En juillet dernier, une mise jour dfectueuse du logiciel CrowdStrike a entran la panne de millions dordinateurs Windows dans le monde entier. Cette situation a eu des consquences majeures, notamment lannulation de milliers de vols par les compagnies ariennes et des retards dans les rendez-vous mdicaux dans les hpitaux. Face cet incident, Microsoft a dcid dorganiser un sommet sur la cyberscurit en septembre.
Microsoft intensifie ses projets visant rendre Windows plus rsistant aux logiciels bogus, aprs qu’une mise jour CrowdStrike bcle a mis hors service des millions d’ordinateurs et de serveurs lors d’une panne informatique mondiale.
Le mois dernier, la grande enseigne de la technologie a intensifi ses discussions avec ses partenaires pour adapter les procdures de scurit de son systme d’exploitation afin de mieux rsister au type d’erreur logicielle qui a provoqu la panne de 8,5 millions d’appareils Windows le 19 juillet. Les critiques affirment que tout changement de la part de Microsoft quivaudrait une concession sur les lacunes de Windows en matire de gestion des logiciels de scurit tiers, lacunes qui auraient pu tre corriges plus tt.
Cependant, ces changements seraient galement controverss parmi les fournisseurs de logiciels de scurit, qui devraient apporter des modifications radicales leurs produits, et obligeraient de nombreux clients de Microsoft adapter leurs logiciels.
Les pannes du mois dernier, qui auraient caus des milliards de dollars de dommages aprs avoir clou au sol des milliers de vols et perturb les rendez-vous dans les hpitaux du monde entier, ont renforc l’attention des autorits de rgulation et des chefs d’entreprise sur l’tendue de l’accs des diteurs de logiciels tiers au cur, ou noyau, des systmes d’exploitation Windows.
Microsoft organisera le mois prochain un sommet runissant des reprsentants du gouvernement et des entreprises de cyberscurit, dont CrowdStrike, afin de discuter des mesures concrtes que nous prendrons tous pour amliorer la scurit et la rsilience de nos clients communs , a dclar Microsoft vendredi.
Tirer des leons de l’chec
Le 10 septembre 2024, Microsoft organisera un sommet de l’cosystme de scurit des points finaux Windows son sige de Redmond, Washington. Microsoft, CrowdStrike et des partenaires cls qui fournissent des technologies de scurit des points finaux se runiront pour discuter de l’amlioration de la rsilience et de la protection de l’infrastructure critique des clients mutuels. Notre objectif est de discuter des mesures concrtes que nous prendrons tous pour amliorer la scurit et la rsilience de nos clients communs.
La panne de CrowdStrike en juillet 2024 nous permet de tirer d’importants enseignements en tant qu’cosystme. Nos discussions porteront sur l’amlioration de la scurit et des pratiques de dploiement sres, la conception de systmes pour la rsilience et la collaboration en tant que communaut prospre de partenaires pour mieux servir les clients aujourd’hui et l’avenir.
Outre les partenaires de l’cosystme, Microsoft invitera des reprsentants du gouvernement afin d’assurer le plus haut niveau de transparence la collaboration de la communaut en vue de fournir une technologie plus sre et plus fiable pour tous. Le sommet de l’cosystme Windows Endpoint Security devrait dboucher sur des actions et des initiatives court et long terme, l’objectif collectif tant d’amliorer la scurit et la rsilience. Nous ferons le point sur ces discussions l’issue de l’vnement .
Plusieurs options sont envisages
Microsoft a dclar envisager plusieurs options pour rendre ses systmes plus stables et a soulign qu’il n’est pas exclu de bloquer compltement l’accs au noyau Windows (une option dont certains rivaux craignent qu’elle ne dsavantage leurs logiciels par rapport au produit de scurit interne de l’entreprise, Microsoft Defender). Tous les concurrents craignent que [Microsoft] n’en profite pour prfrer ses propres produits aux alternatives tierces , a dclar Ryan Kalember, responsable de la stratgie de cyberscurit chez Proofpoint.
Exiger de nouvelles procdures de test
Microsoft pourrait galement exiger de nouvelles procdures de test de la part des fournisseurs de cyberscurit plutt que d’adapter le systme Windows lui-mme.
Apple, qui n’a pas t touch par les pannes, empche tous les fournisseurs tiers d’accder au noyau de son systme d’exploitation MacOS, les obligeant fonctionner en mode utilisateur , plus limit. Microsoft a prcdemment dclar ne pas tre en mesure de faire de mme, aprs avoir conclu un accord avec la Commission europenne en 2009 selon lequel elle donnerait des tiers le mme accs ses systmes que celui de Microsoft Defender.
Certains experts ont toutefois dclar que cet engagement volontaire envers l’UE n’avait pas li les mains de Microsoft comme il le prtendait, arguant que l’entreprise avait toujours t libre d’apporter les changements envisags. Il s’agit de dcisions techniques de Microsoft qui ne faisaient pas partie [de l’accord] , a dclar Thomas Graf, un associ de Cleary Gottlieb Bruxelles qui a particip l’affaire.
Bloquer l’accs au noyau
Le texte [de l’accord] ne les oblige pas donner accs au noyau , a ajout AJ Grotto, ancien directeur principal de la politique de cyberscurit la Maison Blanche. Grotto a dclar que Microsoft avait sa part de responsabilit dans les perturbations de juillet, car les pannes n’auraient pas t possibles sans sa dcision d’autoriser l’accs au noyau.
Nanmoins, bien qu’il puisse renforcer la rsilience d’un systme, le blocage de l’accs au noyau pourrait galement entraner de vritables compromis pour la compatibilit avec d’autres logiciels qui a rendu Windows si populaire auprs des clients professionnels, a dclar Allie Mellen, analyste chez Forrester. Il s’agirait d’un changement fondamental pour la philosophie et le modle commercial de Microsoft , a-t-elle ajout.
Le fait d’oprer exclusivement en dehors du noyau peut rduire le risque de dclencher des pannes massives, mais cela est galement trs contraignant pour les fournisseurs de scurit et pourrait rendre leurs produits moins efficaces contre les pirates informatiques, a ajout Mellen. Le fait d’oprer au sein du noyau donne aux entreprises de scurit plus d’informations sur les menaces potentielles et permet leurs outils dfensifs de s’activer avant que les logiciels malveillants ne s’installent, a-t-elle ajout.
Reproduire le modle utilis par Linux
Une autre option consisterait reproduire le modle utilis par le systme d’exploitation libre Linux, qui utilise un mcanisme de filtrage crant un environnement spar au sein du noyau dans lequel les logiciels, y compris les outils de cyberdfense, peuvent tre excuts. Mais la complexit de la refonte de la manire dont les autres logiciels de scurit fonctionnent avec Windows signifie que tout changement sera difficile contrler pour les rgulateurs et que Microsoft sera fortement incit favoriser ses propres produits, ont dclar des rivaux.
Cela semble bien sur le papier, mais le diable est dans les dtails , a dclar Matthew Prince, directeur gnral du groupe de services numriques Cloudflare.
Un changement qui ne rsoudra qu’un faible pourcentage du problme , selon un cadre de Microsoft
Ce dernier a requis l’anonymat parce qu’il n’est pas l’autorisation de discuter publiquement de questions internes. Il a dclar que les participants au Windows Endpoint Security Ecosystem Summit tudieront la possibilit de faire en sorte que les applications s’appuient davantage sur une partie de Windows appele mode utilisateur plutt que sur le mode noyau, plus privilgi.
Les dveloppeurs de logiciels de CrowdStrike, Check Point, SentinelOne et d’autres acteurs du march de la protection des points finaux dpendent actuellement du mode noyau. Cet accs permet SentinelOne de surveiller et d’arrter les mauvais comportements et d’empcher les logiciels malveillants de dsactiver les logiciels de scurit , a dclar un porte-parole.
Les applications en mode utilisateur sont isoles, ce qui signifie que si l’une d’entre elles tombe en panne, elle n’entranera pas l’arrt des autres. En revanche, une application en mode noyau qui tombe en panne peut entraner le blocage de l’ensemble de Windows. Le 19 juillet, CrowdStrike a publi une mise jour bogue de la configuration du contenu de son capteur Falcon pour les ordinateurs Windows, dans le but de recueillir des donnes sur les nouvelles attaques, ce qui a provoqu des pannes au niveau du systme d’exploitation. Les administrateurs informatiques ont redmarr un un les PC qui avaient reu la mise jour et qui affichaient un cran bleu de la mort .
Le cadre de Microsoft a dclar que la suppression de l’accs au noyau de Windows ne rsoudrait qu’un faible pourcentage des problmes potentiels. Ces dernires annes, Apple a limit l’accs au noyau dans macOS et l’entreprise dcourage les dveloppeurs d’utiliser des extensions du noyau.
Les participants l’vnement organis par Microsoft le 10 septembre discuteront galement de l’adoption de la technologie eBPF, qui vrifie que les programmes s’excutent sans provoquer de pannes du systme, et des langages de programmation mmoire scurise tels que Rust, a dclar le cadre. L’anne dernire, Microsoft a fait don d’un million de dollars la fondation but non lucratif Rust, qui verse des allocations aux personnes travaillant sur ce langage.
Microsoft est en concurrence avec CrowdStrike avec son produit Defender for Endpoint. L’quipe de CrowdStrike participera la confrence comme toute autre entreprise de cyberscurit et ne bnficiera pas d’un traitement de faveur, a dclar le cadre.
Conclusion
En dfinitive, ce sommet vise tirer des leons de la panne cause par CrowdStrike et renforcer la scurit des systmes Windows pour viter de tels incidents lavenir en rendant Windows plus rsilient face aux erreurs logicielles. Apple, par exemple, bloque laccs au noyau de son systme dexploitation MacOS pour les fournisseurs tiers, les obligeant fonctionner en mode utilisateur plus limit. L’exercice est dlicat : Microsoft devra trouver un quilibre entre la scurit et la compatibilit avec les produits tiers, une situation que les rgulateurs et l’industrie de la cyberscurit observent avec le plus grand intrt.
Source : Microsoft
Et vous ?
Quelle est votre opinion sur laccs au noyau (kernel) de Windows par les logiciels tiers ? Pensez-vous que Microsoft devrait bloquer compltement cet accs pour renforcer la stabilit du systme, ou est-ce une mesure trop restrictive ?
Comment valuez-vous la raction de Microsoft face la panne cause par CrowdStrike ? Trouvez-vous que lorganisation a agi de manire proactive en organisant ce sommet sur la cyberscurit, ou aurait-elle pu faire plus ?
Quelles sont les implications pour la scurit des utilisateurs et des entreprises lorsque des mises jour logicielles dfectueuses se produisent ? Comment pouvons-nous mieux protger nos systmes contre de telles situations lavenir ?
Pensez-vous que les fournisseurs tiers de scurit devraient avoir un accs privilgi au noyau de Windows ? Quels avantages et inconvnients cela pourrait-il entraner ?
Quelles autres mesures de scurit pourraient tre mises en place pour viter des incidents similaires lavenir ? Avez-vous des ides ou des suggestions ?