La semaine dernire, une panne cause par une mise jour dfectueuse de CrowdStrike a touch environ 8,5 millions dappareils Windows. En rponse cet incident, Microsoft souhaite renforcer la rsilience de son systme dexploitation en limitant laccs des tiers au noyau Windows. Pour viter une nouvelle panne de type CrowdStrike, Windows deviendra-t-il un systme d’exploitation plus ferm, comme macOS d’Apple ?
Microsoft continue d’aider CrowdStrike rparer les dgts causs il y a une semaine, lorsque 8,5 millions d’ordinateurs ont t mis hors service cause d’une mise jour bogue de CrowdStrike. Aujourd’hui, le gant du logiciel appelle des modifications de Windows et laisse entendre subtilement que sa priorit est de rendre Windows plus rsistant et qu’il est prt empcher les fournisseurs de solutions de scurit comme CrowdStrike d’accder au noyau de Windows.
Bien que CrowdStrike ait attribu sa mise jour rate un bogue dans son logiciel de test, son logiciel fonctionne au niveau du noyau – la partie centrale d’un systme d’exploitation qui a un accs illimit la mmoire du systme et au matriel. Cela signifie que si quelque chose ne va pas avec l’application de CrowdStrike, elle peut faire tomber les machines Windows avec un cran bleu de la mort.
Le logiciel Falcon de CrowdStrike utilise un pilote spcial qui lui permet de fonctionner un niveau infrieur celui de la plupart des applications, de sorte qu’il peut dtecter les menaces sur l’ensemble d’un systme Windows. En 2006, Microsoft a tent d’empcher les tiers d’accder au noyau de Windows Vista, mais s’est heurt au refus des fournisseurs de cyberscurit et des autorits de rglementation de l’UE. Toutefois, Apple a russi verrouiller son systme d’exploitation macOS en 2020 afin que les dveloppeurs ne puissent plus accder au noyau.
Aujourd’hui, il semble que Microsoft veuille rouvrir le dbat sur la restriction de l’accs au niveau du noyau dans Windows.
Que peut faire Microsoft ?
Bien qu’il ne soit pas directement impliqu, Microsoft contrle toujours l’exprience Windows, et il y a beaucoup de place pour l’amlioration dans la faon dont Windows gre des problmes comme celui-ci.
Au minimum, Windows pourrait dsactiver les pilotes dfectueux. Si Windows dtermine qu’un pilote fait planter le systme au dmarrage et le force passer en mode de rcupration, Microsoft pourrait intgrer une logique plus intelligente permettant un systme de dmarrer sans le pilote dfectueux aprs plusieurs checs de dmarrage.
Mais le changement le plus important consisterait verrouiller l’accs au noyau de Windows afin d’empcher les pilotes tiers de faire planter un PC entier. Ironiquement, Microsoft a essay de faire exactement cela avec Windows Vista, mais s’est heurt la rsistance des fournisseurs de cyberscurit et des rgulateurs de l’UE.
En 2006, Microsoft a tent de mettre en uvre une fonction connue l’poque sous le nom de PatchGuard dans Windows Vista, en empchant les tiers d’accder au noyau. McAfee et Symantec, les deux plus grands diteurs d’antivirus de l’poque, se sont opposs aux changements de Microsoft, et Symantec s’est mme plaint auprs de la Commission europenne. Microsoft a finalement fait marche arrire, autorisant nouveau les fournisseurs de solutions de scurit accder au noyau des fins de contrle de la scurit.
Apple a fini par prendre la mme mesure, en verrouillant son systme d’exploitation macOS en 2020 afin que les dveloppeurs ne puissent plus accder au noyau. C’tait certainement la bonne dcision de la part d’Apple de rendre obsoltes les extensions tierces du noyau , dclare Patrick Wardle, PDG de DoubleYou et fondateur de Objective-See Foundation. Mais le chemin parcourir pour y parvenir a t sem d’embches. Apple a connu quelques bogues de noyau o les outils de scurit fonctionnant en mode utilisateur pouvaient encore dclencher un crash (panique du noyau), et Wardle dit qu’Apple a galement introduit quelques vulnrabilits d’excution de privilges, et il y a encore d’autres bogues qui pourraient permettre aux outils de scurit sur Mac d’tre dchargs par des logiciels malveillants .
Il est possible que des pressions rglementaires empchent encore Microsoft d’agir dans ce domaine. Le Wall Street Journal a rapport ce week-end qu’un porte-parole de Microsoft a dclar que la socit ne pouvait pas lgalement cloisonner son systme d’exploitation de la mme manire qu’Apple, en raison d’un accord conclu avec la Commission europenne la suite d’une plainte . Le Journal paraphrase le porte-parole anonyme et mentionne galement un accord de 2009 visant fournir aux diteurs de solutions de scurit le mme niveau d’accs Windows que Microsoft.
En 2009, Microsoft a conclu un accord d’interoprabilit avec la Commission europenne. Il s’agissait d’un engagement public visant permettre aux dveloppeurs d’accder la documentation technique ncessaire la cration d’applications au-dessus de Windows. L’accord comprenait la mise en uvre d’un cran de choix du navigateur dans Windows et l’offre de versions spciales de Windows sans Internet Explorer intgr dans le systme d’exploitation.
Dans quelle direction l’entreprise a-t-elle dcid d’voluer ?
Cet incident montre clairement que Windows doit donner la priorit au changement et l’innovation dans le domaine de la rsilience de bout en bout , dclare John Cable, vice-prsident de la gestion des programmes pour le service et la livraison de Windows, dans un billet de blog intitul Rsilience de Windows : Les meilleures pratiques et la voie suivre . Cable appelle une coopration plus troite entre Microsoft et ses partenaires qui se soucient galement beaucoup de la scurit de l’cosystme Windows afin d’apporter des amliorations en matire de scurit.
Microsoft a attribu une partie de la panne de CrowdStrike l’accord antitrust de l’Union europenne de 2009 qui oblige Redmond ouvrir l’accs au niveau du noyau aux fournisseurs de logiciels tiers. En revanche, Apple a commenc supprimer progressivement les extensions du noyau dans macOS en 2020 et a incit les diteurs de logiciels utiliser le framework d’extension du systme , en citant les avantages en termes de fiabilit et de scurit.
Cable ne demande pas Microsoft de couper compltement l’accs au noyau Windows. Il propose plutt des alternatives, telles que les enclaves VBS rcemment annonces, qui fournissent un environnement informatique isol qui ne ncessite pas que les pilotes du mode noyau soient rsistants aux manipulations .
Envoy par John CableIl est toujours possible qu’une panne ait un impact sur une organisation. Au cours des derniers jours, nous avons eu des milliers d’appels avec des organisations du monde entier. Nous avons observ que celles qui ont t en mesure de remdier la situation et de se rtablir le plus rapidement ont suivi un ensemble de pratiques similaires. Nous souhaitons partager ces meilleures pratiques avec vous.
L’industrie des solutions de cyberscurit suit l’volution de la situation avec attention
Malgr cela, le billet de Cable soulve la question de savoir si les efforts dploys par Microsoft pour scuriser l’accs au noyau pourraient nuire aux diteurs de logiciels tiers. Par exemple, les logiciels antivirus peuvent utiliser l’accs au niveau du noyau pour surveiller les changements malveillants apports au systme d’exploitation Windows ds les premires tapes.
Sans les privilges du mode noyau, [les antivirus et les systmes de dtection et de rponse des points d’extrmit] sont extrmement limits dans ce qu’ils peuvent faire. Cependant, nous ne pensons pas que Microsoft va vraiment rvoquer l’accs au mode noyau pour les fournisseurs de scurit , a tweet le service de suivi des logiciels malveillants VX-Underground.
Bad. Without kernel mode privileges, AVs and EDRs are extremely restricted in what they can do. However, we don’t believe Microsoft will truly revoke kernel mode access to security vendors.
— vx-underground (@vxunderground) July 26, 2024
Pour sa part, Matthew Prince, PDG de Cloudflare, a dj mis en garde contre les effets d’un verrouillage plus pouss de Windows par Microsoft, qui devra donc prendre soigneusement en compte les besoins des fournisseurs de solutions de scurit s’il souhaite oprer un vritable changement.
Heres the scary thing thats likely to happen based on the facts of the day if we dont pay attention. Microsoft, who competes with @CrowdStrike, will argue that they should lock all third-party security vendors out of their OS. Its the only way we can be safe, theyll
— Matthew Prince 🌥 (@eastdakota) July 20, 2024
Conclusion
Microsoft cherche viter les pannes similaires celle de CrowdStrike en renforant la scurit tout en prservant laccs ncessaire aux diteurs tiers. Lavenir de Windows sera-t-il plus ferm ? Lentreprise devra trouver un quilibre entre scurit et flexibilit0
Sources : Microsoft (1, 2) Apple
Et vous ?
Quelle est votre opinion sur laccs au noyau Windows ? Pensez-vous que Microsoft devrait restreindre davantage laccs des tiers pour amliorer la scurit, ou est-ce une atteinte la libert des dveloppeurs ?
Quelles alternatives laccs au noyau Windows sont envisageables ? part les enclaves VBS, existe-t-il dautres moyens de garantir la scurit sans compromettre la flexibilit ?
Comment valuez-vous la raction de Microsoft suite lincident avec CrowdStrike ? Trouvez-vous quils ont agi rapidement et de manire approprie ?
Quelles sont les implications pour les utilisateurs et les entreprises ? Comment cette rforme pourrait-elle affecter les performances, la compatibilit des logiciels tiers et la confiance des utilisateurs envers Windows ?