Comment la cybersécurité doit-elle évoluer après la panne de CrowdStrike ? Microsoft organise un sommet à l'intention des entreprises

Pour discuter de l'amélioration de la résilience des logiciels

En juillet dernier, une mise à jour défectueuse du logiciel CrowdStrike a entraîné la panne de millions d’ordinateurs Windows dans le monde entier. Cette situation a eu des conséquences majeures, notamment l’annulation de milliers de vols par les compagnies aériennes et des retards dans les rendez-vous médicaux dans les hôpitaux. Face à cet incident, Microsoft a décidé d’organiser un sommet sur la cybersécurité en septembre.

Microsoft intensifie ses projets visant à rendre Windows plus résistant aux logiciels bogués, après qu'une mise à jour CrowdStrike bâclée a mis hors service des millions d'ordinateurs et de serveurs lors d'une panne informatique mondiale.

Le mois dernier, la grande enseigne de la technologie a intensifié ses discussions avec ses partenaires pour adapter les procédures de sécurité de son système d'exploitation afin de mieux résister au type d'erreur logicielle qui a provoqué la panne de 8,5 millions d'appareils Windows le 19 juillet. Les critiques affirment que tout changement de la part de Microsoft équivaudrait à une concession sur les lacunes de Windows en matière de gestion des logiciels de sécurité tiers, lacunes qui auraient pu être corrigées plus tôt.

Cependant, ces changements seraient également controversés parmi les fournisseurs de logiciels de sécurité, qui devraient apporter des modifications radicales à leurs produits, et obligeraient de nombreux clients de Microsoft à adapter leurs logiciels.

Les pannes du mois dernier, qui auraient causé des milliards de dollars de dommages après avoir cloué au sol des milliers de vols et perturbé les rendez-vous dans les hôpitaux du monde entier, ont renforcé l'attention des autorités de régulation et des chefs d'entreprise sur l'étendue de l'accès des éditeurs de logiciels tiers au cœur, ou noyau, des systèmes d'exploitation Windows.

Microsoft organisera le mois prochain un sommet réunissant des représentants du gouvernement et des entreprises de cybersécurité, dont CrowdStrike, afin de « discuter des mesures concrètes que nous prendrons tous pour améliorer la sécurité et la résilience de nos clients communs », a déclaré Microsoft vendredi.

Tirer des leçons de l'échec

« Le 10 septembre 2024, Microsoft organisera un sommet de l'écosystème de sécurité des points finaux Windows à son siège de Redmond, Washington. Microsoft, CrowdStrike et des partenaires clés qui fournissent des technologies de sécurité des points finaux se réuniront pour discuter de l'amélioration de la résilience et de la protection de l'infrastructure critique des clients mutuels. Notre objectif est de discuter des mesures concrètes que nous prendrons tous pour améliorer la sécurité et la résilience de nos clients communs.

« La panne de CrowdStrike en juillet 2024 nous permet de tirer d'importants enseignements en tant qu'écosystème. Nos discussions porteront sur l'amélioration de la sécurité et des pratiques de déploiement sûres, la conception de systèmes pour la résilience et la collaboration en tant que communauté prospère de partenaires pour mieux servir les clients aujourd'hui et à l'avenir.

« Outre les partenaires de l'écosystème, Microsoft invitera des représentants du gouvernement afin d'assurer le plus haut niveau de transparence à la collaboration de la communauté en vue de fournir une technologie plus sûre et plus fiable pour tous. Le sommet de l'écosystème Windows Endpoint Security devrait déboucher sur des actions et des initiatives à court et à long terme, l'objectif collectif étant d'améliorer la sécurité et la résilience. Nous ferons le point sur ces discussions à l'issue de l'événement ».


Plusieurs options sont envisagées

Microsoft a déclaré envisager plusieurs options pour rendre ses systèmes plus stables et a souligné qu'il n'est pas exclu de bloquer complètement l'accès au noyau Windows (une option dont certains rivaux craignent qu'elle ne désavantage leurs logiciels par rapport au produit de sécurité interne de l'entreprise, Microsoft Defender). « Tous les concurrents craignent que [Microsoft] n'en profite pour préférer ses propres produits aux alternatives tierces », a déclaré Ryan Kalember, responsable de la stratégie de cybersécurité chez Proofpoint.

Exiger de nouvelles procédures de test

Microsoft pourrait également exiger de nouvelles procédures de test de la part des fournisseurs de cybersécurité plutôt que d'adapter le système Windows lui-même.

Apple, qui n'a pas été touché par les pannes, empêche tous les fournisseurs tiers d'accéder au noyau de son système d'exploitation MacOS, les obligeant à fonctionner en mode « utilisateur », plus limité. Microsoft a précédemment déclaré ne pas être en mesure de faire de même, après avoir conclu un accord avec la Commission européenne en 2009 selon lequel elle donnerait à des tiers le même accès à ses systèmes que celui de Microsoft Defender.

Certains experts ont toutefois déclaré que cet engagement volontaire envers l'UE n'avait pas lié les mains de Microsoft comme il le prétendait, arguant que l'entreprise avait toujours été libre d'apporter les changements envisagés. « Il s'agit de décisions techniques de Microsoft qui ne faisaient pas partie [de l'accord] », a déclaré Thomas Graf, un associé de Cleary Gottlieb à Bruxelles qui a participé à l'affaire.

Bloquer l'accès au noyau

« Le texte [de l'accord] ne les oblige pas à donner accès au noyau », a ajouté AJ Grotto, ancien directeur principal de la politique de cybersécurité à la Maison Blanche. Grotto a déclaré que Microsoft avait sa part de responsabilité dans les perturbations de juillet, car les pannes n'auraient pas été possibles sans sa décision d'autoriser l'accès au noyau.

Néanmoins, bien qu'il puisse renforcer la résilience d'un système, le blocage de l'accès au noyau pourrait également entraîner de « véritables compromis » pour la compatibilité avec d'autres logiciels qui a rendu Windows si populaire auprès des clients professionnels, a déclaré Allie Mellen, analyste chez Forrester. « Il s'agirait d'un changement fondamental pour la philosophie et le modèle commercial de Microsoft », a-t-elle ajouté.

Le fait d'opérer exclusivement en dehors du noyau peut réduire le risque de déclencher des pannes massives, mais cela est également « très contraignant » pour les fournisseurs de sécurité et pourrait rendre leurs produits « moins efficaces » contre les pirates informatiques, a ajouté Mellen. Le fait d'opérer au sein du noyau donne aux entreprises de sécurité plus d'informations sur les menaces potentielles et permet à leurs outils défensifs de s'activer avant que les logiciels malveillants ne s'installent, a-t-elle ajouté.

Reproduire le modèle utilisé par Linux

Une autre option consisterait à reproduire le modèle utilisé par le système d'exploitation libre Linux, qui utilise un mécanisme de filtrage créant un environnement séparé au sein du noyau dans lequel les logiciels, y compris les outils de cyberdéfense, peuvent être exécutés. Mais la complexité de la refonte de la manière dont les autres logiciels de sécurité fonctionnent avec Windows signifie que tout changement sera difficile à contrôler pour les régulateurs et que Microsoft sera fortement incité à favoriser ses propres produits, ont déclaré des rivaux.

Cela « semble bien sur le papier, mais le diable est dans les détails », a déclaré Matthew Prince, directeur général du groupe de services numériques Cloudflare.


Un changement qui ne résoudra qu'un « faible pourcentage du problème », selon un cadre de Microsoft

Ce dernier a requis l'anonymat parce qu'il n'est pas l'autorisation de discuter publiquement de questions internes. Il a déclaré que les participants au Windows Endpoint Security Ecosystem Summit étudieront la possibilité de faire en sorte que les applications s'appuient davantage sur une partie de Windows appelée mode utilisateur plutôt que sur le mode noyau, plus privilégié.

Les développeurs de logiciels de CrowdStrike, Check Point, SentinelOne et d'autres acteurs du marché de la protection des points finaux dépendent actuellement du mode noyau. Cet accès permet à SentinelOne de « surveiller et d'arrêter les mauvais comportements et d'empêcher les logiciels malveillants de désactiver les logiciels de sécurité », a déclaré un porte-parole....