Microsoft promeut la communication face aux vulnérabilités logicielles

A l'occasion de la conférence Black Hat, Microsoft lance 2 nouveaux programmes. Il s'engage à communiquer davantage auprès des éditeurs tiers, et des éditeurs de sécurité.

Longtemps pointé du doigt, Microsoft veut désormais faire partie des bons élèves en matière de sécurité informatique. A l'occasion de la Black Hat, la conférence annuelle consacrée à ce sujet, les dirigeants de Microsoft ont dévoilé 2 nouveaux programmes autour de la gestion des vulnérabilités. Il mise sur une plus grande transparence et des rapports plus étroits avec les éditeurs tiers pour vaincre le fléau des codes malveillants.

Premier cas de figure, le Microsoft Active Protection Program (ou MAPP), s'adresse aux éditeurs de solutions de sécurité. Microsoft s'engage à leur fournir des informations sur les vulnérabilités de ses produits, ou de celles qu'il a découvert sur des produits tiers fonctionnant sur l'environnement Windows, et ce quelques heures avant leur publication officielle. Cette mesure est prévue pour donner du temps aux solutions de sécurité d'intégrer si possible une protection contre les codes malveillants qui tirer partie des vulnérabilités publiques.

De même, Microsoft a formalisé le Microsoft Vulnerability Research (ou MSVR), qui sera chargé de travailler à plein temps à la recherche de vulnérabilités dans les produits des éditeurs travaillant dans l'éco-système Microsoft. Car si Microsoft semble vouloir mettre les moyens pour renforcer la sécurité de ses produits lors des processus de développement, il doit aussi s'assurer que les applications travaillant dans son écosystème sont également robustes.

Les codes malveillants peuvent en effet tirer partie d'une faille présente dans un logiciel tiers pour par exemple exécuter du code à distance ou obtenir des privilèges plus élevés sur le système d'exploitation. Auparavant, Microsoft travaillait de manière moins formelle avec ses partenaires, découvrant les vulnérabilités à l'occasion d'utilisation de logiciels. Désormais, des équipes et des moyens seront consacrés à la recherche de vulnérabilités pour les programmes tiers les plus utilisés avec ses produits.

Des équipes et des moyens consacrés à la recherche de vulnérabilités pour les programmes tiers les plus utilisés

En dehors de ces deux programmes, Microsoft tient également à enrichir ses bulletins de sécurité à destination de ses clients qui sont publiés tous les deuxièmes mardi du mois. Désormais, ces derniers indiqueront un indice de difficulté d'exploitation de la vulnérabilité. Il s'agit de donner une idée au client de l'état de la menace, en dehors du caractère critique ou non de la faille. Cet index aura trois niveaux : vulnérabilité exploitable de manière fiable, vulnérabilité exploitable de manière non fiable et vulnérabilité difficile à exploiter.

Par exemple, une vulnérabilité critique, et exploitée de manière fiable indique au DSI que l'application d'un correctif est urgent. A l'inverse, une vulnérabilité peu critique, dont le code est difficilement exploitable signifie que l'application du correctif peut être au besoin légèrement décalé. Microsoft rappelle cependant que tous les correctifs publiés doivent être dans l'idéal appliqués, cet indice ne devant servir qu'à mettre des priorités aux vulnérabilités les plus dangereuses. Cet index sera disponible à partir du mois d'octobre.

En dehors de cette actualité propre à la Black Hat, Microsoft a indiqué qu'il corrigerait 12 vulnérabilités sur ses produits lors de son prochain bulletin de sécurité, prévu le mardi 12 août. 7 correctifs sont considérés comme critiques et 5 importantes. Les 7 failles critiques permettent par exemple l'exécution de code à distance sur les différents produits Microsoft.