Microsoft veut expulser les antivirus hors du noyau Windows pour prévenir d'autres catastrophes de type CrowdStrike,

Mais aussi pour renforcer la stabilité et la résilience du système d'exploitation

CrowdStrike a provoqué une panne informatique mondiale le 19 juillet 2024 après avoir diffusé une mise à jour logicielle défectueuse. Plus de 8,5 millions de machines Windows sont tombées en panne à travers le monde. La panne était due en partie à la manière dont les logiciels antivirus fonctionnent sous Windows : ils ont généralement accès au noyau de Windows. Environ un an après, Microsoft veut pousser les antivirus hors du noyau Windows pour prévenir d'autres catastrophes de ce type. L'entreprise développe une plateforme qui permettra aux antivirus de s'exécuter dans l'espace utilisateur, réduisant ainsi les risques de crash majeurs.

Historiquement, Microsoft a toujours autorisé les éditeurs de logiciels antivirus et d’autres outils système à s’intégrer très profondément dans le noyau Windows. Cette ouverture était motivée par le besoin de permettre à ces solutions de protection d’agir au plus bas niveau pour intercepter les menaces. Microsoft avait donc longtemps été réticent à verrouiller ou restreindre cet accès, afin de maintenir la compatibilité avec les acteurs de la cybersécurité.

Mais cette architecture présentait un gros risque : tout bogue dans un pilote ou un module s’exécutant en mode noyau peut causer un plantage catastrophique du système d'exploitation, comme on l’a vu avec la mise à jour défaillante de CrowdStrike. C’est précisément ce que Microsoft tente de corriger aujourd’hui en poussant les logiciels antivirus hors du noyau, tout en offrant des API sécurisées pour leur permettre de continuer à fonctionner efficacement.

Rappel sur la panne informatique provoquée par CrowdStrike

Des entreprises du monde entier ont été confrontées le 19 juillet au redoutable écran bleu de la mort (BSOD) de Windows après une mise à jour défectueuse lancée par CrowdStrike. L'incident a affecté 8,5 millions d'appareils Microsoft Windows, perturbé les services Internet et provoqué des annulations massives de vols, paralysant des entreprises de nombreux secteurs. Les pertes financières de certaines victimes sont estimées à des centaines de millions de dollars.


CrowdStrike est confronté à une pression croissante pour avoir provoqué l'effondrement d'un large pan du système informatique mondial et des menaces juridiques qui pèsent sur lui. Bien que Microsoft ne soit pas techniquement responsable de l'incident, il subit également les critiques. Microsoft a été victime de cet incident au même titre que les points de terminaison qui ont subi le BSOD. David Weston estime que c'est quelque chose que Microsoft n'aurait jamais vu.

Microsoft n'a pas eu d'implication directe. Le logiciel de CrowdStrike avait été évalué et signé par Microsoft Windows Hardware Quality Labs (WHQL) après une évaluation complète. La cause de la panne n'était pas le pilote en soi, mais le contenu transmis de l'extérieur du noyau au pilote. « Il a traversé Microsoft. Ce n'est pas documenté. Microsoft ne sait pas ce que contient ce fichier. Il s'agit d'un code binaire que seul CrowdStrike sait interpréter », note David Weston.

Le 10 septembre 2024, Microsoft a organisé un sommet (Windows Endpoint Security Ecosystem Summit) qui a réuni les fournisseurs de logiciels de sécurité qui nécessite un accès au noyau. Les participants ont discuté de l'amélioration de la résilience et de la protection de l'infrastructure critique des clients mutuels. Microsoft, CrowdStrike, ESET, et Trend Micro, ainsi que d'autres fournisseurs de logiciels de sécurité des points finaux ont participé au sommet.

Migration des applications antivirus hors du noyau Windows

Après le sommet de 2024 avec des fournisseurs de solutions de sécurité, Microsoft s'apprête désormais à publier un aperçu privé des modifications apportées à Windows qui permettront de retirer les applications antivirus et de détection et de réponse aux incidents (EDR) du noyau Windows. La nouvelle plateforme de sécurité des terminaux Windows est développée en collaboration avec CrowdStrike, Bitdefender, ESET, Trend Micro et d'autres fournisseurs.

« Cela signifie que les produits de sécurité tels que les antivirus et les solutions de protection des points d'accès peuvent fonctionner en mode utilisateur, tout comme les applications », explique David Weston, vice-président de Microsoft chargé de la sécurité des entreprises et des systèmes d'exploitation. Selon David Weston, un aperçu de la plateforme sera bientôt livré aux entreprises qui participent au programme Microsoft Virus Initiative (MVI) de Microsoft.

L'aperçu privé donnera aux fournisseurs de sécurité la possibilité de demander des modifications. David Weston prévoit plusieurs itérations avant que les fournisseurs soient prêts à effectuer la transition. Cela ne permettra pas non plus de résoudre immédiatement tous les cas d'instance de pilote au niveau du noyau.

« Ce changement aidera les développeurs de solutions de sécurité à fournir un haut niveau de fiabilité et une récupération plus facile, ce qui aura moins d'impact sur les appareils Windows en cas de problèmes inattendus », a ajouté David Weston. Les participants au programme MVI (CrowdStrike, Bitdefender, ESET, Trend Micro, WithSecure, etc.) s'accordent à dire que la sécurité est importante et se disent heureux de travailler avec Microsoft pour l'améliorer.

La formulation de Microsoft indique que les fournisseurs de sécurité peuvent développer des applications de sécurité fonctionnant en mode utilisateur, mais qu'ils ne sont pas obligés de le faire. Il n'est pas clair si cette annonce est un premier pas vers l'exclusion totale des entreprises de sécurité tierces du noyau Windows ou s'il s'agit simplement d'une nouvelle option plus sûre pour les fournisseurs dont les logiciels n'ont pas besoin d'un tel niveau d'accès.

Microsoft a échoué par le passé à verrouiller le noyau Windows

En 2006, alors que Microsoft développait Windows Vista et jetait les bases de ce qui allait devenir les éditions 64 bits de Windows, il voulait empêcher les sociétés de sécurité tierces de corriger le noyau comme elles avaient pu le faire dans les éditions 32 bits de Windows, en insistant pour qu'elles le fassent en utilisant des API de sécurité plus restreintes. Ces tentatives avaient échoué et Microsoft avait été accusé de pratiques anticoncurrentielles à l'époque.

En effet, Microsoft commençait à proposer ses propres produits antivirus, y compris la première version de Windows Defender. Des acteurs, tels que Symantec, avaient fait valoir que le fait de restreindre leur accès au noyau était anticoncurrentiel et que cela donnerait aux produits de sécurité de Microsoft des capacités que les tiers ne pourraient pas fournir. Pour éviter de nouvelles controverses, Microsoft travaille cette fois-ci avec les acteurs du secteur.

CrowdStrike et ses concurrents conçoivent expressément leurs produits de manière à bénéficier d'un accès au noyau Windows, qui fournit notamment des données permettant de détecter les menaces cybernétiques. Selon les fournisseurs de produits de sécurité pour Windows, le maintien de cet accès leur permet de réagir rapidement pour bloquer les activités malveillantes. Mais les experts pensent que les risques liés à cet accès sont trop importants.

Juste après la panne CrowdStrike, Microsoft avait déclaré qu'il ne pouvait pas légalement couper l'accès au noyau Windows comme le fait Apple, en raison d'un accord conclu en 2009 avec la Commission européenne. Pour satisfaire les autorités antitrust européennes, Microsoft avait accepté de donner à d'autres éditeurs de logiciels de sécurité le même accès à Windows que le sien. L'on ignore si la Commission serait disposée à réviser l'accord après la panne.

De nouvelles fonctionnalités arriveront bientôt dans Windows 11

Le billet de Microsoft présente une poignée d'autres modifications de Windows liées à la sécurité, y compris certaines qui empruntent d'autres voies pour empêcher d'autres pannes semblables à celles de CrowdStrike. De nombreux changements sont...