Microsoft revoit sa sécurité logicielle après des attaques majeures sur le cloud Azure

Microsoft a connu quelques années difficiles en matière d’incidents de cybersécurité. Il s’est retrouvé au centre de l’attaque SolarWinds il y a près de trois ans, l’une des attaques de cybersécurité les plus sophistiquées jamais vues. Ensuite, 30 000 serveurs de messagerie d’organisations ont été piratés en 2021 grâce à une faille de Microsoft Exchange Server. Comme si cela ne suffisait pas déjà, des pirates chinois ont piraté les courriels du gouvernement américain via un exploit du cloud Microsoft plus tôt cette année.

Microsoft annonce maintenant un énorme effort de cybersécurité, baptisé Secure Future Initiative (SFI). Cette nouvelle approche est conçue pour changer la façon dont Microsoft conçoit, construit, teste et exploite ses logiciels et services. Il s’agit du plus grand changement dans les efforts de sécurité au sein de Microsoft depuis que la société a annoncé son cycle de développement de sécurité (SDL) en 2004 après que Windows XP ait été victime d’une énorme attaque de ver Blaster qui a mis les PC hors ligne en 2003. Cette poussée est intervenue deux ans seulement après que le co-fondateur Bill Gates avait fait appel à une initiative informatique fiable dans une note interne.

Microsoft prévoit désormais d’utiliser l’automatisation et l’IA lors du développement de logiciels pour améliorer la sécurité de ses services cloud, réduire le temps nécessaire à la correction des vulnérabilités du cloud, permettre de meilleurs paramètres de sécurité dès le départ et renforcer son infrastructure pour se protéger contre les clés de chiffrement qui tombent dans le cloud. entre de mauvaises mains.

Dans une note interne adressée aujourd’hui aux équipes d’ingénierie de Microsoft, la direction de l’entreprise a présenté sa nouvelle approche en matière de cybersécurité. Cela survient quelques mois seulement après que Microsoft a été accusé de pratiques de cybersécurité manifestement négligentes liées à une violation majeure ciblant sa plate-forme Azure. Microsoft a fait face à des critiques croissantes concernant sa gestion de divers problèmes de cybersécurité ces dernières années.

Satya Nadella, Rajesh Jha, Scott Guthrie et moi-même avons longuement réfléchi à la manière dont nous devrions répondre aux menaces de plus en plus sophistiquées, explique Charlie Bell, responsable de la sécurité de Microsoft, dans une note interne distribuée aujourd’hui. À cette fin, nous nous sommes engagés à réaliser trois avancées techniques spécifiques dans le cadre de notre démarche visant à améliorer continuellement la sécurité intégrée de nos produits et plateformes. Ces avancées constituent ce que l’on appelle la Secure Future Initiative. Collectivement, ils améliorent la sécurité des clients à court terme et contre les menaces dont nous savons qu’elles augmenteront à l’horizon.

Le premier grand changement concerne la manière dont Microsoft développe ses logiciels. L’entreprise s’appuiera sur davantage d’automatisation et d’IA pour détecter les risques et vulnérabilités de sécurité. Cela inclut l’exploitation de CodeQL, le moteur d’analyse de code GitHubs, pour automatiser les contrôles de sécurité pendant le développement. Notre objectif est d’accélérer le déploiement de CodeQL intégré aux apprentissages GitHub Copilot, déclare Bell. Nous utiliserons CodeQL pour effectuer une analyse de code statique et dynamique, aidant ainsi nos équipes à trouver et à corriger les bogues dans notre code à la vitesse et à l’échelle de l’IA.

Cette poussée de l’IA en faveur de la sécurité ne se limitera pas non plus au développement de logiciels chez Microsoft. En tant qu’entreprise, nous nous engageons à construire un cyber-bouclier basé sur l’IA qui protégera les clients et les pays du monde entier, explique Brad Smith, vice-président et président de Microsoft, dans un article de blog publié aujourd’hui. L’IA change la donne. Alors que les auteurs de menaces cherchent à cacher leurs menaces comme une aiguille dans une vaste botte de foin de données, l’IA permet de plus en plus de trouver la bonne aiguille, même dans une mer d’aiguilles. Et couplés à un réseau mondial de centres de données, nous sommes déterminés à utiliser l’IA pour détecter les menaces à une vitesse aussi rapide que l’intérêt lui-même.

Une partie des critiques adressées à Microsoft ces derniers mois concernait le temps nécessaire à l’entreprise pour répondre aux failles de sécurité majeures. La société de cybersécurité Tenable a initialement découvert une faille Azure en mars, mais elle affirme qu’il a fallu plus de 90 jours à Microsoft pour mettre en œuvre un correctif partiel qui ne s’appliquait qu’aux nouvelles applications Azure.

Nous prévoyons de réduire de 50 % le temps nécessaire pour atténuer les vulnérabilités du cloud, indique Bell dans sa note. Nous sommes en mesure d’y parvenir grâce à nos investissements et à nos apprentissages dans les outils et processus d’automatisation, d’orchestration et basés sur l’intelligence. Quatre-vingt-dix jours est la fenêtre typique de l’industrie pour les correctifs de sécurité, donc si Microsoft peut réduire de manière fiable ce délai à 45 jours, alors c’est un bon début pour cette nouvelle initiative de sécurité.

Microsoft envisage également de renforcer les plateformes qui protègent ses clés de chiffrement. Des pirates chinois ont piraté les courriels du gouvernement américain après avoir volé des clés de signature qui leur ont permis d’accéder à des dizaines de boîtes de réception plus tôt cette année.

Pour garder une longueur d’avance sur les acteurs malveillants, nous déplaçons les plates-formes d’identité vers une infrastructure informatique confidentielle que nous avons aidé à mettre au point, explique Bell. Dans cette architecture, les données régissant les identités sont chiffrées non seulement au repos et en transit, mais également pendant les processus informatiques. Cela signifie que même si un attaquant parvient à contourner nos défenses en couches en ciblant les clés de chiffrement, les données clés sont conçues pour être inaccessibles dans les systèmes automatisés qui ne nécessitent pas de contact humain.

Microsoft se concentre également sur l’amélioration des paramètres de sécurité par défaut. Au cours de l’année prochaine, nous offrirons à nos clients des paramètres par défaut plus sécurisés pour l’authentification multifacteur (MFA) prêtes à l’emploi, déclare Smith. Cela étendra nos politiques par défaut actuelles à une gamme plus large de services clients, en mettant l’accent sur les domaines où les clients ont le plus besoin de cette protection.

En septembre, la société de recherche en cybersécurité Wiz a révélé que 38 To de données avaient été accidentellement exposées par des chercheurs de Microsoft AI grâce à une fonctionnalité Azure appelée jetons SAS. Les jetons de compte SAS sont extrêmement difficiles à gérer et à révoquer, ont déclaré les chercheurs de Wiz à l’époque. Microsoft ne mentionne pas spécifiquement les jetons SAS dans sa nouvelle initiative de sécurité, mais j’espère que c’est également quelque chose que l’entreprise envisage.

Bien qu’il s’agisse du plus grand engagement de Microsoft en matière de cybersécurité depuis plus d’une décennie, je sens également que l’entreprise est de plus en plus irritée par les attaques dont elle s’est retrouvée au centre. Nous devrions tous détester les efforts déterminés des États-nations qui cherchent à installer des logiciels malveillants ou à créer ou exploiter d’autres faiblesses en matière de cybersécurité dans les réseaux des fournisseurs d’infrastructures critiques, déclare Smith dans son article de blog publié aujourd’hui. Celles-ci n’ont aucun lien avec les efforts d’espionnage menés par les gouvernements depuis des siècles et semblent plutôt destinées à menacer la vie de civils innocents lors d’une crise ou d’un conflit futur.

Smith appelle les États à reconnaître les services cloud comme une infrastructure critique, avec une protection contre les attaques en vertu du droit international et à une plus grande responsabilité des États-nations impliqués dans la atteinte à la sécurité du cloud. Tous les États devraient s’engager publiquement à ne pas implanter de vulnérabilités logicielles dans les réseaux des fournisseurs d’infrastructures critiques telles que les fournisseurs d’énergie, d’eau, de nourriture, de soins médicaux ou d’autres fournisseurs, déclare Smith. Ils devraient également s’engager à ne permettre à aucune personne se trouvant sur leur territoire ou juridiction de se lancer dans des opérations cybercriminelles ciblant des infrastructures critiques.