Comment la cybersécurité doit-elle évoluer après la panne de CrowdStrike ? Microsoft organise un sommet à l'intention des entreprises

Pour discuter de l'amélioration de la résilience des logiciels

En juillet dernier, une mise à jour défectueuse du logiciel CrowdStrike a entraîné la panne de millions d’ordinateurs Windows dans le monde entier. Cette situation a eu des conséquences majeures, notamment l’annulation de milliers de vols par les compagnies aériennes et des retards dans les rendez-vous médicaux dans les hôpitaux. Face à cet incident, Microsoft a décidé d’organiser un sommet sur la cybersécurité en septembre.

Microsoft intensifie ses projets visant à rendre Windows plus résistant aux logiciels bogués, après qu'une mise à jour CrowdStrike bâclée a mis hors service des millions d'ordinateurs et de serveurs lors d'une panne informatique mondiale.

Le mois dernier, la grande enseigne de la technologie a intensifié ses discussions avec ses partenaires pour adapter les procédures de sécurité de son système d'exploitation afin de mieux résister au type d'erreur logicielle qui a provoqué la panne de 8,5 millions d'appareils Windows le 19 juillet. Les critiques affirment que tout changement de la part de Microsoft équivaudrait à une concession sur les lacunes de Windows en matière de gestion des logiciels de sécurité tiers, lacunes qui auraient pu être corrigées plus tôt.

Cependant, ces changements seraient également controversés parmi les fournisseurs de logiciels de sécurité, qui devraient apporter des modifications radicales à leurs produits, et obligeraient de nombreux clients de Microsoft à adapter leurs logiciels.

Les pannes du mois dernier, qui auraient causé des milliards de dollars de dommages après avoir cloué au sol des milliers de vols et perturbé les rendez-vous dans les hôpitaux du monde entier, ont renforcé l'attention des autorités de régulation et des chefs d'entreprise sur l'étendue de l'accès des éditeurs de logiciels tiers au cœur, ou noyau, des systèmes d'exploitation Windows.

Microsoft organisera le mois prochain un sommet réunissant des représentants du gouvernement et des entreprises de cybersécurité, dont CrowdStrike, afin de « discuter des mesures concrètes que nous prendrons tous pour améliorer la sécurité et la résilience de nos clients communs », a déclaré Microsoft vendredi.

Tirer des leçons de l'échec

« Le 10 septembre 2024, Microsoft organisera un sommet de l'écosystème de sécurité des points finaux Windows à son siège de Redmond, Washington. Microsoft, CrowdStrike et des partenaires clés qui fournissent des technologies de sécurité des points finaux se réuniront pour discuter de l'amélioration de la résilience et de la protection de l'infrastructure critique des clients mutuels. Notre objectif est de discuter des mesures concrètes que nous prendrons tous pour améliorer la sécurité et la résilience de nos clients communs.

« La panne de CrowdStrike en juillet 2024 nous permet de tirer d'importants enseignements en tant qu'écosystème. Nos discussions porteront sur l'amélioration de la sécurité et des pratiques de déploiement sûres, la conception de systèmes pour la résilience et la collaboration en tant que communauté prospère de partenaires pour mieux servir les clients aujourd'hui et à l'avenir.

« Outre les partenaires de l'écosystème, Microsoft invitera des représentants du gouvernement afin d'assurer le plus haut niveau de transparence à la collaboration de la communauté en vue de fournir une technologie plus sûre et plus fiable pour tous. Le sommet de l'écosystème Windows Endpoint Security devrait déboucher sur des actions et des initiatives à court et à long terme, l'objectif collectif étant d'améliorer la sécurité et la résilience. Nous ferons le point sur ces discussions à l'issue de l'événement ».


Plusieurs options sont envisagées

Microsoft a déclaré envisager plusieurs options pour rendre ses systèmes plus stables et a souligné qu'il n'est pas exclu de bloquer complètement l'accès au noyau Windows (une option dont certains rivaux craignent qu'elle ne désavantage leurs logiciels par rapport au produit de sécurité interne de l'entreprise, Microsoft Defender). « Tous les concurrents craignent que [Microsoft] n'en profite pour préférer ses propres produits aux alternatives tierces », a déclaré Ryan Kalember, responsable de la stratégie de cybersécurité chez Proofpoint.

Exiger de nouvelles procédures de test

Microsoft pourrait également exiger de nouvelles procédures de test de la part des fournisseurs de cybersécurité plutôt que d'adapter le système Windows lui-même.

Apple, qui n'a pas été touché par les pannes, empêche tous les fournisseurs tiers d'accéder au noyau de son système d'exploitation MacOS, les obligeant à fonctionner en mode « utilisateur », plus limité. Microsoft a précédemment déclaré ne pas être en mesure de faire de même, après avoir conclu un accord avec la Commission européenne en 2009 selon lequel elle donnerait à des tiers le même accès à ses systèmes que celui de Microsoft Defender.

Certains experts ont toutefois déclaré que cet engagement volontaire envers l'UE n'avait pas lié les mains de Microsoft comme il le prétendait, arguant que l'entreprise avait toujours été libre d'apporter les changements envisagés. « Il s'agit de décisions techniques de Microsoft qui ne faisaient pas partie [de l'accord] », a déclaré Thomas Graf, un associé de Cleary Gottlieb à Bruxelles qui a participé à l'affaire.

Bloquer l'accès au noyau

« Le texte [de l'accord] ne les oblige pas à donner accès au noyau », a ajouté AJ Grotto, ancien directeur principal de la politique de cybersécurité à la Maison Blanche. Grotto a déclaré que Microsoft avait sa part de responsabilité dans les perturbations de juillet, car les pannes n'auraient pas été possibles sans sa décision d'autoriser l'accès au noyau.

Néanmoins, bien qu'il puisse renforcer la résilience d'un système, le blocage de l'accès au noyau pourrait également entraîner de « véritables compromis » pour la compatibilité avec d'autres logiciels qui a rendu Windows si populaire auprès des clients professionnels, a déclaré Allie Mellen, analyste chez Forrester. « Il s'agirait d'un changement fondamental pour la philosophie et le modèle commercial de Microsoft », a-t-elle ajouté.

Le fait d'opérer exclusivement en dehors du noyau peut réduire le risque de déclencher des pannes massives, mais cela est également « très contraignant » pour les fournisseurs de sécurité et pourrait rendre leurs produits « moins efficaces » contre les pirates informatiques, a ajouté Mellen. Le fait d'opérer au sein du noyau donne aux entreprises de sécurité plus d'informations sur les menaces potentielles et permet à leurs outils défensifs de s'activer avant que les logiciels malveillants ne s'installent, a-t-elle ajouté.

Reproduire le modèle utilisé par Linux

Une autre option consisterait à reproduire le modèle utilisé par le système d'exploitation libre Linux, qui utilise un mécanisme de filtrage créant un environnement séparé au sein du noyau dans lequel les logiciels, y compris les outils de cyberdéfense, peuvent être exécutés. Mais la complexité de la refonte de la manière dont les autres logiciels de sécurité fonctionnent avec Windows signifie que tout changement sera difficile à contrôler pour les régulateurs et que Microsoft sera fortement incité à favoriser ses propres produits, ont déclaré des rivaux.

Cela « semble bien sur le papier, mais le diable est dans les détails », a déclaré Matthew Prince, directeur général du groupe de services numériques Cloudflare.


Un changement qui ne résoudra qu'un « faible pourcentage du problème », selon un cadre de Microsoft

Ce dernier a requis l'anonymat parce qu'il n'est pas l'autorisation de discuter publiquement de questions internes. Il a déclaré que les participants au Windows Endpoint Security Ecosystem Summit étudieront la possibilité de faire en sorte que les applications s'appuient davantage sur une partie de Windows appelée mode utilisateur plutôt que sur le mode noyau, plus privilégié.

Les développeurs de logiciels de CrowdStrike, Check Point, SentinelOne et d'autres acteurs du marché de la protection des points finaux dépendent actuellement du mode noyau. Cet accès permet à SentinelOne de « surveiller et d'arrêter les mauvais comportements et d'empêcher les logiciels malveillants de désactiver les logiciels de sécurité », a déclaré un porte-parole.

Les applications en mode utilisateur sont isolées, ce qui signifie que si l'une d'entre elles tombe en panne, elle n'entraînera pas l'arrêt des autres. En revanche, une application en mode noyau qui tombe en panne peut entraîner le blocage de l'ensemble de Windows. Le 19 juillet, CrowdStrike a publié une mise à jour boguée de la configuration du contenu de son capteur Falcon pour les ordinateurs Windows, dans le but de recueillir des données sur les nouvelles attaques, ce qui a provoqué des pannes au niveau du système d'exploitation. Les administrateurs informatiques ont redémarré un à un les PC qui avaient reçu la mise à jour et qui affichaient un « écran bleu de la mort ».

Le cadre de Microsoft a déclaré que la suppression de l'accès au noyau de Windows ne résoudrait qu'un faible pourcentage des problèmes potentiels. Ces dernières années, Apple a limité l'accès au noyau dans macOS et l'entreprise décourage les développeurs d'utiliser des extensions du noyau.

Les participants à l'événement organisé par Microsoft le 10 septembre discuteront également de l'adoption de la technologie eBPF, qui vérifie que les programmes s'exécutent sans provoquer de pannes du système, et des langages de programmation à mémoire sécurisée tels que Rust, a déclaré le cadre. L'année dernière, Microsoft a fait don d'un million de dollars à la fondation à but non lucratif Rust, qui verse des allocations aux personnes travaillant sur ce langage.

Microsoft est en concurrence avec CrowdStrike avec son produit Defender for Endpoint. L'équipe de CrowdStrike participera à la conférence comme toute autre entreprise de cybersécurité et ne bénéficiera pas d'un traitement de faveur, a déclaré le cadre.

Conclusion

En définitive, ce sommet vise à tirer des leçons de la panne causée par CrowdStrike et à renforcer la sécurité des systèmes Windows pour éviter de tels incidents à l’avenir en rendant Windows plus résilient face aux erreurs logicielles. Apple, par exemple, bloque l’accès au noyau de son système d’exploitation MacOS pour les fournisseurs tiers, les obligeant à fonctionner en mode utilisateur plus limité. L'exercice est délicat : Microsoft devra trouver un équilibre entre la sécurité et la compatibilité avec les produits tiers, une situation que les régulateurs et l'industrie de la cybersécurité observent avec le plus grand intérêt.

Source : Microsoft

Et vous ?

Quelle est votre opinion sur l’accès au noyau (kernel) de Windows par les logiciels tiers ? Pensez-vous que Microsoft devrait bloquer complètement cet accès pour renforcer la stabilité du système, ou est-ce une mesure trop restrictive ?
Comment évaluez-vous la réaction de Microsoft face à la panne causée par CrowdStrike ? Trouvez-vous que l’organisation a agi de manière proactive en organisant ce sommet sur la cybersécurité, ou aurait-elle pu faire plus ?
Quelles sont les implications pour la sécurité des utilisateurs et des entreprises lorsque des mises à jour logicielles défectueuses se produisent ? Comment pouvons-nous mieux protéger nos systèmes contre de telles situations à l’avenir ?
Pensez-vous que les fournisseurs tiers de sécurité devraient avoir un accès privilégié au noyau de Windows ? Quels avantages et inconvénients cela pourrait-il entraîner ?
Quelles autres mesures de sécurité pourraient être mises en place pour éviter des incidents similaires à l’avenir ? Avez-vous des idées ou des suggestions ?