Microsoft met en cause les régulateurs européens suite à une décision les obligeant à ouvrir l’accès au système d’exploitation Windows
Une décision antitrust de l’UE datant de 2009 est utilisée par Microsoft pour justifier pourquoi un produit tiers a pu provoquer une panne majeure de Windows.
Le 19 juillet, 8,5 millions d’ordinateurs ont été touchés par le fameux écran bleu de la mort, un phénomène qui se produit lorsque le système d’exploitation Windows rencontre une défaillance critique et s’arrête pour éviter d’autres dommages.
Bien que de tels incidents soient relativement fréquents, la cause principale a été identifiée comme étant une mise à jour défectueuse d’un logiciel antivirus tiers, Falcon, fourni par CrowdStrike. Ce fichier défectueux aurait dû être détecté par Falcon, mais ce dernier contenait également un bug qui a conduit à un crash.
Les pannes sont courantes pour les utilisateurs de PC, mais elles n’entraînent que très rarement un arrêt complet du système. Dans ce cas précis, comme l’a rapporté Computer Weekly, Falcon fonctionne en tant que pilote de périphérique en mode noyau, ce qui lui confère un accès total au système d’exploitation Windows, similaire à celui des composants principaux développés par Microsoft.
Microsoft explique que l’accès accordé à CrowdStrike découle d’une décision de la Commission européenne de 2009, qui impose à Microsoft de garantir que les produits tiers puissent interagir avec ses logiciels en utilisant les mêmes informations d’interopérabilité que celles fournies aux produits Microsoft.
Rich Gibbons, expert en licences logicielles chez Microsoft, a déclaré : « Microsoft a été critiqué pour le fait qu’un tiers ait pu affecter Windows à un niveau technique aussi profond. Il est intéressant de noter que Microsoft souligne que cela découle d’une décision antitrust de l’UE de 2009, qui oblige Microsoft à donner aux autres entreprises de sécurité le même accès au noyau de Windows qu’à ses propres produits. »
Gibbons pense que cette décision d’interopérabilité de 2009 pourrait permettre à d’autres organisations de perturber Windows de la même manière que le pilote de périphérique de CrowdStrike. Il se demande si Microsoft utilisera cette situation pour contester l’intervention de l’UE.
Il est évident qu’avant l’incident avec CrowdStrike, Microsoft n’avait pas exprimé publiquement d’inquiétudes concernant les risques de sécurité liés à l’accès aux mêmes interfaces de programmation d’applications (API) qu’elle utilise en interne.
Des sources indiquent que des serveurs Linux ont rencontré un problème similaire en avril avec CrowdStrike, ce qui, selon certains commentateurs du secteur, a mis en lumière un échec dans le contrôle de la qualité que ni CrowdStrike ni Microsoft n’ont suffisamment abordé.
Le système d’exploitation MacOS d’Apple n’a pas été affecté par le crash de vendredi, car il utilise le cadre de sécurité des points de terminaison d’Apple, une API que les fournisseurs d’antivirus utilisent pour obtenir des informations télémétriques du système d’exploitation MacOS. Cela signifie qu’ils n’ont pas besoin d’exécuter leur code au sein du noyau de MacOS, contrairement à la version Windows de Falcon de CrowdStrike.
Des interrogations subsistent quant à la raison pour laquelle Microsoft n’a pas mis en place un système similaire. Une partie du problème réside dans le fait que Windows, contrairement à MacOS, offre une compatibilité ascendante sur de nombreuses années. Cependant, les réglementations antitrust pourraient également jouer un rôle.
David Plummer, ancien développeur de Windows, a précisé que Microsoft propose en réalité plusieurs API pour les logiciels antivirus tiers. « CrowdStrike fonctionne par défaut en mode noyau, probablement parce qu’il doit effectuer des tâches impossibles à réaliser en mode utilisateur », a-t-il déclaré dans une vidéo YouTube.
« À mon avis, c’est là que Microsoft pourrait être tenu responsable, car sur la plateforme Windows, à ma connaissance, certaines fonctionnalités de sécurité de CrowdStrike nécessitent une intégration profonde avec le système d’exploitation, ce qui ne peut actuellement être réalisé que du côté du noyau. »
Microsoft dispose de plusieurs API, y compris l’API de contrôle des applications de Windows Defender et Windows Defender Device Guard, qui, selon Plummer, fournissent des mécanismes pour contrôler l’exécution des applications et garantir que seul un code de confiance s’exécute sur le système d’exploitation.
Il a également mentionné que la plateforme de filtrage Windows (WFP) permet aux applications d’interagir avec la pile réseau sans nécessiter de code au niveau du noyau. Cependant, citant des sources au sein de Microsoft, Plummer a affirmé que l’entreprise avait en fait « essayé de faire ce qu’il fallait » en développant une API avancée spécifiquement conçue pour des applications de sécurité comme celle de CrowdStrike.
« Cette API promettait une intégration plus profonde avec le système d’exploitation Windows, offrant une stabilité, des performances et une sécurité améliorées », a-t-il ajouté.
Cependant, la décision de l’UE de 2009 a effectivement empêché une telle intégration, car cela aurait pu donner à Microsoft un avantage déloyal.
Néanmoins, Ian Brown, consultant indépendant en réglementation d’Internet, a soutenu que Microsoft devrait renforcer ses contrôles de sécurité au lieu de tenter de rejeter la responsabilité de l’incident de CrowdStrike sur la Commission antitrust de l’UE.
Dans un article de blog, il a écrit : « Pour la résilience des sociétés dépendantes de la technologie, les logiciels au niveau du noyau du système d’exploitation et leurs équivalents sur des systèmes d’infrastructure socialement critiques (comme le transport, la santé et la banque) doivent être soigneusement testés (et idéalement exécutés sur un micro-noyau formellement vérifié) et contrôlés. Mais les monopoles des systèmes d’exploitation ne devraient pas prendre les décisions finales sur la manière dont ces contrôles doivent être définis, surtout lorsqu’ils ont des implications pour la concurrence. »
