Technologie
Il ne fait aucun doute que la Windows ? Découvrez les coulisses ! »>panne massive de CrowdStrike sur Windows en juillet 2024 a été un désastre économique. Cet incident a marqué la plus grande interruption des systèmes informatiques de l’histoire, perturbant les systèmes bancaires, les réseaux de santé et le transport aérien mondial. Les analyses post-incident ont clairement montré que cette situation était entièrement évitable.
Réunion sur la sécurité des points de terminaison Windows
Suite à cet événement, Microsoft a organisé un sommet d’une journée sur la sécurité des points de terminaison Windows, qui s’est tenu récemment dans son siège à Redmond. L’objectif de cette réunion fermée, à laquelle la presse et les observateurs extérieurs n’avaient pas accès, était de rassembler un groupe varié de fournisseurs de sécurité des points de terminaison et de responsables gouvernementaux des États-Unis et d’Europe pour discuter des stratégies visant à améliorer la résilience et à protéger les infrastructures critiques de leurs clients communs.
Des résultats concrets ?
Quelles conclusions utiles ont été tirées de cette session ? Difficile à dire. David Weston, vice-président de la sécurité des entreprises et des systèmes d’exploitation chez Microsoft, a présenté un résumé de la réunion qui semblait avoir été soigneusement révisé par des avocats et des professionnels de la communication, ne laissant que des messages d’entreprise optimistes et quelques allusions vagues (« thèmes clés et points de consensus ») sur ce qui pourrait se passer dans Windows et dans les produits de sécurité des points de terminaison… un jour, mais probablement pas de sitôt.
Une prise de conscience collective
Comme le souligne le rapport, la table ronde « n’était pas une réunion de prise de décision… nous avons discuté des complexités du paysage de la sécurité moderne, en reconnaissant qu’il n’existe pas de solutions simples. » Cependant, un thème récurrent dans le résumé de la réunion est la prise de conscience collective que l’industrie ne peut pas se permettre un autre incident comme celui de CrowdStrike.
L’incident de CrowdStrike en juillet a mis en lumière la responsabilité des fournisseurs de sécurité d’assurer à la fois la résilience et une protection agile et adaptative. Les défis communs auxquels nous faisons face incluent le déploiement sécurisé des mises à jour dans le vaste écosystème Windows, allant de la décision sur la manière d’effectuer des déploiements mesurés avec une diversité de points de terminaison à la capacité de suspendre ou de revenir en arrière si nécessaire. Un principe fondamental des [pratiques de déploiement sécurisé] est le déploiement progressif et par étapes des mises à jour envoyées aux clients.
Critique directe de CrowdStrike
Ceci constitue une critique directe de CrowdStrike, qui a provoqué la panne informatique en déployant une mise à jour défectueuse sur l’ensemble de son réseau d’appareils, au lieu d’utiliser un déploiement par étapes qui aurait pu identifier le problème tôt et arrêter les mises à jour pour minimiser les dommages.
Les commentaires des participants à la réunion, ajoutés à la fin du billet de blog de Microsoft, apportent un peu plus de couleur, comme cette déclaration de Ric Smith, directeur produit et technologie de SentinelOne, un concurrent de CrowdStrike :
« SentinelOne remercie Microsoft pour son leadership dans la convocation du sommet sur la sécurité des points de terminaison Windows et nous nous engageons pleinement à aider à réduire la probabilité d’événements futurs comme celui causé par CrowdStrike. Nous croyons que la transparence est essentielle et nous sommes en accord avec Microsoft sur le fait que les entreprises de sécurité doivent respecter des normes strictes d’ingénierie, de test et de déploiement. »
Accès au mode noyau : un sujet brûlant
La discussion la plus animée a clairement porté sur l’accès au mode noyau de Windows, une des causes clés du fiasco de CrowdStrike. Comme je l’ai noté il y a quelques mois, l’ampleur de la panne de CrowdStrike était en grande partie due à l’architecture de Windows. Les développeurs d’applications système pour Windows, y compris les logiciels de sécurité, mettent historiquement en œuvre leurs fonctionnalités à l’aide d’extensions et de pilotes de noyau. Comme cet exemple l’illustre, un code défectueux s’exécutant dans l’espace noyau peut provoquer des pannes irrécupérables, tandis qu’un code s’exécutant dans l’espace utilisateur ne le peut pas.
Cela a également été le cas avec MacOS, mais en 2020, avec MacOS 11, Apple a modifié l’architecture de son système d’exploitation phare pour décourager fortement l’utilisation des extensions de noyau. Les développeurs sont désormais encouragés à écrire des extensions système qui s’exécutent dans l’espace utilisateur plutôt qu’à un niveau de noyau. Sur MacOS, CrowdStrike utilise le cadre de sécurité des points de terminaison d’Apple et affirme qu’en utilisant ce design, « Falcon atteint les mêmes niveaux de visibilité, de détection et de protection exclusivement via un capteur en espace utilisateur. »
Des changements à prévoir pour Windows ?
Microsoft pourrait-il apporter un changement similaire pour Windows ? Peut-être, mais cela susciterait certainement la colère des régulateurs antitrust, en particulier en Europe.
Dans les termes les plus larges possibles, le post de Microsoft fait référence aux « capacités de plateforme que Microsoft prévoit de rendre disponibles dans Windows », avec une mention spécifique des paramètres de sécurité dans Windows 11 qui « permettent à la plateforme de fournir davantage de capacités de sécurité aux fournisseurs de solutions en dehors du mode noyau. »
Réactions mitigées des participants
Tous les participants ne sont pas ravis de cette idée. Joe Levy, PDG de Sophos, a par exemple noté poliment : « Nous avons été très heureux de voir Microsoft soutenir de nombreuses recommandations de Sophos, basées sur l’ensemble des innovations architecturales et de processus que nous avons développées au fil des ans et présentées aujourd’hui sur les 30 millions de points de terminaison Windows que nous protégeons dans le monde entier. Le sommet a été un premier pas important et encourageant dans un parcours qui produira des améliorations progressives au fil du temps. »
Quelles sont ces recommandations ? Dans un post de blog d’août, Simon Reed, directeur de la recherche et scientifique chez Sophos, a clairement indiqué que l’accès au noyau Windows est fondamental. « Opérer en ‘espace noyau’ – le niveau le plus privilégié d’un système d’exploitation, avec un accès direct à la mémoire, au matériel, à la gestion des ressources et au stockage – est d’une importance vitale pour les produits de sécurité. » Les pilotes de noyau sont « fondamentaux », a-t-il écrit, non seulement pour les produits Sophos mais pour « la sécurité robuste des points de terminaison Windows, en général. »
Dans une déclaration non attribuée, ESET a été encore plus direct :
« ESET soutient les modifications de l’écosystème Windows qui démontrent des améliorations mesurables de la stabilité, à condition que tout changement ne doit pas affaiblir la sécurité, affecter les performances ou limiter le choix des solutions de cybersécurité. Il reste impératif que l’accès au noyau demeure une option pour les produits de cybersécurité afin de permettre l’innovation continue et la capacité de détecter et de bloquer les cybermenaces futures. »
Un débat complexe et des implications juridiques
C’est finalement pourquoi il est irréaliste d’attendre des changements radicaux dans la plateforme Windows de sitôt. Les arguments de Sophos et d’ESET sont clairement partagés par des dirigeants d’autres entreprises de sécurité, qui craignent que la restriction de l’accès au noyau Windows ne donne un avantage concurrentiel crucial aux propres produits de protection des points de terminaison de Microsoft.
Ce type de débat est rapidement transféré des ingénieurs aux avocats. Étant donné l’historique de Microsoft avec les régulateurs antitrust en Europe et aux États-Unis, il est probable que cela finisse devant les tribunaux. C’est probablement pourquoi des « responsables gouvernementaux des États-Unis et d’Europe » ont été invités à participer au sommet, et il ne fait aucun doute qu’ils prenaient des notes.
