Panne CrowdStrike : Microsoft prévoit des changements majeurs dans l'architecture de sécurité de Windows

L'entreprise va modifier l'accès au noyau de son OS pour réduire les risques de pannes similaires

En juillet dernier, une mise à jour défectueuse de CrowdStrike a provoqué une panne mondiale de Windows, affectant des millions d’appareils et paralysant de nombreuses entreprises. Pour éviter que ce type de catastrophe ne se reproduise, Microsoft a annoncé des changements majeurs dans l’architecture de sécurité de Windows.

Contexte de la catastrophe CrowdStrike

La panne a été causée par une mise à jour du logiciel de sécurité Falcon de CrowdStrike, qui a entraîné une erreur logique, provoquant un écran bleu de la mort (BSOD) sur environ 8,5 millions de PC. Cette mise à jour défectueuse a mis en lumière les risques associés à l’accès au noyau du système d’exploitation par les logiciels de sécurité.

Les changements prévus par Microsoft

Pour remédier à cette situation, Microsoft prévoit de modifier l’accès au noyau de Windows pour les solutions de sécurité. L’objectif est de permettre un accès « juste à temps » plutôt qu’un accès permanent, réduisant ainsi les risques de pannes similaires. Cette approche vise à équilibrer la sécurité et la performance, tout en maintenant une protection efficace contre les menaces.

Qu'est-ce que l'accès juste à temps ?

Grâce à la méthodologie d’accès « juste à temps », les organisations peuvent augmenter les privilèges des utilisateurs humains et machines en temps réel pour fournir un accès à privilèges élevé et granulaire à une application ou un système pour réaliser une tâche requise. Les analystes du secteur de la cybersécurité recommandent l’accès juste à temps en tant que méthode sécurisée de provisioning des accès à privilèges en réduisant les accès permanents.

L’accès juste à temps aide les organisations à provisionner l’accès de sorte que les utilisateurs disposent uniquement des privilèges permettant d’accéder aux comptes à privilèges et aux ressources dont ils ont besoin au moment où ils en ont besoin, et en aucune autres circonstances. Au lieu d’accorder un accès toujours disponible (ou permanent), les organisations peuvent utiliser l’accès juste à temps pour limiter l’accès à une ressource spécifiée à une période spécifique. Cette approche granulaire atténue le risque d’utilisation abusive des comptes à privilèges en réduisant considérablement le temps dont dispose un attaquant ou un acteur interne malveillant pour accéder à des comptes à privilèges avant de se déplacer latéralement dans un système et accéder sans autorisation à des données sensibles.

L’accès juste à temps peut être considéré comme un moyen d’appliquer le principe du moindre privilège afin de garantir que les utilisateurs et les identités machine bénéficie du niveau minimum de privilèges. L’accès juste à temps garantit également que les activités à privilèges sont menées conformément aux politiques de gestion des identités et des accès (IAM), de gestion des services informatiques (ITSM) et de gestion des accès à privilèges (PAM) de l’organisation, de même que ses droits et ses workflows.


Collaboration avec les partenaires de sécurité

Les programmes antivirus exploitent les privilèges du noyau pour surveiller les modifications malveillantes apportées aux parties les plus profondes du système d'exploitation. Mais cet accès est également une arme à double tranchant en cas de dysfonctionnement du logiciel antivirus. Dans le cas de CrowdStrike, une faille dans les processus de validation de l'entreprise a laissé passer une mise à jour boguée, ce qui a déclenché le plantage des machines Windows par son logiciel de sécurité.

Pour éviter un nouveau fiasco de la mise à jour de CrowdStrike, Microsoft envisage de créer une nouvelle plateforme au sein du système d'exploitation Windows, spécialement conçue pour la surveillance des antivirus.

Cette orientation a été indiqué lors d’un sommet de sécurité privé au cours duquel Microsoft a discuté avec des experts de l’industrie des défis et des exigences pour créer une nouvelle plateforme de sécurité. Cette plateforme permettra aux logiciels antivirus de fonctionner en dehors du noyau de Windows, offrant ainsi une protection sans compromettre la stabilité du système. Les discussions ont porté sur les besoins en performance, les mécanismes anti-sabotage et les exigences des capteurs de sécurité.

La panne a d'abord amené Microsoft à envisager de révoquer l'accès au noyau, ce qui pourrait transformer Windows en un système d'exploitation plus fermé, à l'instar de macOS d'Apple. Cependant, après avoir échangé avec des professionnels de la sécurité, l'entreprise ne s'est pas arrêtée à l'idée de restreindre le noyau Windows. Au lieu de cela, Microsoft a mentionné comment les clients et les partenaires ont demandé à l'entreprise de « fournir des capacités de sécurité supplémentaires en dehors du mode noyau », que les logiciels antivirus peuvent également exploiter pour fournir une protection.

« Lors du sommet, Microsoft et ses partenaires ont discuté des exigences et des principaux défis liés à la création d'une nouvelle plateforme capable de répondre aux besoins des fournisseurs de sécurité », a déclaré l'entreprise. Les domaines abordés comprennent les « besoins et défis en matière de performances en dehors du mode noyau », la fourniture d'un mécanisme anti-altération pour les programmes de sécurité et les « exigences en matière de capteurs de sécurité » pour la surveillance antivirus.

Redmond n'a pas donné plus de détails sur la couche de sécurité, qu'elle décrit comme un projet à long terme. Mais la société a ajouté : « Dans une prochaine étape, Microsoft continuera à concevoir et à développer cette nouvelle capacité de plate-forme avec la contribution et la collaboration des partenaires de l'écosystème afin d'atteindre l'objectif d'une fiabilité accrue sans sacrifier la sécurité ».

L'événement a été fermé aux journalistes, mais l'entreprise a décidé jeudi de partager certains des résultats, qui comprennent l'exploration de « nouvelles capacités de plate-forme que Microsoft prévoit de rendre disponibles dans Windows ».

« Bien qu'il ne s'agisse pas d'une réunion de prise de décision, nous croyons en l'importance de la transparence et de l'engagement de la communauté », a ajouté Redmond dans son billet de blog.

Les experts en sécurité qui ont participé au sommet semble plutôt satisfaits

Comme on pouvait s'y attendre, dans une salle remplie d'experts en sécurité informatique des fournisseurs qui discutaient tous du fonctionnement interne et des faiblesses de l'écosystème de la sécurité des points finaux, tout n'a pas été révélé dans le blog de Microsoft résumant l'événement, les cybercriminels entre autres étant toujours à l'affût.

Toutefois, ceux qui s'intéressent de près à la question semblent avoir bien accueilli le sommet et ses conclusions.

Joe Levy, PDG de Sophos, a déclaré dans un communiqué :

« Le sommet de l'écosystème Windows Endpoint Security de Microsoft a été un appel à l'action critique pour les fournisseurs de sécurité des points d'accès après la panne informatique mondiale de juillet. Ce sommet nous a donné l'occasion de nous réunir pour entamer un dialogue sur le comment et le pourquoi nous devons repenser des sujets importants, tels que les architectures de noyau, le risque de monocultures, les pratiques de déploiement sûres, la transparence des fournisseurs, et bien d'autres choses encore.

« Avant la panne, la plupart des gens ne se demandaient pas qui ou quoi avait accès au noyau, aux fonctions ELAM [Early Launch AntiMalware], aux mises à jour de données et à d'autres technologies qui permettent aux utilisateurs de bénéficier de protections, mais qui nécessitent une planification technique et architecturale précise. Il est alarmant de constater que certaines entreprises de sécurité n'ont pas suffisamment réfléchi à ces questions ».

Le sentiment de Levy a été largement partagé par d'autres personnes présentes, notamment des responsables de Broadcom, SentinelOne, Trellix et Trend Micro. Le point de vue d'ESET était le même, mais il a également déclaré qu'il était « impératif » de maintenir l'accès au noyau pour les produits de sécurité.

Microsoft a souligné les changements prévus pour Windows, qui ont été annoncés en mai - avant le désastre de CrowdStrike - et qui incluent l'intention de s'assurer que l'accès au noyau est disponible juste à temps, plutôt qu'en permanence.

Des changements à court et long terme

Microsoft a précédemment laissé entendre que l'UE l'avait contraint en 2009 à fournir aux fournisseurs de solutions de sécurité le même niveau d'accès à son système d'exploitation que celui accordé à ses propres produits de sécurité. Cela s'inscrivait dans le contexte d'une surveillance européenne de longue date de l'entreprise.

Quelles que soient les raisons, le changement à l'accès du noyau est imminent, a promis Microsoft, et ces modifications seront guidées par les commentaires de l'ensemble de l'industrie.

« Dans une prochaine étape, Microsoft continuera à concevoir et à développer cette nouvelle capacité de plate-forme avec la contribution et la collaboration des partenaires de l'écosystème afin d'atteindre l'objectif d'une fiabilité accrue sans sacrifier la sécurité », a déclaré la société dans son résumé du sommet.

L'autre projet à long terme que Microsoft et les fournisseurs de solutions de sécurité doivent faire progresser est l'élaboration de meilleures pratiques pour le déploiement en toute sécurité des mises à jour de la plateforme. L'idée serait de les adopter dans l'ensemble de l'écosystème des fournisseurs.

« Nous sommes confrontés à un ensemble commun de défis pour déployer en toute sécurité des mises à jour dans le vaste écosystème Windows, qu'il s'agisse de décider comment procéder à des déploiements mesurés avec un ensemble diversifié de points finaux ou de pouvoir interrompre ou revenir en arrière en cas de besoin », a déclaré Microsoft.

« L'un des principes fondamentaux des [Safe Deployment Practices (SDP)] est le déploiement progressif et échelonné des mises à jour envoyées aux clients. Microsoft Defender for Endpoint publie des SDP et de nombreux partenaires de notre écosystème, tels que Broadcom, Sophos et Trend Micro, ont également partagé leur approche des SDP. Cette discussion riche lors du sommet se poursuivra dans le cadre d'un effort de collaboration avec nos partenaires MVI afin de créer un ensemble commun de meilleures pratiques que nous utiliserons en tant qu'écosystème à l'avenir ».

À plus court terme, Microsoft a déclaré qu'elle s'engageait à faire des « progrès rapides » sur des questions telles que les tests de composants critiques, le partage d'informations sur l'état des produits, l'efficacité de la réponse aux incidents et les tests de compatibilité conjoints entre diverses configurations.

Source : Microsoft

Et vous ?

Quels sont les avantages et les inconvénients d’un accès “juste-à-temps” au noyau de Windows pour les logiciels de sécurité ?
Comment pensez-vous que les entreprises devraient équilibrer la sécurité et la performance dans leurs systèmes informatiques ?
Quels autres incidents de sécurité célèbres vous viennent à l’esprit, et comment ont-ils été gérés ?
Selon vous, quelles sont les meilleures pratiques pour tester les mises à jour de sécurité avant leur déploiement à grande échelle ?
Comment les utilisateurs finaux peuvent-ils se protéger contre les pannes causées par des mises à jour de logiciels de sécurité ?
Pensez-vous que les fournisseurs de sécurité devraient avoir plus ou moins de contrôle sur les systèmes d’exploitation ? Pourquoi ?
Quels rôles les utilisateurs et les administrateurs système devraient-ils jouer dans la gestion des mises à jour de sécurité ?
Comment les entreprises peuvent-elles améliorer leur résilience face aux pannes informatiques ?