L'agence allemande de cybersécurité demande des changements dans les produits de Microsoft et de CrowdStrike après la panne technique,

Elle vise à limiter l'accès des entreprises tierces au noyau Windows

L'Office fédéral de la sécurité de l'information (BSI) veut que Microsoft prenne des mesures appropriées pour réduire le risque d'une panne technique mondiale à l'avenir. Le régulateur vise à limiter l'accès des entreprises tierces au noyau Windows, un élément clé du système d'exploitation de Microsoft. Elle affirme que cela réduirait le risque d'une nouvelle panne de type CrowdStrike. En outre, le régulateur souhaite que des changements fondamentaux soient apportés à la manière dont les entreprises de cybersécurité conçoivent leurs outils afin de limiter cet accès. L'Allemagne a été fortement impactée par la panne provoquée par CrowdStrike.

Le débat sur la restriction de l'accès au noyau Windows prend de l'ampleur

Des entreprises du monde entier ont été confrontées le 19 juillet au redoutable écran bleu de la mort (BSOD) de Windows après une mise défectueuse de la société de cybersécurité CrowdStrike. Cette panne géante a paralysé de nombreuses entreprises de nombreux secteurs, laissant les victimes à la recherche de solutions immédiates pour satisfaire leurs clientèles et éviter des pertes financières colossales. CrowdStrike a corrigé la mise à jour à l'origine du problème, mais de nombreux systèmes sont restés hors ligne plusieurs heurs après la panne. Certaines entreprises ont subi des pertes financières importantes.


Selon un rapport du Wall Street Journal, pour l'agence allemande de cybersécurité, il est important de tirer des leçons de cet incident et saisir l'occasion pour redéfinir l'interaction entre les produits de sécurité et les systèmes d'exploitation. L'agence allemande de cybersécurité vise spécifiquement l'accès que Microsoft accorde aux prestataires de services de sécurité à son noyau Windows, une partie critique de son système d'exploitation. En effet, le logiciel de CrowdStrike fonctionne au niveau du noyau. CrowdStrike affirme que cet accès est indispensable pour le bon fonctionnement de son logiciel de sécurité.

Toutefois, cela signifie que si quelque chose ne va pas avec le logiciel de CrowdStrike, il peut faire tomber les machines Windows avec un BSOD. La mise à jour défectueuse de CrowdStrike a provoqué le plantage de plus de 8,5 millions d'appareils Windows à travers le monde. La panne a affecté des centaines d'entreprises et a duré plusieurs heures, voire plusieurs jours chez certaines victimes. Elle a également soulevé d'importantes préoccupations sur l'accès au noyau.

Le logiciel Falcon de CrowdStrike utilise un pilote spécial qui lui permet de fonctionner à un niveau inférieur à celui de la plupart des applications, de sorte qu'il peut détecter les menaces sur l'ensemble d'un système Windows. En 2006, Microsoft a tenté d'empêcher les tiers d'accéder au noyau de Windows Vista, mais s'est heurté au refus des fournisseurs de cybersécurité et des autorités de réglementation de l'Union européenne. Il n'y a pas grand-chose qui ait changé depuis.

Contrairement à Microsoft, Apple a réussi à verrouiller son système d'exploitation macOS en 2020 afin que les développeurs ne puissent plus accéder au noyau. Le BSI allemand remet le sujet sur la table. En outre, l'agence allemande de cybersécurité souhaite que des changements fondamentaux soient apportés à la manière dont CrowdStrike et d'autres cyberentreprises conçoivent leurs outils, dans l'espoir de limiter l'accès au noyau du système d'exploitation.

« Le plus important est d'empêcher que cela ne se reproduise », affirme Thomas Caspers, directeur général de la stratégie technologique au sein du BSI. Tirant parti de l'effroi qui a envahi la Silicon Valley à la suite de la panne de juillet, la BSI prévoit d'organiser cette année une conférence réunissant les principales entreprises technologiques, où elle espère qu'elles s'engageront à restreindre l'accès au noyau Windows. Pour Caspers, cela est primordial.

Microsoft pourrait de nouveau envisager de réformer l'accès au noyau Windows

CrowdStrike et ses concurrents conçoivent expressément leurs produits de manière à bénéficier d'un accès au noyau Windows, qui fournit notamment des données permettant de détecter les cybermenaces. Selon ces fournisseurs de services, le maintien de cet accès leur permet de réagir rapidement pour bloquer les activités malveillantes. Dans un billet de blogue daté du 9 août, CrowdStrike a déclaré : « des produits tels que l'analyse des microprogrammes ou le contrôle des appareils ne seraient pas possibles sans cette conception ». Mais les experts pensent que les risques liés à cet accès sont trop importants.

Caspers affirme qu'un changement est essentiel pour éviter que de telles pannes ne se reproduisent. « Il n'est pas acceptable d'exécuter ces outils en mode noyau avec tous les accès que l'on connaît aujourd'hui. Les entreprises de cybersécurité pourraient utiliser d'autres technologies pour détecter les attaques tout en restant en mode utilisateur. Le résultat le plus important de cette affaire sera qu'elles changeront cela », a-t-il déclaré à propos de la débâcle de CrowdStrike.

Au lendemain de la panne provoquée par la mise à jour défectueuse de CrowdStrike, Microsoft a également laissé entendre qu'il envisageait de modifier l'accès au noyau de Windows. Dans un billet de blogue daté du 25 juillet, John Cable, vice-président de Microsoft chargé de la gestion des programmes, a déclaré : « la panne de CrowdStrike montrait que Windows doit donner la priorité au changement et à l'innovation dans le domaine de la résilience de bout en bout ».

Mais il y a un hic. Juste après la panne, Microsoft a déclaré qu'il ne pouvait pas légalement couper l'accès au noyau Windows comme le fait Apple, par exemple, en raison d'un accord conclu en 2009 avec la Commission européenne. Pour satisfaire les autorités antitrust européennes, Microsoft a accepté de donner à d'autres éditeurs de logiciels de sécurité le même accès à Windows que le sien. L'on ignore si la Commission serait disposée à réviser l'accord après la panne.

En attendant, Caspers pense que CrowdStrike et d'autres pourraient trouver d'autres options pour éviter l'accès au noyau Windows. « Cela ne devrait pas empêcher de modifier la conception des produits. Le BSI est convaincu qu'il est possible de trouver des solutions techniques solides qui respectent également la réglementation de l'UE pour résoudre le problème en question », a-t-il déclaré. Il n'a pas donné un exemple de conception possible pour éviter l'accès au noyau.

Selon Caspers, Microsoft fixe des règles sur la manière dont les autres tiers accèdent au noyau Windows et pourrait les modifier. Le BSI mise sur sa prochaine conférence, avec Microsoft, CrowdStrike et une cinquantaine d'autres entreprises de sécurité invitées, ainsi que ses homologues des cyberagences d'autres pays. « Si vous devez réagir dans un délai très court, ce type de discussions est sans aucun doute le moyen le plus efficace », a déclaré Caspers.

L'industrie des solutions de cybersécurité suit l'évolution de la situation avec attention

Le régulateur allemand n'est pas en mesure de forcer les entreprises à modifier la conception de leurs produits, dans le but de limiter l'accès au noyau. « Cependant, le BSI dispose de plus de pouvoirs légaux que son homologue américain, la Cybersecurity and Infrastructure Security Agency (CISA), vieille de six ans, n'a pas », explique Dennis-Kenji Kipker, directeur de recherche au sein du Cyberintelligence Institute (CII), un groupe de recherche à Francfort, en Allemagne.

Here’s the scary thing that’s likely to happen based on the facts of the day if we don’t pay attention. Microsoft, who competes with @CrowdStrike, will argue that they should lock all third-party security vendors out of their OS. “It’s the only way we can be safe,” they’ll…

— Matthew Prince 🌥 (@eastdakota) July 20, 2024

Le BSI peut, par exemple, émettre des avertissements sur les produits technologiques et créer des normes pour les agences gouvernementales. Depuis sa création il y a plus de 30 ans, le BSI a acquis une autorité croissante dans le cadre des lois allemandes et européennes sur le cyberespace. « Ce n'est pas comparable à la loi CISA aux États-Unis », a ajouté Kipker. Mais cela n'est pas suffisant pour forcer un changement radical dans la conception des outils de cybersécurité.

Le billet de Cable, de Microsoft, soulève la question de savoir si les efforts déployés par Microsoft pour sécuriser l'accès au noyau pourraient nuire aux éditeurs de logiciels tiers. Par exemple, les logiciels antivirus utilisent l'accès au niveau du noyau pour surveiller les changements malveillants apportés à Windows dès les premières étapes. Le blocage de l'accès au noyau Windows pourrait donc potentiellement rendre les produits de cybersécurité moins efficaces.

« Sans les privilèges du mode noyau, [les antivirus et les systèmes de détection et de réponse des points d'extrémité] sont extrêmement limités dans ce qu'ils peuvent faire. Mais nous ne pensons pas que Microsoft va vraiment révoquer l'accès au mode noyau pour les fournisseurs de sécurité », a déclaré le service de suivi des maliciels VX-Underground. Pour l'instant, Microsoft n'a pas encore évoqué publiquement les réformes qu'il envisage d'apporter à Windows.

Pour sa part, Matthew Prince, PDG de Cloudflare, a déjà mis en garde contre les effets d'un verrouillage plus poussé de Windows par Microsoft, qui devra donc prendre soigneusement en compte les besoins des fournisseurs de solutions de sécurité s'il souhaite opérer un véritable changement.

De son côté, Microsoft cherche à éviter les pannes similaires à celle de CrowdStrike à l'avenir en renforçant la sécurité et en préservant l’accès nécessaire aux éditeurs tiers. L’avenir de Windows sera-t-il plus fermé ? La firme de Redmond devra trouver un équilibre entre sécurité et flexibilité.

Sources : Microsoft (1, 2), Apple

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la question de l'accès au noyau Windows ?
Selon vous, Microsoft doit-il restreindre davantage l'accès au noyau ? Pourquoi ?
Quels seraient les impacts de ce changement sur le système d'exploitation ? Cela apportera-t-il plus de sécurité ?
Quels pourraient être les impacts d'un tel changement sur les fournisseurs de services de cybersécurité comme CrowdStrike ?
Selon vous, la Commission européenne doit-elle revoir sa position sur l'accès des tiers au noyau Windows après la débâcle de CrowdStrike ?

Voir aussi

Réforme de l'accès au noyau Windows : Microsoft cherche à renforcer la sécurité après l'incident avec CrowdStrike, Windows deviendra-t-il un système plus fermé, à l'instar de macOS d'Apple ?

Microsoft affirme que Delta a ignoré l'aide proposée par Satya Nadella concernant CrowdStrike et que les problèmes de Delta sont liés à son ancienne infrastructure informatique, et non à Windows

CrowdStrike accuse un bogue dans le logiciel de test d'avoir mis hors service 8,5 millions de machines Windows, car il n'a pas validé correctement la mise à jour du contenu qui a été diffusée sur les machines