La panne majeure de CrowdStrike-en juillet 2024 restera dans les annales comme un véritable désastre économique. Elle s’est imposée comme la plus grande panne informatique jamais enregistrée, paralysant les systèmes bancaires, perturbant les réseaux de santé et déstabilisant le transport aérien mondial. Les analyses ont révélé une vérité amère : cette catastrophe aurait pu être évitée.
À la suite de cet incident, Microsoft a organisé un sommet d’une journée consacré à la sécurité des terminaux Windows. L’événement, strictement confidentiel et fermé à la presse ainsi qu’aux observateurs extérieurs, avait pour but de réunir « un groupe diversifié de fournisseurs de sécurité des terminaux ainsi que des responsables gouvernementaux des États-Unis et d’Europe ». L’objectif affiché par Microsoft était de discuter des stratégies pour renforcer la résilience et protéger les infrastructures critiques de leurs clients communs.
Un coup d’épée dans l’eau ?
Quelles sont les retombées concrètes de cette session ? Le mystère reste entier. David Weston, vice-président de la sécurité des systèmes d’exploitation et des entreprises chez Microsoft, a livré un résumé soigneusement révisé par des avocats et des spécialistes de la communication. Le texte ne laisse filtrer que des messages optimistes et quelques indices vagues sur les « thèmes clés et points de consensus ». Les détails spécifiques sur les évolutions potentielles de Windows et des produits de sécurité des terminaux restent flous, laissant entendre que des changements significatifs pourraient être lointains.
Comme le souligne le rapport, la table ronde « n’était pas une réunion de prise de décision… nous avons discuté des complexités du paysage sécuritaire moderne, en reconnaissant qu’il n’existe pas de solutions simples ». Néanmoins, un thème récurrent dans le compte-rendu de la réunion est la prise de conscience collective que le secteur ne peut pas se permettre un autre incident de l’ampleur de celui de CrowdStrike.
« L’ incident de CrowdStrike en juillet a souligné la responsabilité des fournisseurs de sécurité de favoriser à la fois la résilience et une protection agile et adaptative. … Nous sommes confrontés à un ensemble commun de défis pour déployer en toute sécurité les mises à jour du vaste écosystème Windows, depuis la décision de procéder à des déploiements mesurés avec un ensemble diversifié de points de terminaison jusqu’à la possibilité de mettre en pause ou de revenir en arrière si nécessaire. L’un des principes fondamentaux des pratiques de déploiement sécurisé est le déploiement progressif et par étapes des mises à jour envoyées aux clients ».
Cela constitue une critique directe à l’encontre de CrowdStrike, dont le déploiement d’une mise à jour défectueuse sur l’ensemble de son parc d’appareils a entraîné la panne informatique. Au lieu d’adopter une approche par étapes, permettant d’identifier le problème plus tôt et de stopper les mises à jour pour limiter les dommages, CrowdStrike a opté pour une distribution globale, aggravant ainsi l’ampleur de la crise.
Les commentaires des participants à la réunion, ajoutés à la fin du billet sont un peu plus colorés, comme cette remarque de Ric Smith, directeur des produits et de la technologie pour SentinelOne, concurrent de CrowdStrike :
« SentinelOne remercie Microsoft pour son leadership dans l’organisation du Windows Endpoint Security Ecosystem Summit et nous sommes pleinement engagés à contribuer à la réalisation de son objectif de réduire le risque d’événements futurs tels que celui causé par CrowdStrike. Nous pensons que la transparence est essentielle et sommes tout à fait d’accord avec Microsoft sur le fait que les entreprises de sécurité doivent respecter des normes strictes en matière d’ingénierie, de tests et de déploiement et suivre les meilleures pratiques en matière de développement et de déploiement de logiciels. Nous sommes fiers d’avoir suivi les processus dont Microsoft a parlé aujourd’hui pendant des années et de continuer à le faire à l’avenir ».
L’accès au noyau de Windows
Mais la discussion la plus animée a tourné autour de l’accès au noyau de Windows, l’une des principales causes de la débâcle de CrowdStrike. En effet, l’ampleur de la panne de CrowdStrike était due en grande partie à l’architecture Windows :
« Les développeurs d’applications système pour Windows, y compris les logiciels de sécurité, ont recours à des extensions et des pilotes noyau pour implémenter leurs fonctionnalités. Comme le montre cet incident, un code défectueux dans le noyau peut entraîner des problèmes irrémédiables, tandis que le code exécuté dans l’espace utilisateur est moins susceptible de provoquer de telles défaillances.
Apple, dans une démarche similaire avec macOS 11 en 2020, a modifié l’architecture de son système d’exploitation pour décourager l’utilisation des extensions de noyau. Les développeurs sont désormais invités à créer des extensions système qui fonctionnent dans l’espace utilisateur, plutôt qu’au niveau du noyau. CrowdStrike, sur macOS, utilise le Endpoint Security Framework d’Apple et affirme que son produit Falcon atteint les mêmes niveaux de visibilité, de détection et de protection en utilisant uniquement un capteur d’espace utilisateur.
Microsoft pourrait envisager une approche similaire pour Windows, mais une telle transformation risquerait de susciter des critiques et des préoccupations des autorités de la concurrence, notamment en Europe ».
De son côté, Microsoft met plutôt en avant les paramètres de sécurité par défaut de Windows 11. Ces paramètres visent à offrir davantage de capacités de sécurité aux fournisseurs de solutions, sans recourir au noyau. Selon Microsoft, les clients et les partenaires de l’écosystème ont exprimé le souhait que l’entreprise fournisse des fonctionnalités de sécurité supplémentaires en dehors du noyau.
Un sujet clivant
Cependant, cette idée ne réjouit pas tous les participants. Joe Levy, PDG de Sophos, a par exemple fait remarquer : « Nous avons été ravis de voir Microsoft soutenir de nombreuses recommandations de Sophos, basées sur l’ensemble des innovations architecturales et de processus que nous avons élaborées au fil des ans et que nous présentons aujourd’hui sur les 30 millions de terminaux Windows que nous protégeons dans le monde. Ce sommet a été une première étape importante et encourageante dans un parcours qui produira des améliorations progressives au fil du temps… »
Alors quelles sont ces recommandations ? Dans un billet de blog publié en août, Simon Reed, directeur scientifique et de la recherche chez Sophos, a clairement indiqué que l’entreprise considère l’accès au noyau Windows comme fondamental. « Opérer dans le noyau est d’une importance vitale pour les produits de sécurité. » Les pilotes du noyau sont « fondamentaux », a-t-il écrit, non seulement pour les produits Sophos mais pour « la sécurité des terminaux Windows en général ».
C’est pourquoi il est irréaliste d’espérer des changements radicaux sur Windows dans un avenir proche. Les arguments avancés par Sophos sont clairement partagés par les dirigeants d’autres sociétés de sécurité, qui craignent que la restriction de l’accès au noyau Windows ne confère aux produits de protection des terminaux de Microsoft un avantage concurrentiel crucial. C’est le genre de débat qui passe rapidement des ingénieurs aux avocats. Compte tenu de l’histoire de Microsoft avec les autorités antitrust en Europe et aux États-Unis.