléchir à la manière d’ajouter automatiquement plus de défenses au code compilé. Microsoft Research a commencé à travailler sur des outils d’analyse pour trouver des bogues de sécurité. Je pouvais sentir un changement dans l’entreprise.

En octobre, l’équipe de sécurité .NET m’a demandé d’examiner certains bogues de sécurité qu’ils avaient trouvés. En raison de l’importance de ces découvertes, nous avons décidé de suspendre le développement, de fournir à chacun les dernières formations en matière de sécurité et de rechercher d’autres bogues de sécurité. Une partie de mon travail consistait à former le personnel technique et à trier les bogues au fur et à mesure qu’ils arrivaient. Nous avons corrigé des bogues et ajouté des défenses supplémentaires à .NET et ASP.NET. Cet événement était connu sous le nom de « .NET Security Stand Down ».

Vers la fin du Stand Down, j’ai entendu dire que Craig Mundie (qui a dit à Bill) travaillait sur « quelque chose » pour faire avancer l’entreprise dans une direction plus axée sur la sécurité. A l’époque, c’est tout ce que je savais.

En décembre 2001, l’écriture de code sécurisé est enfin arrivée et on m’a demandé de me présenter à une réunion de deux heures avec Bill Gates pour expliquer les nuances des vulnérabilités de sécurité. À la fin de la réunion, je lui ai donné un exemplaire de Writing Secure Code. Le lundi suivant, il m’a envoyé un e-mail pour me dire qu’il avait lu le livre et qu’il l’avait aimé. Quelques jours plus tard, Craig Mundie a partagé ce à quoi il avait pensé. Il souhaitait que l’entreprise se concentre sur la sécurité, la confidentialité, la fiabilité et les pratiques commerciales. Ceux-ci sont devenus les quatre piliers de l’informatique de confiance. Bill a été vendu dessus et tout cela a conduit au désormais célèbre mémo BillG Trustworthy Computing de janvier 2002.

—Michael Howard, conseiller principal principal en cybersécurité

Lire aussi

L’évolution du cycle de vie du développement de la sécurité

L'évolution du cycle de vie du développement de la sécurité
© jaguarpc.com

Le cycle de vie du développement de la sécurité (SDL) a maintenant environ 20 ans et a considérablement évolué depuis sa création avec Windows. Lorsque nous avons commencé à déployer SDL sur tous les produits, nous avons souvent été critiqués par les équipes pour être trop centrés sur Windows. Sur le même sujet : Chevalier de la Lune contre. The Batman est la première vraie bataille entre Marvel et DC de 2022. Ainsi, la première étape consistait à rendre le SDL applicable à toutes les équipes, en gardant l’objectif de conception d’un SDL mais en comprenant que les exigences varieraient en fonction des caractéristiques et des types de produits. Nous avons partagé nos expériences et rendu le SDL public, suivi de la publication des outils que nous avons développés, notamment Threat Modeling Tool, Attack Surface Analyzer (ASA) et DevSkim (les deux derniers que nous avons publiés sur GitHub en tant que projets Open Source).

Alors que Microsoft commençait à adopter des méthodologies de développement agiles et à développer son activité dans le cloud, SDL a dû évoluer pour adopter ce nouvel environnement et ce nouveau paradigme. Cela a entraîné des changements majeurs dans les principaux fondements de SDL, tels que la barre de bogues, notre approche de la modélisation des menaces et la manière dont les outils sont intégrés dans les environnements de conception. Cela a également présenté de nouveaux défis en adhérant au principe SDL unique, en réalisant que les environnements cloud sont très différents des logiciels sur site que nous livrons traditionnellement aux clients.

Nous avons adopté de nouvelles technologies telles que l’IoT et apporté d’autres ajustements au SDL pour gérer les systèmes d’exploitation non Windows tels que Linux et macOS. Un grand changement a été l’adoption par Microsoft de l’Open Source, qui a étendu le besoin de couverture SDL à de nombreux environnements de développement, langages et plates-formes différents. Plus récemment, nous avons intégré un nouveau contenu SDL pour couvrir le développement de solutions d’intelligence artificielle et d’apprentissage automatique qui apportent un ensemble entièrement nouveau de vecteurs d’attaque.

SDL a évolué et s’est adapté au cours des 20 dernières années mais reste, comme toujours, un SDL.

—Mark Cartwright, responsable du programme du groupe de sécurité

Sécurité Windows

J’ai commencé ma carrière Microsoft en tant que testeur de stylet Windows lors de l’une des premières versions à implémenter pleinement SDL. J’apprécie cette expérience. Chaque jour, j’avais l’impression d’être à la pointe de la sécurité. Nous avions un groupe incroyable de personnes, des testeurs de stylos superstars aux développeurs superstars, travaillant tous ensemble pour mettre en œuvre un processus de sécurité pour l’un des plus grands produits de sécurité au monde. Sur le même sujet : Fusée SpaceX Falcon 9 repérée depuis l’espace avant et après le lancement épique de 105 satellites (images). Ce fut une période passionnante et l’une des premières fois que j’ai vu une équipe véritablement interdisciplinaire d’ingénieurs en sécurité, de développeurs et de chefs de produit travailler ensemble vers un objectif commun. Cela a laissé une impression durable et puissante sur moi personnellement et sur la culture de sécurité de Windows.

Pour moi, la principale leçon tirée de Trustworthy Computing est qu’une bonne sécurité est un sous-produit d’une bonne conception. Dans ma vision naïve avant cette expérience, je supposais que la meilleure façon d’assurer la sécurité d’un produit était de continuer à embaucher des ingénieurs de sécurité jusqu’à ce que la sécurité s’améliore. En réalité, une telle approche n’est pas possible. Il n’y aura jamais assez d’évolutivité avec les ingénieurs en sécurité, et en termes simples, une bonne sécurité nécessite des compétences en ingénierie que les tests d’intrusion ne suffisent pas à eux seuls.

—David Weston, directeur associé de la sécurité du système d’exploitation et de l’entreprise

Un secteur en constante évolution

L’industrie de la sécurité est incroyable car elle ne cesse de changer. A voir aussi : L’activité Oculus VR de Facebook a été sondée par les États-Unis. Ce qui est encore plus surprenant pour moi, c’est que les philosophies fondamentales de l’initiative Trustworthy Computing sont restées vraies, même pendant 20 ans de changements radicaux.

Les compilateurs en sont un excellent exemple.

Au début de l’initiative Trustworthy Computing, Microsoft et l’ensemble du secteur de la sécurité ont exploré des fonctionnalités révolutionnaires pour la protection contre le débordement de la mémoire tampon, notamment StackGuard, ProPolice et l’indicateur / GS dans Microsoft Visual Studio. Avec l’évolution des attaques, les principes directeurs de Trustworthy Computing ont conduit Microsoft à faire évoluer en permanence les briques fondamentales des logiciels sécurisés : Data Execution Protection (DEP), Address Space Layout Randomization (ASLR), Control-flow Enforcement Technology (CET) pour défendre contre la programmation orientée retour (ROP) et les protections d’exécution spéculative, pour n’en nommer que quelques-unes.

En compilant simplement le logiciel avec quelques options, les développeurs de tous les jours pourraient se protéger contre des classes entières d’exploits. Matt Miller offre un aperçu fascinant de cette histoire dans son discours BlueHat Israël.

À un niveau supérieur, l’une des choses que j’ai été le plus heureux de voir changer est l’évolution de l’absolutisme de la sécurité.

En 2001, il y avait beaucoup d’énergie derrière les « 10 lois immuables de la sécurité », y compris plusieurs variantes de « Si un attaquant peut exécuter un programme sur votre ordinateur, ce n’est plus votre ordinateur ».

Le monde réel, il s’avère, est des nuances de gris. Le paysage a évolué et le jeu n’est pas terminé tant que les défenseurs ne l’ont pas dit.

Nous avons une industrie riche qui innove continuellement dans la journalisation, l’audit, l’analyse médico-légale, la réponse aux incidents et nous avons développé nos stratégies pour inclure Assume Breach, Defense in Depth, « Impose Cost » et plus encore. Par exemple : à mesure que les environnements d’exécution dynamiques sont arrivés à maturité (PowerShell, Python, C #), ceux qui ont évolué à l’ère du Trustworthy Computing sont devenus d’excellents exemples de logiciels faisant activement pencher la balance en faveur des défenseurs.

Bien que vous ne puissiez peut-être pas empêcher toutes les attaques, vous pouvez certainement faire regretter aux attaquants d’utiliser certains outils et de regretter d’atterrir sur vos systèmes. Pour un excellent aperçu du parcours PowerShell, consultez Défense contre les attaques PowerShell : l’équipe PowerShell.

Lorsque nous avons lancé l’effort Trustworthy Computing, nous n’aurions jamais pu imaginer la complexité des attaques que l’industrie repousserait en 2022, ni l’incroyable capacité des Blue Teams à s’en défendre. Mais en affinant et en améliorant constamment la sécurité à mesure que les menaces évoluent, le monde est beaucoup plus sûr aujourd’hui qu’il ne l’était il y a 20 ans.

—Lee Holmes, architecte de sécurité principal, Azure Security

Le nuage est né

L’initiative TWC et le SDL qu’elle a créé ont reconnu que la sécurité est un pilier essentiel pour gagner et conserver la confiance des clients. Ceci pourrait vous intéresser : NFT : 4 éléments essentiels pour le piratage et le droit d’auteur pour les acheteurs et les vendeurs. Elle doit donc être intégrée à l’ensemble du développement de produits Microsoft.

Depuis sa création, cependant, le logiciel a évolué à partir des packages physiques que Microsoft propose aux clients pour l’installation, la configuration et la protection, pour inclure désormais des services cloud que Microsoft distribue et exploite entièrement pour le compte des clients. La responsabilité de Microsoft envers ses clients comprend désormais non seulement le développement de logiciels sécurisés, mais également leur exploitation en toute sécurité.

Cela s’étend également à la garantie que les services et les pratiques opérationnelles respectent les promesses de confidentialité des clients et les réglementations gouvernementales en matière de confidentialité.

Dès le départ, Microsoft Azure a tiré parti de la structure SDL et des principes de Trustworthy Computing pour intégrer ces aspects supplémentaires de la sécurité et de la confidentialité des logiciels. La mise en place de ces fondations signifiait qu’au lieu de partir de zéro, nous pouvions améliorer et étendre les outils et les processus qui étaient déjà disponibles pour les logiciels de produits en conserve. Des outils et des processus tels que la modélisation des menaces et l’analyse statique et dynamique ont été incroyablement utiles jusqu’à des scénarios cloud tels que la multilocation hostile et DevOps.

Lors de la création, de la validation et de l’affinement, nous et d’autres équipes de services cloud Microsoft avons contribué au SDL et aux outils, notamment en publiant nombre d’entre eux pour que nos clients puissent les utiliser. Ce n’est pas un euphémisme de dire que la sécurité et la confidentialité de Microsoft Azure remontent directement au lancement de l’initiative TWC il y a 20 ans.

Le cloud évolue constamment avec l’ajout de nouvelles architectures d’applications, de nouveaux modèles de programmation, de contrôles de sécurité et de technologies telles que l’informatique confidentielle. Les outils d’analyse statique comme CodeQL fournissent de meilleures détections et les contrôles de pipeline CI/CD comme CredScan aident à prévenir des formes entièrement nouvelles de vulnérabilités spécifiques au service.

Dans le même temps, le paysage des menaces continue de se complexifier. Les logiciels qui ne suivent pas nécessairement les processus SDL constituent désormais un élément essentiel de la chaîne d’approvisionnement de chaque entreprise.

Tout comme SDL est aujourd’hui beaucoup plus sophistiqué et englobe bien plus d’aspects du cycle de vie des logiciels qu’il y a 20 ans, Microsoft continuera d’investir dans SDL pour faire face au cycle de vie des logiciels et aux menaces de demain.

—Mark Russinovich, directeur de la technologie et membre technique, Microsoft Azure

Une extraordinaire communauté de chercheurs

L’introduction de l’initiative Trustworthy Computing a coïncidé avec mes premières incursions sérieuses dans la recherche sur la sécurité Windows. Pour cette raison, il a défini ma façon de voir les problèmes et les défis de la sécurité de l’information, non seulement sur Windows mais dans l’ensemble de l’industrie. Lire aussi : Ericsson poursuit à nouveau Apple pour une licence de brevet 5G. Beaucoup de choses que je tiens pour acquises, telles que les pratiques de développement axées sur la sécurité ou les mises à jour automatiques, ont reçu un nouvel élan par rapport aux attentes établies il y a 20 ans.

Le fait que je sois toujours un chercheur en sécurité Windows après tout ce temps pourrait vous donner l’impression que l’initiative TwC a échoué, mais je pense que c’est une caractérisation injuste. Les défis de la sécurité de l’information n’ont pas été statiques parce que l’industrie informatique n’a pas été statique. Peu de gens auraient imaginé à quel point l’informatique serait omniprésente dans nos vies, et chaque terminal connecté peut poser un risque de sécurité supplémentaire.

Pour chaque amélioration de la sécurité apportée par un produit, il y a généralement une augmentation correspondante de la complexité du système qui ajoute une surface d’attaque supplémentaire. Trouver des bogues exploitables est beaucoup plus difficile pour l’OMI qu’il y a 20 ans, mais il y a plus d’endroits où chercher. Aucune initiative n’est susceptible de pouvoir supprimer tous les bogues de sécurité d’un produit, du moins pas dans quelque chose d’assez complexe.

Je pense que l’héritage durable de l’initiative TwC n’est pas qu’elle a abouti à une utopie de sécurité maximale, des nouvelles régulières montrent clairement que nous n’en sommes pas encore là. Au lieu de cela, il a mis la sécurité au premier plan, lui permettant de devenir un citoyen de premier ordre dans l’industrie qui définit le 21e siècle.

—James Forshaw, premier gagnant du Bluehat Mitigation Bounty

Ce que j’ai appris sur les renseignements sur les menaces grâce à Trustworthy Computing

J’ai passé 10 ans chez Microsoft en Trustworthy Computing (TwC). Je me souviens avoir été à la réunion avec Bill Gates où nous avons parlé de la nécessité d’une note de sécurité. De l’arrêt de la sécurité Windows à XP SP2, en passant par la création du cycle de vie du développement de la sécurité et son intégration dans chaque produit, en passant par la rencontre de chercheurs en sécurité du monde entier et l’apprentissage de leur génie et de leur passion, l’initiative Trustworthy Computing a façonné toute ma carrière. Un aspect de la sécurité qui m’a accompagné jusqu’à présent concerne les attaques qui ont lieu. A voir aussi : Un résident local partage ses difficultés avec la santé mentale, y compris les détails de la maltraitance infantile. Passer du temps à trouver et à corriger les bogues de sécurité mène au monde des exploits zero-day et aux attaquants derrière eux. Aujourd’hui, je dirige le Microsoft Threat Intelligence Center (MSTIC) et notre objectif est de découvrir les attaques d’acteurs du monde entier et ce que nous pouvons faire pour en protéger les clients.

Une chose que j’ai retenue de mon passage chez TwC, c’est l’importance de la communauté. Aucune entreprise ou organisation ne peut le faire seule. Cela est certainement vrai dans le renseignement sur les menaces. Nous semblons souvent entendre parler d’attaques en tant que secteur, mais défendez-vous. Pourtant, lorsque les défenseurs travaillent ensemble, quelque chose d’extraordinaire se produit. Nous contribuons à notre compréhension d’une attaque de nos points de vue respectifs et le tableau devient soudain plus clair. Les chercheurs apportent de nouvelles techniques d’attaque à MITRE ATT & CK en renforçant notre compréhension collective. Ils publient les détections sous forme de règles Sigma et Yara, rendant la connaissance exécutable. Les analystes peuvent créer des blocs-notes Jupyter afin que leur analyse d’expert devienne reproductible par d’autres défenseurs. Une approche communautaire peut accélérer tous les défenseurs.

Alors qu’une grande partie de mon travail chez TwC s’est concentré sur Microsoft et la conception de nos produits et services, les attaques d’aujourd’hui placent vraiment les clients et les autres défenseurs au centre. La défense est une mission mondiale et je suis enthousiaste et confiant dans l’opportunité de travailler sur les problèmes les plus difficiles d’aujourd’hui avec les défenseurs du monde.

—John Lambert, ingénieur distingué, Microsoft Threat Intelligence Center

En savoir plus

Pour en savoir plus sur les solutions de sécurité Microsoft, visitez notre site Web Ajoutez le blog de sécurité à vos favoris pour vous tenir au courant de notre couverture d’experts en sécurité. Suivez-nous également sur @MSFTSecurity pour les dernières nouvelles et mises à jour sur la cybersécurité. Sur le même sujet : Craignant que les pourboires ne se perdent, le shérif arrête de commenter sur Facebook.