Panne CrowdStrike : Microsoft prévoit des changements majeurs dans l'architecture de sécurité de Windows

L'entreprise va modifier l'accès au noyau de son OS pour réduire les risques de pannes similaires

En juillet dernier, une mise à jour défectueuse de CrowdStrike a provoqué une panne mondiale de Windows, affectant des millions d’appareils et paralysant de nombreuses entreprises. Pour éviter que ce type de catastrophe ne se reproduise, Microsoft a annoncé des changements majeurs dans l’architecture de sécurité de Windows.

Contexte de la catastrophe CrowdStrike

La panne a été causée par une mise à jour du logiciel de sécurité Falcon de CrowdStrike, qui a entraîné une erreur logique, provoquant un écran bleu de la mort (BSOD) sur environ 8,5 millions de PC. Cette mise à jour défectueuse a mis en lumière les risques associés à l’accès au noyau du système d’exploitation par les logiciels de sécurité.

Les changements prévus par Microsoft

Pour remédier à cette situation, Microsoft prévoit de modifier l’accès au noyau de Windows pour les solutions de sécurité. L’objectif est de permettre un accès « juste à temps » plutôt qu’un accès permanent, réduisant ainsi les risques de pannes similaires. Cette approche vise à équilibrer la sécurité et la performance, tout en maintenant une protection efficace contre les menaces.

Qu'est-ce que l'accès juste à temps ?

Grâce à la méthodologie d’accès « juste à temps », les organisations peuvent augmenter les privilèges des utilisateurs humains et machines en temps réel pour fournir un accès à privilèges élevé et granulaire à une application ou un système pour réaliser une tâche requise. Les analystes du secteur de la cybersécurité recommandent l’accès juste à temps en tant que méthode sécurisée de provisioning des accès à privilèges en réduisant les accès permanents.

L’accès juste à temps aide les organisations à provisionner l’accès de sorte que les utilisateurs disposent uniquement des privilèges permettant d’accéder aux comptes à privilèges et aux ressources dont ils ont besoin au moment où ils en ont besoin, et en aucune autres circonstances. Au lieu d’accorder un accès toujours disponible (ou permanent), les organisations peuvent utiliser l’accès juste à temps pour limiter l’accès à une ressource spécifiée à une période spécifique. Cette approche granulaire atténue le risque d’utilisation abusive des comptes à privilèges en réduisant considérablement le temps dont dispose un attaquant ou un acteur interne malveillant pour accéder à des comptes à privilèges avant de se déplacer latéralement dans un système et accéder sans autorisation à des données sensibles.

L’accès juste à temps peut être considéré comme un moyen d’appliquer le principe du moindre privilège afin de garantir que les utilisateurs et les identités machine bénéficie du niveau minimum de privilèges. L’accès juste à temps garantit également que les activités à privilèges sont menées conformément aux politiques de gestion des identités et des accès (IAM), de gestion des services informatiques (ITSM) et de gestion des accès à privilèges (PAM) de l’organisation, de même que ses droits et ses workflows.


Collaboration avec les partenaires de sécurité

Les programmes antivirus exploitent les privilèges du noyau pour surveiller les modifications malveillantes apportées aux parties les plus profondes du système d'exploitation. Mais cet accès est également une arme à double tranchant en cas de dysfonctionnement du logiciel antivirus. Dans le cas de CrowdStrike, une faille dans les processus de validation de l'entreprise a laissé passer une mise à jour boguée, ce qui a déclenché le plantage des machines Windows par son logiciel de sécurité.

Pour éviter un nouveau fiasco de la mise à jour de CrowdStrike, Microsoft envisage de créer une nouvelle plateforme au sein du système d'exploitation Windows, spécialement conçue pour la surveillance des antivirus.

Cette orientation a été indiqué lors d’un sommet de sécurité privé au cours duquel Microsoft a discuté avec des experts de l’industrie des défis et des exigences pour créer une nouvelle plateforme de sécurité. Cette plateforme permettra aux logiciels antivirus de fonctionner en dehors du noyau de Windows, offrant ainsi une protection sans compromettre la stabilité du système. Les discussions ont porté sur les besoins en performance, les mécanismes anti-sabotage et les exigences des capteurs de sécurité.

La panne a d'abord amené Microsoft à envisager de révoquer l'accès au noyau, ce qui pourrait transformer Windows en un système d'exploitation plus fermé, à l'instar de macOS d'Apple. Cependant, après avoir échangé avec des professionnels de la sécurité, l'entreprise ne s'est pas arrêtée à l'idée de restreindre le noyau Windows. Au lieu de cela, Microsoft a mentionné comment les clients et les partenaires ont demandé à l'entreprise de « fournir des capacités de sécurité supplémentaires en dehors du mode noyau », que les logiciels antivirus peuvent également exploiter pour fournir une protection.

« Lors du sommet, Microsoft et ses partenaires ont discuté des exigences et des principaux défis liés à la création d'une nouvelle plateforme capable de répondre aux besoins des fournisseurs de sécurité », a déclaré l'entreprise. Les domaines abordés comprennent les « besoins et défis en matière de performances en dehors du mode noyau », la fourniture d'un mécanisme anti-altération pour les programmes de sécurité et les « exigences en matière de capteurs de sécurité » pour la surveillance antivirus.

Redmond n'a pas donné plus de détails sur la couche de sécurité, qu'elle décrit comme un projet à long terme. Mais la société a ajouté : « Dans une prochaine étape, Microsoft continuera à concevoir et à développer cette nouvelle capacité de plate-forme avec la contribution et la collaboration des partenaires de l'écosystème afin d'atteindre l'objectif d'une fiabilité accrue sans sacrifier la sécurité ».

L'événement a été fermé aux journalistes, mais l'entreprise a décidé jeudi de partager certains des résultats, qui comprennent l'exploration de « nouvelles capacités de plate-forme que Microsoft prévoit de rendre disponibles dans Windows ».

« Bien qu'il ne s'agisse pas d'une réunion de prise de décision, nous croyons en l'importance de la transparence et de l'engagement de la communauté », a ajouté Redmond dans son billet de blog.

Les experts en sécurité qui ont participé au sommet semble plutôt satisfaits

Comme on pouvait s'y attendre, dans une salle remplie d'experts en sécurité informatique des fournisseurs qui discutaient tous du fonctionnement interne et des faiblesses de l'écosystème de la sécurité des points finaux, tout n'a pas été révélé dans le blog de Microsoft résumant l'événement, les cybercriminels entre autres étant toujours à l'affût.

Toutefois, ceux qui s'intéressent de près à la question semblent avoir bien accueilli le sommet et ses conclusions.

Joe Levy, PDG de Sophos, a déclaré dans un communiqué :

« Le sommet de l'écosystème Windows Endpoint Security de Microsoft a été un appel à l'action critique pour les fournisseurs de sécurité des points d'accès après la panne informatique mondiale de juillet. Ce sommet nous a donné l'occasion de nous réunir pour entamer un dialogue sur le comment et le pourquoi nous devons repenser des sujets importants, tels que les architectures de noyau, le risque de monocultures, les pratiques de déploiement sûres, la transparence des fournisseurs, et bien d'autres choses encore.

« Avant la panne, la plupart des gens ne se demandaient pas qui ou quoi avait accès au noyau, aux fonctions ELAM [Early Launch AntiMalware], aux mises à jour de données et à d'autres technologies qui permettent aux utilisateurs de bénéficier de protections, mais qui nécessitent une planification technique et architecturale précise. Il est alarmant de constater que certaines entreprises de sécurité n'ont pas suffisamment réfléchi à ces questions ».

Le sentiment de Levy a été largement partagé par d'autres personnes présentes, notamment des responsables de Broadcom, SentinelOne, Trellix et Trend Micro. Le point de vue d'ESET était le même, mais il a également déclaré qu'il était « impératif » de maintenir l'accès au noyau pour les produits de sécurité.

Microsoft a souligné les changements prévus pour Windows, qui ont été annoncés en mai - avant le désastre de CrowdStrike - et qui incluent l'intention de s'assurer que l'accès au noyau est disponible juste à temps, plutôt qu'en permanence.

[B][SIZE=3]Des[/size=3]...