Dans un article rcent, des experts d’Intel, d’Isovalent et de Google expliquent comment l’eBPF, un environnement d’excution scuris du noyau, pourrait empcher de futures pannes mondiales comme celle qui a touch les utilisateurs de Microsoft et de CrowdStrike. Les auteurs affirment que les contrles de scurit et les capacits de sandboxing de l’eBPF l’immunisent contre les pannes du noyau causes par de mauvaises mises jour logicielles. L’adoption croissante de l’eBPF dans les systmes Linux et Windows promet de rvolutionner la scurit et la stabilit des ordinateurs dans divers secteurs.
Le 19 juillet 2024, une panne informatique mondiale de Microsoft a touch des entreprises, des aroports et des mdias travers le monde. Microsoft a confirm qu’elle tait consciente de ces problmes, mais de nombreux experts en cyberscurit ont indiqu que la source potentielle du problme tait l’entreprise de cyberscurit CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques de nombreuses entreprises de premier plan.
L’eBPF est une technologie qui permet d’excuter des programmes dans un contexte privilgi tel que le noyau du systme d’exploitation. Il succde au mcanisme de filtrage Berkeley Packet Filter (BPF, le e signifiant l’origine tendu ) dans Linux et est galement utilis dans les parties du noyau Linux qui ne concernent pas les rseaux. L’eBPF est utilis pour tendre de manire sre et efficace les capacits du noyau au moment de l’excution sans ncessiter de modifications du code source du noyau ou de chargement de modules du noyau. La scurit est assure par un vrificateur intgr au noyau qui effectue une analyse statique du code et rejette les programmes qui se plantent, se bloquent ou interfrent ngativement avec le noyau.
l’avenir, les ordinateurs ne tomberont pas en panne cause de mauvaises mises jour logicielles, mme celles qui concernent le code du noyau. l’avenir, ces mises jour pousseront le code eBPF.
Le vendredi 19 juillet a fourni un exemple sans prcdent des dangers inhrents la programmation du noyau, et a t qualifi de plus grande panne de l’histoire des technologies de l’information. Les ordinateurs Windows du monde entier ont connu des crans bleus de la mort et des boucles de dmarrage, provoquant des pannes dans les hpitaux, les compagnies ariennes, les banques, les piceries, les diffuseurs de mdias et bien d’autres encore. Cette situation a t provoque par une mise jour de configuration effectue par une socit de scurit pour son produit largement utilis, qui incluait un pilote de noyau sur les systmes Windows. La mise jour a amen le pilote du noyau essayer de lire une mmoire non valide, un type d’erreur qui fait planter le noyau.
Pour les systmes Linux, l’entreprise l’origine de cette panne tait dj en train d’adopter eBPF, qui est immunis contre de telles pannes. Une fois que la prise en charge de l’eBPF par Microsoft pour Windows sera prte pour la production, les logiciels de scurit Windows pourront galement tre ports sur l’eBPF. Ces agents de scurit seront alors srs et incapables de provoquer une panne du noyau Windows.
eBPF (qui n’est plus un acronyme) est un environnement d’excution scuris du noyau, similaire au moteur d’excution JavaScript scuris intgr dans les navigateurs web. Si vous utilisez Linux, vous disposez probablement dj d’eBPF sur vos systmes, que vous le sachiez ou non, car il a t inclus dans le noyau il y a plusieurs annes. Les programmes eBPF ne peuvent pas faire planter l’ensemble du systme parce qu’ils sont contrls par un vrificateur de logiciels et sont effectivement excuts dans un bac sable. Si le vrificateur trouve un code dangereux, le programme est rejet et n’est pas excut. Le vrificateur est rigoureux – l’implmentation Linux compte plus de 20 000 lignes de code – et bnficie de contributions de l’industrie (Meta, Isovalent, Google) et du monde universitaire (Rutgers University, University of Washington). La scurit qu’elle procure est un avantage cl de l’eBPF, au mme titre que la scurit accrue et l’utilisation rduite des ressources.
Certaines start-ups de scurit bases sur eBPF (par exemple, Oligo, Uptycs) ont fait leurs propres dclarations sur la rcente panne et sur les avantages de la migration vers eBPF. Les grandes entreprises technologiques adoptent galement l’eBPF pour la scurit. Par exemple, Cisco a acquis la start-up Isovalent, spcialise dans l’eBPF, et a annonc un nouveau produit de scurit eBPF : Cisco Hypershield, une structure pour l’application et la surveillance de la scurit. Google et Meta font dj confiance l’eBPF pour dtecter et arrter les mauvais acteurs dans leur flotte, grce la vitesse, la visibilit approfondie et aux garanties de scurit de l’eBPF. Au-del de la scurit, l’eBPF est galement utilis pour la mise en rseau et l’observabilit.
La pire chose qu’un programme eBPF puisse faire est de consommer plus de ressources qu’il n’est souhaitable, comme les cycles de l’unit centrale et la mmoire. eBPF ne peut pas empcher les dveloppeurs d’crire du mauvais code – du code gaspill – mais il empchera les problmes graves qui causent un crash du systme. Cela dit, en tant que nouvelle technologie, l’eBPF a connu quelques bogues dans son code de gestion, notamment une panique du noyau Linux dcouverte par la mme socit de scurit qui fait l’actualit aujourd’hui. Cela ne signifie pas que l’eBPF n’a rien rsolu, remplaant le bogue d’un fournisseur par le sien. La correction de ces bogues dans eBPF signifie la correction de ces bogues pour tous les fournisseurs d’eBPF, et l’amlioration plus rapide de la scurit de tous.
Il existe d’autres moyens de rduire les risques lors du dploiement d’un logiciel : les tests canaris, les dploiements chelonns et l’ ingnierie de la rsilience en gnral. Ce qui est important dans la mthode eBPF, c’est qu’il s’agit d’une solution logicielle qui sera disponible par dfaut dans les noyaux Linux et Windows, et qui a dj t adopte pour ce cas d’utilisation.
Si votre entreprise paie pour un logiciel commercial qui comprend des pilotes ou des modules de noyau, vous pouvez faire de l’eBPF une exigence. C’est possible pour Linux aujourd’hui, et pour Windows bientt. Si certains diteurs ont dj adopt l’eBPF de manire proactive, d’autres pourraient avoir besoin d’un peu d’encouragement de la part de leurs clients payants.
Sources : Brendan Gregg d’Intel ; Daniel Borkmann et Joe Stringer d’Isovalent ; KP Singh de Google
Et vous ?
Quel est votre avis sur le sujet ?
Pensez-vous que l’adoption de l’eBPF permettra l’avenir de prvenir les pannes d’ordinateurs similaires celle de Microsoft/CrowdStrike ?
Voir aussi :