IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Panne CrowdStrike : Microsoft prévoit des changements majeurs dans l'architecture de sécurité de Windows
L'entreprise va modifier l'accès au noyau de son OS pour réduire les risques de pannes similaires

Le , par Stéphane le calme

25PARTAGES

8  0 
En juillet dernier, une mise à jour défectueuse de CrowdStrike a provoqué une panne mondiale de Windows, affectant des millions d’appareils et paralysant de nombreuses entreprises. Pour éviter que ce type de catastrophe ne se reproduise, Microsoft a annoncé des changements majeurs dans l’architecture de sécurité de Windows.

Contexte de la catastrophe CrowdStrike

La panne a été causée par une mise à jour du logiciel de sécurité Falcon de CrowdStrike, qui a entraîné une erreur logique, provoquant un écran bleu de la mort (BSOD) sur environ 8,5 millions de PC. Cette mise à jour défectueuse a mis en lumière les risques associés à l’accès au noyau du système d’exploitation par les logiciels de sécurité.

Les changements prévus par Microsoft

Pour remédier à cette situation, Microsoft prévoit de modifier l’accès au noyau de Windows pour les solutions de sécurité. L’objectif est de permettre un accès « juste à temps » plutôt qu’un accès permanent, réduisant ainsi les risques de pannes similaires. Cette approche vise à équilibrer la sécurité et la performance, tout en maintenant une protection efficace contre les menaces.

Qu'est-ce que l'accès juste à temps ?

Grâce à la méthodologie d’accès « juste à temps », les organisations peuvent augmenter les privilèges des utilisateurs humains et machines en temps réel pour fournir un accès à privilèges élevé et granulaire à une application ou un système pour réaliser une tâche requise. Les analystes du secteur de la cybersécurité recommandent l’accès juste à temps en tant que méthode sécurisée de provisioning des accès à privilèges en réduisant les accès permanents.

L’accès juste à temps aide les organisations à provisionner l’accès de sorte que les utilisateurs disposent uniquement des privilèges permettant d’accéder aux comptes à privilèges et aux ressources dont ils ont besoin au moment où ils en ont besoin, et en aucune autres circonstances. Au lieu d’accorder un accès toujours disponible (ou permanent), les organisations peuvent utiliser l’accès juste à temps pour limiter l’accès à une ressource spécifiée à une période spécifique. Cette approche granulaire atténue le risque d’utilisation abusive des comptes à privilèges en réduisant considérablement le temps dont dispose un attaquant ou un acteur interne malveillant pour accéder à des comptes à privilèges avant de se déplacer latéralement dans un système et accéder sans autorisation à des données sensibles.

L’accès juste à temps peut être considéré comme un moyen d’appliquer le principe du moindre privilège afin de garantir que les utilisateurs et les identités machine bénéficie du niveau minimum de privilèges. L’accès juste à temps garantit également que les activités à privilèges sont menées conformément aux politiques de gestion des identités et des accès (IAM), de gestion des services informatiques (ITSM) et de gestion des accès à privilèges (PAM) de l’organisation, de même que ses droits et ses workflows.


Collaboration avec les partenaires de sécurité

Les programmes antivirus exploitent les privilèges du noyau pour surveiller les modifications malveillantes apportées aux parties les plus profondes du système d'exploitation. Mais cet accès est également une arme à double tranchant en cas de dysfonctionnement du logiciel antivirus. Dans le cas de CrowdStrike, une faille dans les processus de validation de l'entreprise a laissé passer une mise à jour boguée, ce qui a déclenché le plantage des machines Windows par son logiciel de sécurité.

Pour éviter un nouveau fiasco de la mise à jour de CrowdStrike, Microsoft envisage de créer une nouvelle plateforme au sein du système d'exploitation Windows, spécialement conçue pour la surveillance des antivirus.

Cette orientation a été indiqué lors d’un sommet de sécurité privé au cours duquel Microsoft a discuté avec des experts de l’industrie des défis et des exigences pour créer une nouvelle plateforme de sécurité. Cette plateforme permettra aux logiciels antivirus de fonctionner en dehors du noyau de Windows, offrant ainsi une protection sans compromettre la stabilité du système. Les discussions ont porté sur les besoins en performance, les mécanismes anti-sabotage et les exigences des capteurs de sécurité.

La panne a d'abord amené Microsoft à envisager de révoquer l'accès au noyau, ce qui pourrait transformer Windows en un système d'exploitation plus fermé, à l'instar de macOS d'Apple. Cependant, après avoir échangé avec des professionnels de la sécurité, l'entreprise ne s'est pas arrêtée à l'idée de restreindre le noyau Windows. Au lieu de cela, Microsoft a mentionné comment les clients et les partenaires ont demandé à l'entreprise de « fournir des capacités de sécurité supplémentaires en dehors du mode noyau », que les logiciels antivirus peuvent également exploiter pour fournir une protection.

« Lors du sommet, Microsoft et ses partenaires ont discuté des exigences et des principaux défis liés à la création d'une nouvelle plateforme capable de répondre aux besoins des fournisseurs de sécurité », a déclaré l'entreprise. Les domaines abordés comprennent les « besoins et défis en matière de performances en dehors du mode noyau », la fourniture d'un mécanisme anti-altération pour les programmes de sécurité et les « exigences en matière de capteurs de sécurité » pour la surveillance antivirus.

Redmond n'a pas donné plus de détails sur la couche de sécurité, qu'elle décrit comme un projet à long terme. Mais la société a ajouté : « Dans une prochaine étape, Microsoft continuera à concevoir et à développer cette nouvelle capacité de plate-forme avec la contribution et la collaboration des partenaires de l'écosystème afin d'atteindre l'objectif d'une fiabilité accrue sans sacrifier la sécurité ».

L'événement a été fermé aux journalistes, mais l'entreprise a décidé jeudi de partager certains des résultats, qui comprennent l'exploration de « nouvelles capacités de plate-forme que Microsoft prévoit de rendre disponibles dans Windows ».

« Bien qu'il ne s'agisse pas d'une réunion de prise de décision, nous croyons en l'importance de la transparence et de l'engagement de la communauté », a ajouté Redmond dans son billet de blog.

Les experts en sécurité qui ont participé au sommet semble plutôt satisfaits

Comme on pouvait s'y attendre, dans une salle remplie d'experts en sécurité informatique des fournisseurs qui discutaient tous du fonctionnement interne et des faiblesses de l'écosystème de la sécurité des points finaux, tout n'a pas été révélé dans le blog de Microsoft résumant l'événement, les cybercriminels entre autres étant toujours à l'affût.

Toutefois, ceux qui s'intéressent de près à la question semblent avoir bien accueilli le sommet et ses conclusions.

Joe Levy, PDG de Sophos, a déclaré dans un communiqué :

« Le sommet de l'écosystème Windows Endpoint Security de Microsoft a été un appel à l'action critique pour les fournisseurs de sécurité des points d'accès après la panne informatique mondiale de juillet. Ce sommet nous a donné l'occasion de nous réunir pour entamer un dialogue sur le comment et le pourquoi nous devons repenser des sujets importants, tels que les architectures de noyau, le risque de monocultures, les pratiques de déploiement sûres, la transparence des fournisseurs, et bien d'autres choses encore.

« Avant la panne, la plupart des gens ne se demandaient pas qui ou quoi avait accès au noyau, aux fonctions ELAM [Early Launch AntiMalware], aux mises à jour de données et à d'autres technologies qui permettent aux utilisateurs de bénéficier de protections, mais qui nécessitent une planification technique et architecturale précise. Il est alarmant de constater que certaines entreprises de sécurité n'ont pas suffisamment réfléchi à ces questions ».

Le sentiment de Levy a été largement partagé par d'autres personnes présentes, notamment des responsables de Broadcom, SentinelOne, Trellix et Trend Micro. Le point de vue d'ESET était le même, mais il a également déclaré qu'il était « impératif » de maintenir l'accès au noyau pour les produits de sécurité.

Microsoft a souligné les changements prévus pour Windows, qui ont été annoncés en mai - avant le désastre de CrowdStrike - et qui incluent l'intention de s'assurer que l'accès au noyau est disponible juste à temps, plutôt qu'en permanence.

Des changements à court et long terme

Microsoft a précédemment laissé entendre que l'UE l'avait contraint en 2009 à fournir aux fournisseurs de solutions de sécurité le même niveau d'accès à son système d'exploitation que celui accordé à ses propres produits de sécurité. Cela s'inscrivait dans le contexte d'une surveillance européenne de longue date de l'entreprise.

Quelles que soient les raisons, le changement à l'accès du noyau est imminent, a promis Microsoft, et ces modifications seront guidées par les commentaires de l'ensemble de l'industrie.

« Dans une prochaine étape, Microsoft continuera à concevoir et à développer cette nouvelle capacité de plate-forme avec la contribution et la collaboration des partenaires de l'écosystème afin d'atteindre l'objectif d'une fiabilité accrue sans sacrifier la sécurité », a déclaré la société dans son résumé du sommet.

L'autre projet à long terme que Microsoft et les fournisseurs de solutions de sécurité doivent faire progresser est l'élaboration de meilleures pratiques pour le déploiement en toute sécurité des mises à jour de la plateforme. L'idée serait de les adopter dans l'ensemble de l'écosystème des fournisseurs.

« Nous sommes confrontés à un ensemble commun de défis pour déployer en toute sécurité des mises à jour dans le vaste écosystème Windows, qu'il s'agisse de décider comment procéder à des déploiements mesurés avec un ensemble diversifié de points finaux ou de pouvoir interrompre ou revenir en arrière en cas de besoin », a déclaré Microsoft.

« L'un des principes fondamentaux des [Safe Deployment Practices (SDP)] est le déploiement progressif et échelonné des mises à jour envoyées aux clients. Microsoft Defender for Endpoint publie des SDP et de nombreux partenaires de notre écosystème, tels que Broadcom, Sophos et Trend Micro, ont également partagé leur approche des SDP. Cette discussion riche lors du sommet se poursuivra dans le cadre d'un effort de collaboration avec nos partenaires MVI afin de créer un ensemble commun de meilleures pratiques que nous utiliserons en tant qu'écosystème à l'avenir ».

À plus court terme, Microsoft a déclaré qu'elle s'engageait à faire des « progrès rapides » sur des questions telles que les tests de composants critiques, le partage d'informations sur l'état des produits, l'efficacité de la réponse aux incidents et les tests de compatibilité conjoints entre diverses configurations.

Source : Microsoft

Et vous ?

Quels sont les avantages et les inconvénients d’un accès “juste-à-temps” au noyau de Windows pour les logiciels de sécurité ?
Comment pensez-vous que les entreprises devraient équilibrer la sécurité et la performance dans leurs systèmes informatiques ?
Quels autres incidents de sécurité célèbres vous viennent à l’esprit, et comment ont-ils été gérés ?
Selon vous, quelles sont les meilleures pratiques pour tester les mises à jour de sécurité avant leur déploiement à grande échelle ?
Comment les utilisateurs finaux peuvent-ils se protéger contre les pannes causées par des mises à jour de logiciels de sécurité ?
Pensez-vous que les fournisseurs de sécurité devraient avoir plus ou moins de contrôle sur les systèmes d’exploitation ? Pourquoi ?
Quels rôles les utilisateurs et les administrateurs système devraient-ils jouer dans la gestion des mises à jour de sécurité ?
Comment les entreprises peuvent-elles améliorer leur résilience face aux pannes informatiques ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de OuftiBoy
Membre éprouvé https://www.developpez.com
Le 29/10/2024 à 21:07


Citation Envoyé par Mathis Lucas Voir le message
David Weston déclare : « la différence de gravité des problèmes entre le mode noyau et le mode utilisateur est que si vous tombez en panne dans le noyau, c'est toute la machine qui tombe en panne. Si une application tombe en panne en mode utilisateur, nous pouvons généralement la récupérer ». Cet état de choses peut amener à privilégier le mode utilisateur et à limiter l'accès au noyau pour protéger les clients de Windows. Mais Microsoft mise sur les SDP :
C'est le ba-ba niveau sécurité. C'est bien des bonnes pratiques, mais ça ne résoud pas le problème de fond. L'accès au noyau doit-être "sécurisé", point. Et le meilleur moyen, c'est d'en interdire l'accès. Au minimum, les sociétés ayant besoin de cet accès doivent travailler en "trés" étroite collaboration avec une équipe de Microsoft. Equipe dont ce serait la spécialité et l'unique but.

Citation Envoyé par Mathis Lucas Voir le message
Les SDP ne sont pas une idée nouvelle. L'USENIX a publié en 2004 un article de l'université d'Utrecht intitulé « A Safe and Policy-Free System for Software Deployment ». La première phrase de ce document est la suivante : « les systèmes existants pour le déploiement de logiciels ne sont ni sûrs ni suffisamment flexibles ». Ce problème des SDP n'a pas encore été résolu, et une telle solution est un aspect important des plans de Microsoft pour limiter les pannes futures.
C'est quand même étonnant de lire ça. Le document a plus de 20 ans... Ils n'avaient donc pas de plans avant cette panne ? C'était "open bar" et chacun faisait ce qu'il voulait dans son coin ? Pour un composant logiciel aussi "critique", il faut que l'éditeur de l'OS "certifie" ce logiciel. S'il n'est pas en mesure de la faire, alors c'est qu'il accepte l'état de fait que leur noyau peut être perturbé par n'importe qui faisant n'importe quoi, involontairement ou pas.

Citation Envoyé par Mathis Lucas Voir le message
Ce point a été discuté lors du sommet de septembre. Dans un billet de blogue sur le sommet, David Weston avait écrit : « cette riche discussion lors du sommet se poursuivra dans le cadre d'un effort de collaboration avec nos partenaires MVI [Microsoft Virus Initiative] afin de créer un ensemble partagé de meilleures pratiques que nous utiliserons en tant qu'écosystème à l'avenir ». Le billet abordait également les difficultés rencontrées par Microsoft et ses partenaires :

« Nous avons discuté des moyens d'éliminer les conflits entre les différentes approches SDP utilisées par nos partenaires et de réunir toutes les parties en un consensus sur les principes du SDP. Nous voulons que tout soit transparent, mais nous voulons aussi que cette norme devienne une exigence pour travailler avec Microsoft », explique David Weston à SecurityWeek. La question est de savoir comment Microsoft fera respecter l'application rigoureuse de ces mesures.
Bien dit, donc Microsoft n'avait non seulement pas de plan, mais est incapable d'en faire respecter un ? Y'a pas une IA pour ça ? C'est dit juste en dessous:

Citation Envoyé par Mathis Lucas Voir le message
Convenir d'un ensemble de pratiques de déploiement sûres et les exiger des partenaires est une chose ; s'assurer que ces partenaires emploient les SDP convenues en est une autre. « L'application technique serait un défi. La transparence et la responsabilité semblent être la meilleure méthode pour l'instant », affirme David Weston. Microsoft dispose toutefois d'un pouvoir. Si un partenaire a ignoré les SDP, Microsoft peut retirer sa signature à tout pilote de noyau.
Et comment savoir si ce "partenaire" a ignoré les SDP ? Une fois une panne découverte ? Parce que compter sur la "transparence et la responsabilité", c'est bien beau, mais ça n'êmpéchera pas une nouvelle catastrophe de se produire.

"Ce serait un défit technique"

Comment un responsable peut-il tenir de telles propos ? Ils ont assez de moyens financiers pour et des équipes en suffisance pour justement régler les "défits techniques". C'est un aveux d'impuissance terrible.

Citation Envoyé par Mathis Lucas Voir le message
« C'est de la même manière que nous travaillons aujourd'hui avec les agences de certification racine. Nous avons une norme, et si vous ne respectez pas cette norme de sécurité, nous pouvons vous retirer, ce qui aurait un impact considérable sur vos activités. En même temps, l'insistance sur la transparence montrerait aux clients que ce fournisseur n'est pas honnête avec eux. Nous pensons que ce niveau d'application est assez efficace », explique David Weston.
C'est bien qu'il le pense, mais des entreprises ont perdu des sommes considérables, et je trouve leur réponse un peu "juste"

Citation Envoyé par Mathis Lucas Voir le message
« En résumé, les SDP sont le meilleur outil dont nous disposons pour mettre fin aux interruptions de service. Le mode noyau, le mode utilisateur - je ne dis pas qu'ils ne sont pas valables, je dis simplement qu'ils représentent une partie beaucoup plus petite du problème. les SDP peuvent aider à prévenir les pannes à l'intérieur et à l'extérieur du noyau », a-t-il ajouté. David Weston n'a pas donné de détails sur les travaux de Microsoft et les fournisseurs de logiciels de sécurité.
Bref, le monsieur dit, c'est "un défit technique", on a ni les moyens, ou ni l'envie, et/ou ni la compétence pour régler cela, alors on compte sur la bonne volonté et les bonnes pratique.

Citation Envoyé par Mathis Lucas Voir le message
Source : David Weston, vice-président de la sécurité des entreprises et des systèmes d'exploitation chez Microsoft
Nous voilà rassuré

Citation Envoyé par Mathis Lucas Voir le message

Et vous ?
Citation Envoyé par Mathis Lucas Voir le message

Quel est votre avis sur le sujet ?
Mon avis est que tout celà n'est pas rassurant du tout.

Citation Envoyé par Mathis Lucas Voir le message

Que pensez-vous de l'avis de Microsoft sur la restriction de l'accès au noyau Windows ?
Apparemment, il y aura restriction après la découverte de "mauvaise pratique", en retirant le certificat. Il faudrait inverser l'ordre des choses, c'est à dire au minimum s'assurer AVANT de permettre la diffusion que les "bonnes pratiques" ont été respectées.

Citation Envoyé par Mathis Lucas Voir le message

Que pensez-vous des « pratiques de déploiement sûres » (SDP) mises en avant par Microsoft ?
Que ça n'empêchera pas d'autres pannes de ce genre.

Citation Envoyé par Mathis Lucas Voir le message

Selon vous, en quoi pourraient constituer « ces pratiques de déploiement sûres » ?
C'est à Microsoft qu'il faudrait poser cette question. Je ne suis pas expert du noyau Windows, mais dire que ce serait un "défit technique", pour une société comme Microsoft me laisse sans voie.

Citation Envoyé par Mathis Lucas Voir le message

Cette approche permettrait-elle de garantir la sécurité du noyau Windows et limiter les pannes à l'avenir ?
J'ai des doutes...

BàV et Peace & Love.
3  0 
Avatar de Aiigl59
Membre actif https://www.developpez.com
Le 04/10/2024 à 16:43
"Un cadre supérieur de la société de cybersécurité CrowdStrike s'est excusé devant la Chambre des représentants des États-Unis"
ça nous fait une belle jambe !
2  0 
Avatar de calvaire
Expert éminent https://www.developpez.com
Le 30/10/2024 à 9:30
ce que je repproche a windows ce sont les outils pour réparer l'os completement inexistant.

déja l'outil pour faire des sauvegarde, c'est écrit windows 7 dessus, ms la abandonné sans proposer d'alternative et pour se dédouaner de toute responsabilité sur les autres versions de l'os a mis "windows 7".

ensuite, pour debugger un écran bleu c'est une catastrophe, sous linux on a des logs erreurs bien explicite, pas des core d'erreurs obscure.

ensuite, les outils de réparations de l'os fournie dans le cd d'install, c'est obscure, ca affiche un message tentative de réparation en cours sans rien savoir de ce qu'il fait
meme chose pour le mode sans echec, dans windows xp en mode sans échec il affichait les fichiers qu'il chargeait au moins.

si l'os pouvait dire quels fichiers ont été ajouté pour chaque programme aussi, un peu comme on a avec apt.

le must serait un mode command line minimal comme sous linux avec un microkernel de secours, ca permettrait de manipuler l'os, de supprimer des drivers ou les programmes qui corrompt l'os.
2  0 
Avatar de Tigrou08
Candidat au Club https://www.developpez.com
Le 06/10/2024 à 13:37
Dans un monde DevOPs/SysOps et autre mode de déploiement logiciel, cette société si célèbre semble avoir des trous dans la raquette, pas à la hauteur
1  0 
Avatar de Etre_Libre
Membre éprouvé https://www.developpez.com
Le 30/10/2024 à 7:04
A l'époque de Windows Vista, Microsoft voulait blinder le noyau, mais a cédé face aux pressions des éditeurs antivirus et l'Europe :
https://www.clubic.com/actualite-395...ta-accede.html

"Au centre d'une grosse polémique (voir Europe : McAfee rejoint Symantec contre Vista, Symantec et Adobe recrutent l'Europe contre Vista et Kaspersky soutient Microsoft au sujet de Vista), l'accès au noyau de Windows Vista par les logiciels de sécurité devrait finalement être rendu possible. C'est en effet ce que Microsoft a fait savoir la semaine dernière sans donner de plus amples détails (voir l'actu Windows Vista : des modifications pour l'Europe).

Aujourd'hui, on sait Microsoft donnera accès au « Kernel » des versions 64 bits de son système. La firme de Redmond proposera ainsi une nouvelle API (Application Programming Interfaces) qui autorisera effectivement certains développeurs « triés sur le volet » à avoir accès au noyau de Vista. « Nous devons créer une nouvelle API permettant aux développeurs de solutions de sécurité tiers qui proposent un accès au noyau de Windows de façon sécurisée », précise un responsable de la firme à ce sujet."
1  0 
Avatar de floyer
Membre éclairé https://www.developpez.com
Le 30/10/2024 à 9:44
Oui, Windows n’est pas un OS qui se suffit à lui même. Personnellement j’utilise Macrium Reflect pour les sauvegardes : j’ai une image disque, et une clé USB bootable pour la restauration. C’est assez efficace (déjà utilisé avec un système qui ne démarrait plus suite à une mise à jour).
1  0 
Avatar de PomFritz
Membre confirmé https://www.developpez.com
Le 25/09/2024 à 21:39
4. Déploiements : nos informations sur la configuration de la détection des menaces, connues sous le nom de « Rapid Response Content », sont désormais diffusées progressivement dans le cadre d'anneaux de déploiement de plus en plus nombreux. Cela nous permet de surveiller les problèmes dans un environnement contrôlé et d'annuler de manière proactive les changements si des problèmes sont détectés avant qu'ils n'affectent une population plus large.
Ce qui est à mon avis le plus scandaleux dans ce qu'il s'est passé. Les mecs ont poussé la màj dans la nuit chez eux en se foutant du reste du monde. ça dit tout...
0  0 
Avatar de shenron666
Expert confirmé https://www.developpez.com
Le 05/10/2024 à 17:08
le monde professionnel accorde infiniment trop d'importance à cette société
si elle est capable de provoquer cette paralysie d'une simple mise à jour involontairement défectueuse, imaginez s'il y a délibérément intention de nuire ?

en attendant, ça me parait absurde que l'on en parle comme de la plus grande panne informatique de l’histoire
est-ce que cette panne a provoquée la mort ? j'espère que non car dans ce cas Crowdstrike dvrait être poursuivi pour cela
0  0 
Avatar de xmornard
Membre à l'essai https://www.developpez.com
Le 29/10/2024 à 23:37
Le fait que Microsoft refuse de verrouiller l'accès au PC de chacun en dit long sur la philosophie général qu'ils veulent mettre en place sans l'avouer: ils veulent permettre que toute entreprise prêt à payer l'accès ai le droit de faire ce qu'il veut sur votre poste de travail sans vous demander votre avis (y compris les pirates du coup). Dit d'une autre manière: votre PC ne vous appartient plus. Et ceci depuis l'essor du Web, puisque c'est maintenant vous le produit. Petit exemple: comment se fait-il que les PCs soient de plus en plus au fil du temps même sans ajouter des logiciels? et même si on ajoute des logiciels qui ne se lancent pas au démarrage du PC, pourquoi est-ce qu'ils ralentissent tout le système? A se demander si nos PCs ne sont pas sabotés avec le temps qui passe pour forcer à en racheter un nouveau plus tard...
0  0