
Le débat sur la restriction de l'accès au noyau Windows prend de l'ampleur
Des entreprises du monde entier ont été confrontées le 19 juillet au redoutable écran bleu de la mort (BSOD) de Windows après une mise défectueuse de la société de cybersécurité CrowdStrike. Cette panne géante a paralysé de nombreuses entreprises de nombreux secteurs, laissant les victimes à la recherche de solutions immédiates pour satisfaire leurs clientèles et éviter des pertes financières colossales. CrowdStrike a corrigé la mise à jour à l'origine du problème, mais de nombreux systèmes sont restés hors ligne plusieurs heurs après la panne. Certaines entreprises ont subi des pertes financières importantes.
Selon un rapport du Wall Street Journal, pour l'agence allemande de cybersécurité, il est important de tirer des leçons de cet incident et saisir l'occasion pour redéfinir l'interaction entre les produits de sécurité et les systèmes d'exploitation. L'agence allemande de cybersécurité vise spécifiquement l'accès que Microsoft accorde aux prestataires de services de sécurité à son noyau Windows, une partie critique de son système d'exploitation. En effet, le logiciel de CrowdStrike fonctionne au niveau du noyau. CrowdStrike affirme que cet accès est indispensable pour le bon fonctionnement de son logiciel de sécurité.
Toutefois, cela signifie que si quelque chose ne va pas avec le logiciel de CrowdStrike, il peut faire tomber les machines Windows avec un BSOD. La mise à jour défectueuse de CrowdStrike a provoqué le plantage de plus de 8,5 millions d'appareils Windows à travers le monde. La panne a affecté des centaines d'entreprises et a duré plusieurs heures, voire plusieurs jours chez certaines victimes. Elle a également soulevé d'importantes préoccupations sur l'accès au noyau.
Le logiciel Falcon de CrowdStrike utilise un pilote spécial qui lui permet de fonctionner à un niveau inférieur à celui de la plupart des applications, de sorte qu'il peut détecter les menaces sur l'ensemble d'un système Windows. En 2006, Microsoft a tenté d'empêcher les tiers d'accéder au noyau de Windows Vista, mais s'est heurté au refus des fournisseurs de cybersécurité et des autorités de réglementation de l'Union européenne. Il n'y a pas grand-chose qui ait changé depuis.
Contrairement à Microsoft, Apple a réussi à verrouiller son système d'exploitation macOS en 2020 afin que les développeurs ne puissent plus accéder au noyau. Le BSI allemand remet le sujet sur la table. En outre, l'agence allemande de cybersécurité souhaite que des changements fondamentaux soient apportés à la manière dont CrowdStrike et d'autres cyberentreprises conçoivent leurs outils, dans l'espoir de limiter l'accès au noyau du système d'exploitation.
« Le plus important est d'empêcher que cela ne se reproduise », affirme Thomas Caspers, directeur général de la stratégie technologique au sein du BSI. Tirant parti de l'effroi qui a envahi la Silicon Valley à la suite de la panne de juillet, la BSI prévoit d'organiser cette année une conférence réunissant les principales entreprises technologiques, où elle espère qu'elles s'engageront à restreindre l'accès au noyau Windows. Pour Caspers, cela est primordial.
Microsoft pourrait de nouveau envisager de réformer l'accès au noyau Windows
CrowdStrike et ses concurrents conçoivent expressément leurs produits de manière à bénéficier d'un accès au noyau Windows, qui fournit notamment des données permettant de détecter les cybermenaces. Selon ces fournisseurs de services, le maintien de cet accès leur permet de réagir rapidement pour bloquer les activités malveillantes. Dans un billet de blogue daté du 9 août, CrowdStrike a déclaré : « des produits tels que l'analyse des microprogrammes ou le contrôle des appareils ne seraient pas possibles sans cette conception ». Mais les experts pensent que les risques liés à cet accès sont trop importants.
Caspers affirme qu'un changement est essentiel pour éviter que de telles pannes ne se reproduisent. « Il n'est pas acceptable d'exécuter ces outils en mode noyau avec tous les accès que l'on connaît aujourd'hui. Les entreprises de cybersécurité pourraient utiliser d'autres technologies pour détecter les attaques tout en restant en mode utilisateur. Le résultat le plus important de cette affaire sera qu'elles changeront cela », a-t-il déclaré à propos de la débâcle de CrowdStrike.
Au lendemain de la panne provoquée par la mise à jour défectueuse de CrowdStrike, Microsoft a également laissé entendre qu'il envisageait de modifier l'accès au noyau de Windows. Dans un billet de blogue daté du 25 juillet, John Cable, vice-président de Microsoft chargé de la gestion des programmes, a déclaré : « la panne de CrowdStrike montrait que Windows doit donner la priorité au changement et à l'innovation dans le domaine de la résilience de bout en bout ».
Mais il y a un hic. Juste après la panne, Microsoft a déclaré qu'il ne pouvait pas légalement couper l'accès au noyau Windows comme le fait Apple, par exemple, en raison d'un accord conclu en 2009 avec la Commission européenne. Pour satisfaire les autorités antitrust européennes, Microsoft a accepté de donner à d'autres éditeurs de logiciels de sécurité le même accès à Windows que le sien. L'on ignore si la Commission serait disposée à réviser l'accord après la panne.
En attendant, Caspers pense que CrowdStrike et d'autres pourraient trouver d'autres options pour éviter l'accès au noyau Windows. « Cela ne devrait pas empêcher de modifier la conception des produits. Le BSI est convaincu qu'il est possible de trouver des solutions techniques solides qui respectent également la réglementation de l'UE pour résoudre le problème en question », a-t-il déclaré. Il n'a pas donné un exemple de conception possible pour éviter l'accès au noyau.
Selon Caspers, Microsoft fixe des règles sur la manière dont les autres tiers accèdent au noyau Windows et pourrait les modifier. Le BSI mise sur sa prochaine conférence, avec Microsoft, CrowdStrike et une cinquantaine d'autres entreprises de sécurité invitées, ainsi que ses homologues des cyberagences d'autres pays. « Si vous devez réagir dans un délai très court, ce type de discussions est sans aucun doute le moyen le plus efficace », a déclaré Caspers.
L'industrie des solutions de cybersécurité suit l'évolution de la situation avec attention
Le régulateur allemand n'est pas en mesure de forcer les entreprises à modifier la conception de leurs produits, dans le but de limiter l'accès au noyau. « Cependant, le BSI dispose de plus de pouvoirs légaux que son homologue américain, la Cybersecurity and Infrastructure Security Agency (CISA), vieille de six ans, n'a pas », explique Dennis-Kenji Kipker, directeur de recherche au sein du Cyberintelligence Institute (CII), un groupe de recherche à Francfort, en Allemagne.
Here’s the scary thing that’s likely to happen based on the facts of the day if we don’t pay attention. Microsoft, who competes with @CrowdStrike, will argue that they should lock all third-party security vendors out of their OS. “It’s the only way we can be safe,” they’ll…
— Matthew Prince 🌥 (@eastdakota) July 20, 2024
Le BSI peut, par exemple, émettre des avertissements sur les produits technologiques et créer des normes pour les agences gouvernementales. Depuis sa création il y a plus de 30 ans, le...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.