L’Office fdral de la scurit de l’information (BSI) veut que Microsoft prenne des mesures appropries pour rduire le risque d’une panne technique mondiale l’avenir. Le rgulateur vise limiter l’accs des entreprises tierces au noyau Windows, un lment cl du systme d’exploitation de Microsoft. Elle affirme que cela rduirait le risque d’une nouvelle panne de type CrowdStrike. En outre, le rgulateur souhaite que des changements fondamentaux soient apports la manire dont les entreprises de cyberscurit conoivent leurs outils afin de limiter cet accs. L’Allemagne a t fortement impacte par la panne provoque par CrowdStrike.
Le dbat sur la restriction de l’accs au noyau Windows prend de l’ampleur
Des entreprises du monde entier ont t confrontes le 19 juillet au redoutable cran bleu de la mort (BSOD) de Windows aprs une mise dfectueuse de la socit de cyberscurit CrowdStrike. Cette panne gante a paralys de nombreuses entreprises de nombreux secteurs, laissant les victimes la recherche de solutions immdiates pour satisfaire leurs clientles et viter des pertes financires colossales. CrowdStrike a corrig la mise jour l’origine du problme, mais de nombreux systmes sont rests hors ligne plusieurs heurs aprs la panne. Certaines entreprises ont subi des pertes financires importantes.
Selon un rapport du Wall Street Journal, pour l’agence allemande de cyberscurit, il est important de tirer des leons de cet incident et saisir l’occasion pour redfinir l’interaction entre les produits de scurit et les systmes d’exploitation. L’agence allemande de cyberscurit vise spcifiquement l’accs que Microsoft accorde aux prestataires de services de scurit son noyau Windows, une partie critique de son systme d’exploitation. En effet, le logiciel de CrowdStrike fonctionne au niveau du noyau. CrowdStrike affirme que cet accs est indispensable pour le bon fonctionnement de son logiciel de scurit.
Toutefois, cela signifie que si quelque chose ne va pas avec le logiciel de CrowdStrike, il peut faire tomber les machines Windows avec un BSOD. La mise jour dfectueuse de CrowdStrike a provoqu le plantage de plus de 8,5 millions d’appareils Windows travers le monde. La panne a affect des centaines d’entreprises et a dur plusieurs heures, voire plusieurs jours chez certaines victimes. Elle a galement soulev d’importantes proccupations sur l’accs au noyau.
Le logiciel Falcon de CrowdStrike utilise un pilote spcial qui lui permet de fonctionner un niveau infrieur celui de la plupart des applications, de sorte qu’il peut dtecter les menaces sur l’ensemble d’un systme Windows. En 2006, Microsoft a tent d’empcher les tiers d’accder au noyau de Windows Vista, mais s’est heurt au refus des fournisseurs de cyberscurit et des autorits de rglementation de l’Union europenne. Il n’y a pas grand-chose qui ait chang depuis.
Contrairement Microsoft, Apple a russi verrouiller son systme d’exploitation macOS en 2020 afin que les dveloppeurs ne puissent plus accder au noyau. Le BSI allemand remet le sujet sur la table. En outre, l’agence allemande de cyberscurit souhaite que des changements fondamentaux soient apports la manire dont CrowdStrike et d’autres cyberentreprises conoivent leurs outils, dans l’espoir de limiter l’accs au noyau du systme d’exploitation.
Le plus important est d’empcher que cela ne se reproduise , affirme Thomas Caspers, directeur gnral de la stratgie technologique au sein du BSI. Tirant parti de l’effroi qui a envahi la Silicon Valley la suite de la panne de juillet, la BSI prvoit d’organiser cette anne une confrence runissant les principales entreprises technologiques, o elle espre qu’elles s’engageront restreindre l’accs au noyau Windows. Pour Caspers, cela est primordial.
Microsoft pourrait de nouveau envisager rformer l’accs au noyau Windows
CrowdStrike et ses concurrents conoivent expressment leurs produits de manire bnficier d’un accs au noyau Windows, qui fournit notamment des donnes permettant de dtecter les cybermenaces. Selon ces fournisseurs de services, le maintien de cet accs leur permet de ragir rapidement pour bloquer les activits malveillantes. Dans un billet de blogue dat du 9 aot, CrowdStrike a dclar : des produits tels que l’analyse des microprogrammes ou le contrle des appareils ne seraient pas possibles sans cette conception . Mais les experts pensent que les risques lis cet accs sont trop importants.
Caspers affirme qu’un changement est essentiel pour viter que de telles pannes ne se reproduisent. Il n’est pas acceptable d’excuter ces outils en mode noyau avec tous les accs que l’on connat aujourd’hui. Les entreprises de cyberscurit pourraient utiliser d’autres technologies pour dtecter les attaques tout en restant en mode utilisateur. Le rsultat le plus important de cette affaire sera qu’elles changeront cela , a-t-il dclar propos de la dbcle de CrowdStrike.
Au lendemain de la panne provoque par la mise jour dfectueuse de CrowdStrike, Microsoft a galement laiss entendre qu’il envisageait de modifier l’accs au noyau de Windows. Dans un billet de blogue dat du 25 juillet, John Cable, vice-prsident de Microsoft charg de la gestion des programmes, a dclar : la panne de CrowdStrike montrait que Windows doit donner la priorit au changement et l’innovation dans le domaine de la rsilience de bout en bout .
Mais il y a un hic. Juste aprs la panne, Microsoft a dclar qu’il ne pouvait pas lgalement couper l’accs au noyau Windows comme le fait Apple, par exemple, en raison d’un accord conclu en 2009 avec la Commission europenne. Pour satisfaire les autorits antitrust europennes, Microsoft a accept de donner d’autres diteurs de logiciels de scurit le mme accs Windows que le sien. L’on ignore si la Commission serait dispose rviser l’accord aprs la panne.
En attendant, Caspers pense que CrowdStrike et d’autres pourraient trouver d’autres options pour viter l’accs au noyau Windows. Cela ne devrait pas empcher de modifier la conception des produits. Le BSI est convaincu qu’il est possible de trouver des solutions techniques solides qui respectent galement la rglementation de l’UE pour rsoudre le problme en question , a-t-il dclar. Il n’a pas donn un exemple de conception possible pour viter l’accs au noyau.
Selon Caspers, Microsoft fixe des rgles sur la manire dont les autres tiers accdent au noyau Windows et pourrait les modifier. Le BSI mise sur sa prochaine confrence, avec Microsoft, CrowdStrike et une cinquantaine d’autres entreprises de scurit invites, ainsi que ses homologues des cyberagences d’autres pays. Si vous devez ragir dans un dlai trs court, ce type de discussions est sans aucun doute le moyen le plus efficace , a dclar Caspers.
L’industrie des solutions de cyberscurit suit l’volution de la situation avec attention
Le rgulateur allemand n’est pas en mesure de forcer les entreprises modifier la conception de leurs produits, dans le but de limiter l’accs au noyau. Cependant, le BSI dispose de plus de pouvoirs lgaux que son homologue amricain, la Cybersecurity and Infrastructure Security Agency (CISA), vieille de six ans, n’a pas , explique Dennis-Kenji Kipker, directeur de recherche au sein du Cyberintelligence Institute (CII), un groupe de recherche Francfort, en Allemagne.
Heres the scary thing thats likely to happen based on the facts of the day if we dont pay attention. Microsoft, who competes with @CrowdStrike, will argue that they should lock all third-party security vendors out of their OS. Its the only way we can be safe, theyll
— Matthew Prince 🌥 (@eastdakota) July 20, 2024
Le BSI peut, par exemple, mettre des avertissements sur les produits technologiques et crer des normes pour les agences gouvernementales. Depuis sa cration il y a plus de 30 ans, le BSI a acquis une autorit croissante dans le cadre des lois allemandes et europennes sur le cyberespace. Ce n’est pas comparable la loi CISA aux tats-Unis , a ajout Kipker. Mais cela n’est pas suffisant pour forcer un changement radical dans la conception des outils de cyberscurit.
Le billet de Cable, de Microsoft, soulve la question de savoir si les efforts dploys par Microsoft pour scuriser l’accs au noyau pourraient nuire aux diteurs de logiciels tiers. Par exemple, les logiciels antivirus utilisent l’accs au niveau du noyau pour surveiller les changements malveillants apports Windows ds les premires tapes. Le blocage de l’accs au noyau Windows pourrait donc potentiellement rendre les produits de cyberscurit moins efficaces.
Sans les privilges du mode noyau, [les antivirus et les systmes de dtection et de rponse des points d’extrmit] sont extrmement limits dans ce qu’ils peuvent faire. Mais nous ne pensons pas que Microsoft va vraiment rvoquer l’accs au mode noyau pour les fournisseurs de scurit , a dclar le service de suivi des maliciels VX-Underground. Pour l’instant, Microsoft n’a pas encore voqu publiquement les rformes qu’il envisage d’apporter Windows.
Pour sa part, Matthew Prince, PDG de Cloudflare, a dj mis en garde contre les effets d’un verrouillage plus pouss de Windows par Microsoft, qui devra donc prendre soigneusement en compte les besoins des fournisseurs de solutions de scurit s’il souhaite oprer un vritable changement.
De son ct, Microsoft cherche viter les pannes similaires celle de CrowdStrike l’avenir en renforant la scurit et en prservant laccs ncessaire aux diteurs tiers. Lavenir de Windows sera-t-il plus ferm ? La firme de Redmond devra trouver un quilibre entre scurit et flexibilit.
Sources : Microsoft (1, 2), Apple
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la question de l’accs au noyau Windows ?
Selon vous, Microsoft doit-il restreindre davantage l’accs au noyau ? Pourquoi ?
Quels seraient les impacts de ce changement sur le systme d’exploitation ? Cela apportera-t-il plus de scurit ?
Quels pourraient tre les impacts d’un tel changement sur les fournisseurs de services de cyberscurit comme CrowdStrike ?
Selon vous, la Commission europenne doit-elle revoir sa position sur l’accs des tiers au noyau Windows aprs la dbcle de CrowdStrike ?
Voir aussi