Auckland / New Zealand - November 7 2019: View of Microsoft office building

Microsoft inverse le script de sécurité : « Dans la portée par défaut » rend toutes les vulnérabilités équitables pour les bug bounties

Lucas Morel

La nouvelle approche de l’entreprise est que tout ce qui touche aux services Microsoft est éligible à une prime aux bogues, quelle que soit sa source.

Les attaquants basés sur l’IA d’aujourd’hui sont agnostiques : ils ne se limitent pas à des entreprises, des produits ou des services spécifiques : ils ciblent les vulnérabilités. Pour y répondre sur ce terrain, Microsoft oriente sa stratégie de cybersécurité vers ce qu’elle appelle « In Scope by Default ».

Désormais, toute « vulnérabilité critique » ayant un « impact démontrable » sur les services en ligne de Microsoft est éligible à une prime. Cela s’applique au code détenu et géré par Microsoft, ainsi qu’à tout ce qui est fourni par un tiers ou via open source.

Les acteurs de la menace « ne se soucient pas de savoir à qui appartient le code qu’ils tentent d’exploiter », a écrit Tom Gallagher, vice-président de l’ingénierie au Microsoft Security Response Center, dans un article de blog annonçant la nouvelle politique de sécurité. « La même approche devrait s’appliquer à la communauté de la sécurité, qui continue de collaborer avec nous pour fournir des informations essentielles qui contribuent à protéger nos clients. »

Objectif « encourager la recherche »

« In Scope by Default » a été annoncé vendredi à Black Hat Europe, Gallagher affirmant que Microsoft « fera tout ce qu’il faut » pour résoudre les problèmes apparus.

Ce changement stratégique intervient alors que les attaquants améliorent continuellement leur jeu, aidés par les outils d’IA. Microsoft a récemment été touché par une vulnérabilité Zero Day dans SharePoint qui s’est propagée aux entreprises et aux agences gouvernementales, et en octobre, la propre mise à jour de sécurité de l’entreprise a déclenché une série de pannes. Et aujourd’hui encore, pour combler l’écart jusqu’à ce que Microsoft puisse développer son propre correctif, des correctifs non officiels gratuits ont été mis à disposition par un tiers pour une vulnérabilité zero-day récemment découverte de Windows qui donne aux attaquants la possibilité de faire planter le service Remote Access Connection Manager (RasMan).

Microsoft a employé toute une série de tactiques pour lutter contre ces menaces. Gallagher a souligné qu’en 2024, la société a accordé plus de 17 millions de dollars grâce à son programme de primes aux bogues et à ses événements de piratage en direct, et que son pivot stratégique élargira l’éligibilité aux récompenses. Plutôt que d’être proposés uniquement pour les bogues dans des étendues définies, les problèmes liés à tous les services en ligne seront inclus par défaut et dès la sortie des services.

« Notre objectif est d’encourager la recherche sur les domaines les plus à risque, en particulier ceux que les acteurs malveillants sont les plus susceptibles d’exploiter », a déclaré Gallagher.

L’éligibilité comprendra désormais :

  • Domaines et services cloud appartenant à Microsoft. Les chercheurs en sécurité sans point de vue interne de Microsoft seront encouragés à cibler ses infrastructures via des règles d’engagement convenues.
  • Code tiers, y compris open source. Dans les cas où aucune prime de bug n’existe dans ce domaine, Microsoft en proposera désormais une. L’identification des vulnérabilités dans le code tiers peut aider à placer la barre plus haut pour « tous ceux qui s’appuient sur ce code », a noté Gallagher.

Ce changement est « assez important », particulièrement pour une entreprise de la taille de Microsoft, a noté Erik Avakian, conseiller technique chez Info-Tech Research Group. La nouvelle politique d’inclusion par défaut s’appuie sur un processus et une gouvernance et est appliquée à l’ensemble de « l’écosystème massif et hétérogène » du géant de la technologie.

« Microsoft intègre explicitement les dépendances tierces et open source lorsqu’elles impactent les services Microsoft, ce qui reflète la manière dont les attaques réelles traversent réellement l’infrastructure partagée plutôt que de nettoyer les frontières des produits », a déclaré Avakian.

Les chercheurs sont invités à soumettre leurs résultats pour évaluation et divulgation coordonnée, la pratique consistant à signaler en privé les vulnérabilités aux fournisseurs afin qu’ils puissent diagnostiquer et résoudre les problèmes avant qu’ils ne soient annoncés publiquement.

Microsoft et ses partenaires suivent les règles d’engagement pour une recherche responsable en matière de sécurité, a noté Gallagher, qui encouragent diverses activités d’équipe rouge, telles que la réalisation d’évaluations de vulnérabilité sur les machines virtuelles (VM) Azure, les tests de capacité de pointe, les tentatives de dépassement des limites du système et des conteneurs de services partagés, le test des systèmes de surveillance et de détection de sécurité et l’évaluation de l’accès conditionnel.

Cependant, ces règles d’engagement interdisent aux équipes rouges d’utiliser ou d’accéder à des informations d’identification qui ne sont pas les leurs, de lancer des attaques de phishing contre les employés de Microsoft, d’effectuer des tests de déni de service ou d’autres tests générant un trafic excessif, ou d’interagir avec des comptes de stockage non inclus dans l’abonnement d’un utilisateur.

Avantages et inconvénients de l’approche

Cet élargissement de la portée n’est pas nécessairement nouveau, a noté Avakian d’Info-Tech, bien que les fournisseurs de services cloud (CSP), les institutions financières et les sociétés SaaS publient un langage à portée plus étroite et traitent de nombreux cas par le biais de négociations en arrière-plan. Mais une grande partie de cela dépend encore largement de la bonne volonté des chercheurs et de leur jugement interne.

La portée plus large de Microsoft est un peu différente et pourrait entraîner moins d’arguments de zone grise et de questions « est-ce dans la portée ? » des échanges de questions qui peuvent faire perdre du temps et créer des frictions avec les chercheurs, a déclaré Avakian. Cela fournit également un meilleur signalement : si les gens ne craignent pas d’être disqualifiés, ils sont plus susceptibles de soumettre leurs résultats à un stade précoce. C’est formidable pour les défenseurs et peut renforcer la confiance dans la communauté des chercheurs.

« Cela permet d’envoyer un message clair : ‘Nous voulons entendre parler des problèmes’, et en interne, cela force l’appropriation », a déclaré Avakian. « Une fois que quelque chose est inclus par défaut, cela contribue à forcer la maturité. »

Cependant, cela pourrait devenir difficile en termes de volume, ce qui pourrait conduire à davantage de rapports de mauvaise qualité et à des conclusions spéculatives ou « nébuleuses », a-t-il déclaré. Les équipes d’ingénierie peuvent s’épuiser rapidement si tout est traité comme urgent ou si la gravité n’est pas bien communiquée.

« Mais ce modèle peut fonctionner si la discipline de sévérité est solide comme le roc », a déclaré Avakian.

Cependant, les attaquants pourraient bénéficier indirectement si les équipes de défenseurs étaient surchargées, où le bruit potentiel pourrait étouffer les signaux réels et la vitesse de correction pourrait ralentir en raison des retards de triage. « En d’autres termes, la traînée opérationnelle pourrait très bien devenir l’amie de l’attaquant », a déclaré Avakian.

Les chercheurs, pour leur part, pourraient emprunter des voies d’attaque non conventionnelles, et des pirates informatiques moins éthiques pourraient diffuser des «résultats à faible effort» à grande échelle et utiliser l’ambiguïté pour faire pression pour obtenir des primes ou même encadrer publiquement des refus alors que Microsoft ignore la sécurité, a-t-il noté.

En fin de compte, « la portée est en réalité une décision de gouvernance », a déclaré Avakian, soulignant que les entreprises prennent du retard lorsque les programmes de vulnérabilité sont encore écrits principalement pour réduire les paiements, minimiser l’exposition et protéger l’image de la marque.

« Microsoft signale que la clarté opérationnelle l’emporte sur l’ambiguïté défensive », a déclaré Avakian. Cependant, « dans le champ d’application par défaut » ne fonctionne qu’avec une certaine maturité.

« Si vous ne disposez pas déjà d’une gouvernance solide, de processus de tri, de modèles de gravité cohérents et d’une responsabilité d’ingénierie, cela devient problématique », a-t-il déclaré. « L’automatisation, l’enrichissement et le jugement humain expérimenté comptent plus que jamais ici, et Microsoft semble clairement investir dans ce long jeu. »

SécuritéDéveloppement de logicielsVulnérabilités

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Display Showing Stages of Hacking in Progress: Exploiting Vulnerability, Executing and Granted Access.
Un bug DS modulaire offre aux pirates un accès instantané à l’administrateur WordPress
AppGuard Critiques AI Hyped Defenses; Expands its Insider Release for its Next-Generation Platform
AppGuard critique les défenses hyperactives de l’IA ; étend sa version Insider pour sa plateforme de nouvelle génération
Cisco building exterior with sign
Cisco corrige enfin une faille zero-day vieille de sept semaines dans les produits Secure Email Gateway