En juillet dernier, une mise jour dfectueuse de CrowdStrike a provoqu une panne mondiale de Windows, affectant des millions dappareils et paralysant de nombreuses entreprises. Pour viter que ce type de catastrophe ne se reproduise, Microsoft a annonc des changements majeurs dans larchitecture de scurit de Windows.
Contexte de la catastrophe CrowdStrike
La panne a t cause par une mise jour du logiciel de scurit Falcon de CrowdStrike, qui a entran une erreur logique, provoquant un cran bleu de la mort (BSOD) sur environ 8,5 millions de PC. Cette mise jour dfectueuse a mis en lumire les risques associs laccs au noyau du systme dexploitation par les logiciels de scurit.
Les changements prvus par Microsoft
Pour remdier cette situation, Microsoft prvoit de modifier laccs au noyau de Windows pour les solutions de scurit. Lobjectif est de permettre un accs juste temps plutt quun accs permanent, rduisant ainsi les risques de pannes similaires. Cette approche vise quilibrer la scurit et la performance, tout en maintenant une protection efficace contre les menaces.
Qu’est-ce que l’accs juste temps ?
Grce la mthodologie daccs juste temps , les organisations peuvent augmenter les privilges des utilisateurs humains et machines en temps rel pour fournir un accs privilges lev et granulaire une application ou un systme pour raliser une tche requise. Les analystes du secteur de la cyberscurit recommandent laccs juste temps en tant que mthode scurise de provisioning des accs privilges en rduisant les accs permanents.
Laccs juste temps aide les organisations provisionner laccs de sorte que les utilisateurs disposent uniquement des privilges permettant daccder aux comptes privilges et aux ressources dont ils ont besoin au moment o ils en ont besoin, et en aucune autres circonstances. Au lieu daccorder un accs toujours disponible (ou permanent), les organisations peuvent utiliser laccs juste temps pour limiter laccs une ressource spcifie une priode spcifique. Cette approche granulaire attnue le risque dutilisation abusive des comptes privilges en rduisant considrablement le temps dont dispose un attaquant ou un acteur interne malveillant pour accder des comptes privilges avant de se dplacer latralement dans un systme et accder sans autorisation des donnes sensibles.
Laccs juste temps peut tre considr comme un moyen dappliquer le principe du moindre privilge afin de garantir que les utilisateurs et les identits machine bnficie du niveau minimum de privilges. Laccs juste temps garantit galement que les activits privilges sont menes conformment aux politiques de gestion des identits et des accs (IAM), de gestion des services informatiques (ITSM) et de gestion des accs privilges (PAM) de lorganisation, de mme que ses droits et ses workflows.
Collaboration avec les partenaires de scurit
Les programmes antivirus exploitent les privilges du noyau pour surveiller les modifications malveillantes apportes aux parties les plus profondes du systme d’exploitation. Mais cet accs est galement une arme double tranchant en cas de dysfonctionnement du logiciel antivirus. Dans le cas de CrowdStrike, une faille dans les processus de validation de l’entreprise a laiss passer une mise jour bogue, ce qui a dclench le plantage des machines Windows par son logiciel de scurit.
Pour viter un nouveau fiasco de la mise jour de CrowdStrike, Microsoft envisage de crer une nouvelle plateforme au sein du systme d’exploitation Windows, spcialement conue pour la surveillance des antivirus.
Cette orientation a t indiqu lors dun sommet de scurit priv au cours duquel Microsoft a discut avec des experts de lindustrie des dfis et des exigences pour crer une nouvelle plateforme de scurit. Cette plateforme permettra aux logiciels antivirus de fonctionner en dehors du noyau de Windows, offrant ainsi une protection sans compromettre la stabilit du systme. Les discussions ont port sur les besoins en performance, les mcanismes anti-sabotage et les exigences des capteurs de scurit.
La panne a d’abord amen Microsoft envisager de rvoquer l’accs au noyau, ce qui pourrait transformer Windows en un systme d’exploitation plus ferm, l’instar de macOS d’Apple. Cependant, aprs avoir chang avec des professionnels de la scurit, l’entreprise ne s’est pas arrte l’ide de restreindre le noyau Windows. Au lieu de cela, Microsoft a mentionn comment les clients et les partenaires ont demand l’entreprise de fournir des capacits de scurit supplmentaires en dehors du mode noyau , que les logiciels antivirus peuvent galement exploiter pour fournir une protection.
Lors du sommet, Microsoft et ses partenaires ont discut des exigences et des principaux dfis lis la cration d’une nouvelle plateforme capable de rpondre aux besoins des fournisseurs de scurit , a dclar l’entreprise. Les domaines abords comprennent les besoins et dfis en matire de performances en dehors du mode noyau , la fourniture d’un mcanisme anti-altration pour les programmes de scurit et les exigences en matire de capteurs de scurit pour la surveillance antivirus.
Redmond n’a pas donn plus de dtails sur la couche de scurit, qu’elle dcrit comme un projet long terme. Mais la socit a ajout : Dans une prochaine tape, Microsoft continuera concevoir et dvelopper cette nouvelle capacit de plate-forme avec la contribution et la collaboration des partenaires de l’cosystme afin d’atteindre l’objectif d’une fiabilit accrue sans sacrifier la scurit .
L’vnement a t ferm aux journalistes, mais l’entreprise a dcid jeudi de partager certains des rsultats, qui comprennent l’exploration de nouvelles capacits de plate-forme que Microsoft prvoit de rendre disponibles dans Windows .
Bien qu’il ne s’agisse pas d’une runion de prise de dcision, nous croyons en l’importance de la transparence et de l’engagement de la communaut , a ajout Redmond dans son billet de blog.
Les experts en scurit qui ont particip au sommet semble plutt satisfaits
Comme on pouvait s’y attendre, dans une salle remplie d’experts en scurit informatique des fournisseurs qui discutaient tous du fonctionnement interne et des faiblesses de l’cosystme de la scurit des points finaux, tout n’a pas t rvl dans le blog de Microsoft rsumant l’vnement, les cybercriminels entre autres tant toujours l’afft.
Toutefois, ceux qui s’intressent de prs la question semblent avoir bien accueilli le sommet et ses conclusions.
Joe Levy, PDG de Sophos, a dclar dans un communiqu :
Le sommet de l’cosystme Windows Endpoint Security de Microsoft a t un appel l’action critique pour les fournisseurs de scurit des points d’accs aprs la panne informatique mondiale de juillet. Ce sommet nous a donn l’occasion de nous runir pour entamer un dialogue sur le comment et le pourquoi nous devons repenser des sujets importants, tels que les architectures de noyau, le risque de monocultures, les pratiques de dploiement sres, la transparence des fournisseurs, et bien d’autres choses encore.
Avant la panne, la plupart des gens ne se demandaient pas qui ou quoi avait accs au noyau, aux fonctions ELAM [Early Launch AntiMalware], aux mises jour de donnes et d’autres technologies qui permettent aux utilisateurs de bnficier de protections, mais qui ncessitent une planification technique et architecturale prcise. Il est alarmant de constater que certaines entreprises de scurit n’ont pas suffisamment rflchi ces questions .
Le sentiment de Levy a t largement partag par d’autres personnes prsentes, notamment des responsables de Broadcom, SentinelOne, Trellix et Trend Micro. Le point de vue d’ESET tait le mme, mais il a galement dclar qu’il tait impratif de maintenir l’accs au noyau pour les produits de scurit.
Microsoft a soulign les changements prvus pour Windows, qui ont t annoncs en mai – avant le dsastre de CrowdStrike – et qui incluent l’intention de s’assurer que l’accs au noyau est disponible juste temps, plutt qu’en permanence.
Des changements court et long terme
Microsoft a prcdemment laiss entendre que l’UE l’avait contraint en 2009 fournir aux fournisseurs de solutions de scurit le mme niveau d’accs son systme d’exploitation que celui accord ses propres produits de scurit. Cela s’inscrivait dans le contexte d’une surveillance europenne de longue date de l’entreprise.
Quelles que soient les raisons, le changement l’accs du noyau est imminent, a promis Microsoft, et ces modifications seront guides par les commentaires de l’ensemble de l’industrie.
Dans une prochaine tape, Microsoft continuera concevoir et dvelopper cette nouvelle capacit de plate-forme avec la contribution et la collaboration des partenaires de l’cosystme afin d’atteindre l’objectif d’une fiabilit accrue sans sacrifier la scurit , a dclar la socit dans son rsum du sommet.
L’autre projet long terme que Microsoft et les fournisseurs de solutions de scurit doivent faire progresser est l’laboration de meilleures pratiques pour le dploiement en toute scurit des mises jour de la plateforme. L’ide serait de les adopter dans l’ensemble de l’cosystme des fournisseurs.
Nous sommes confronts un ensemble commun de dfis pour dployer en toute scurit des mises jour dans le vaste cosystme Windows, qu’il s’agisse de dcider comment procder des dploiements mesurs avec un ensemble diversifi de points finaux ou de pouvoir interrompre ou revenir en arrire en cas de besoin , a dclar Microsoft.
L’un des principes fondamentaux des [Safe Deployment Practices (SDP)] est le dploiement progressif et chelonn des mises jour envoyes aux clients. Microsoft Defender for Endpoint publie des SDP et de nombreux partenaires de notre cosystme, tels que Broadcom, Sophos et Trend Micro, ont galement partag leur approche des SDP. Cette discussion riche lors du sommet se poursuivra dans le cadre d’un effort de collaboration avec nos partenaires MVI afin de crer un ensemble commun de meilleures pratiques que nous utiliserons en tant qu’cosystme l’avenir .
plus court terme, Microsoft a dclar qu’elle s’engageait faire des progrs rapides sur des questions telles que les tests de composants critiques, le partage d’informations sur l’tat des produits, l’efficacit de la rponse aux incidents et les tests de compatibilit conjoints entre diverses configurations.
Source : Microsoft
Et vous ?
Quels sont les avantages et les inconvnients dun accs juste–temps au noyau de Windows pour les logiciels de scurit ?
Comment pensez-vous que les entreprises devraient quilibrer la scurit et la performance dans leurs systmes informatiques ?
Quels autres incidents de scurit clbres vous viennent lesprit, et comment ont-ils t grs ?
Selon vous, quelles sont les meilleures pratiques pour tester les mises jour de scurit avant leur dploiement grande chelle ?
Comment les utilisateurs finaux peuvent-ils se protger contre les pannes causes par des mises jour de logiciels de scurit ?
Pensez-vous que les fournisseurs de scurit devraient avoir plus ou moins de contrle sur les systmes dexploitation ? Pourquoi ?
Quels rles les utilisateurs et les administrateurs systme devraient-ils jouer dans la gestion des mises jour de scurit ?
Comment les entreprises peuvent-elles amliorer leur rsilience face aux pannes informatiques ?