Microsoft essaie toujours de tirer les meilleures leçons de la panne mondiale provoquée par le logiciel défectueux de CrowdStrike le 19 juillet 2024. En attendant des actions concrètes, Microsoft rassure les fournisseurs de logiciels de sécurité qu'il ne prévoit pas limiter l'accès au noyau Windows. David Weston, vice-président de la sécurité des entreprises et des systèmes d'exploitation chez Microsoft, explique qu'il est plus important de tester les logiciels avant de les déployer et d'utiliser des pratiques de déploiement sûres. Lors d'un sommet en septembre 2024, Microsoft avait annoncé des changements majeurs dans l'architecture de sécurité de Windows.Rappel sur la panne informatique mondiale provoquée par CrowdStrike
Des entreprises du monde entier ont été confrontées le 19 juillet au redoutable écran bleu de la mort (BSOD) de Windows après une mise à jour défectueuse lancée par CrowdStrike. L'incident a perturbé les services Internet, affecté 8,5 millions d'appareils Microsoft Windows et provoqué des annulations massives de vols, paralysant des entreprises de nombreux secteurs. Les pertes financières de certaines victimes sont estimées à des centaines de millions de dollars.
CrowdStrike est confronté à une pression croissante pour avoir provoqué l'effondrement d'un large pan du système informatique mondial et des menaces juridiques qui pèsent sur lui. Bien que Microsoft ne soit pas techniquement responsable de l'incident, il subit également les critiques. Microsoft a été victime de cet incident au même titre que les points de terminaison qui ont subi le BSOD. David Weston estime que c'est quelque chose que Microsoft n'aurait jamais vu.
Microsoft n'a pas eu d'implication directe. Le logiciel de CrowdStrike avait été évalué et signé par Microsoft Windows Hardware Quality Labs (WHQL) après une évaluation complète. La cause de la panne n'était pas le pilote en soi, mais le contenu transmis de l'extérieur du noyau au pilote. « Il a traversé Microsoft. Ce n'est pas documenté. Microsoft ne sait pas ce que contient ce fichier. Il s'agit d'un code binaire que seul CrowdStrike sait interpréter », note David Weston.
Le 10 septembre 2024, Microsoft a organisé un sommet (Windows Endpoint Security Ecosystem Summit) qui a réuni les fournisseurs de logiciels de sécurité qui nécessite un accès au noyau. Les participants ont discuté de l'amélioration de la résilience et de la protection de l'infrastructure critique des clients mutuels. Microsoft, CrowdStrike, ESET, et Trend Micro, ainsi que d'autres fournisseurs de logiciels de sécurité des points finaux ont participé au sommet.
Le noyau Windows : Microsoft ne prévoit pas de limiter l'accès des tiers
Le sommet sur la sécurité du noyau organisé par Microsoft visait à discuter des leçons à tirer de cet incident et des changements futurs. Deux questions connexes, mais distinctes devaient être abordées : l'accès au noyau Windows et les tests de logiciels avant leur déploiement. Toutefois, l'événement a suscité des préoccupations sur sa transparence, car il s'est tenu à huis clos, et à la sortie, le rapport publié par Microsoft ne faisait pas état de mesures concrètes.
Microsoft avait néanmoins notifié aux participants que parmi les changements qu'elle envisage, il ne serait pas question de restreindre l'accès au noyau. Le fournisseur de logiciels de ESET avait déclaré : « il est impératif que l'accès au noyau reste une option utilisable par les produits de cybersécurité ». Interrogé sur le sujet, David Weston a admis que certains fournisseurs craignaient que Microsoft ne les exclue du noyau. Il a confirmé que cela n'était pas envisagé.
« Le cadre du mode utilisateur peut-il être aussi bon que l'accès dont ils disposent actuellement en matière de performances, etc. Ces préoccupations sont valables. Cependant, à ce stade, nous n'avons pas l'intention de retirer l'accès au noyau à qui que ce soit. Cela ne veut pas dire que cela ne peut pas changer à l'avenir, mais nous n'avons pas l'intention de le faire. Notre objectif est de créer un équivalent et une option pour le mode utilisateur », a-t-il expliqué.
Pour les fournisseurs tiers de logiciels de sécurité, l'avantage d'avoir un pilote dans le noyau est clair : « une plus grande sécurité pour eux-mêmes (et par extension, pour les utilisateurs) et de meilleures performances ». L'inconvénient est que les dommages qui peuvent résulter d'une défaillance du noyau sont plus importants et moins faciles à réparer. La panne mondiale provoquée par le logiciel défectueux de CrowdStrike donne un exemple des dégâts potentiels.
Microsoft mise plutôt sur des « pratiques de déploiement plus sûres »
Si la question de savoir s'il faut ou non utiliser le noyau est celle qui retient le plus l'attention, David Weston a déclaré qu'il s'agit de la plus petite partie d'un problème qui en comporte deux. Il estime qu'il est plus important de tester les logiciels avant de les déployer et d'utiliser des pratiques de déploiement sûres (Safe Deployment Practices - SDP). Selon lui, cela permet de s'assurer de la fiabilité des logiciels, garantir l'intégrité des machines et éviter les pannes.
David Weston déclare : « la différence de gravité des problèmes entre le mode noyau et le mode utilisateur est que si vous tombez en panne dans le noyau, c'est toute la machine qui tombe en panne. Si une application tombe en panne en mode utilisateur, nous pouvons généralement la récupérer ». Cet état de choses peut amener à privilégier le mode utilisateur et à limiter l'accès au noyau pour protéger les clients de Windows. Mais Microsoft mise sur les SDP :
Envoyé par David Weston
Que votre produit de sécurité se trouve dans le noyau ou qu'il fonctionne en tant qu'application, vous pouvez toujours détruire la machine ou la rendre indisponible. Si vous opérez en tant qu'application et que vous supprimez le mauvais fichier, vous pouvez empêcher la machine de démarrer. Cela suffit à démontrer que des SDP efficaces sont le meilleur retour sur investissement en matière de protection contre un incident, car que vous soyez en mode noyau ou utilisateur, vous devez avoir des SDP pour éviter une panne accidentelle.
Ce point a été discuté lors du sommet de septembre. Dans un billet de blogue sur le sommet, David Weston avait écrit : « cette riche discussion lors du sommet se poursuivra dans le cadre d'un effort de collaboration avec nos partenaires MVI [Microsoft Virus Initiative] afin de créer un ensemble partagé de meilleures pratiques que nous utiliserons en tant qu'écosystème à l'avenir ». Le billet abordait également les difficultés rencontrées par Microsoft et ses partenaires :
Envoyé par David Weston
Nous sommes confrontés à un ensemble de défis communs pour déployer en toute sécurité des mises à jour dans le vaste écosystème Windows, qu'il s'agisse de décider comment effectuer des déploiements mesurés avec un ensemble diversifié de points de terminaison ou d'être en mesure de faire une pause ou de revenir en arrière en cas de besoin. L'un des principes fondamentaux des SDP est le déploiement progressif et échelonné des mises à jour envoyées aux clients.
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
C'est le ba-ba niveau sécurité. C'est bien des bonnes pratiques, mais ça ne résoud pas le problème de fond. L'accès au noyau doit-être "sécurisé", point. Et le meilleur moyen, c'est d'en interdire l'accès. Au minimum, les sociétés ayant besoin de cet accès doivent travailler en "trés" étroite collaboration avec une équipe de Microsoft. Equipe dont ce serait la spécialité et l'unique but.
C'est dit juste en dessous:
Et comment savoir si ce "partenaire" a ignoré les SDP ? Une fois une panne découverte ? Parce que compter sur la "transparence et la responsabilité", c'est bien beau, mais ça n'êmpéchera pas une nouvelle catastrophe de se produire. 
Quel est votre avis sur le sujet ?
