Même si Microsoft n’est pas directement responsable du fiasco CrowdStrike, l’éditeur est copieusement pointé du doigt. Le fait que Windows ait pu planter à cause d’un bug dans un logiciel tiers n’est-il pas la preuve flagrante que sa fiabilité et sa sécurité devraient être améliorées ? Face à la pression croissante et les questions incessantes, Microsoft a désigné une coupable : l’Europe.

La panne CrowdStrike n’en finit plus de créer des ondes de choc dans le monde informatique, les innombrables structures touchées, les clients et la classe politique. Rappelons qu’une mise à jour déployée dans l’outil de sécurité Falcon Sensor de CrowdStrike a provoqué des écrans bleus sur des millions de PC équipés de Windows. Nous nous sommes largement penchés sur les aspects techniques de cette affaire.

La panne, nous l’avons vu, vient d’un logiciel tiers. Dans un précédent article, nous avons d’ailleurs rappelé le fonctionnement des niveaux de privilèges dans Windows, ainsi que des espaces noyau et utilisateur. Mais la question demeure, entêtante : comment une simple mise à jour d’un produit tiers peut entrainer un plantage du noyau Windows, entrainant le reste du système avec lui ?

Une faiblesse inhérente à Windows ?

On lit régulièrement que la panne est l’illustration flagrante d’une faiblesse de Windows. Ainsi, le système ne devrait pas être conçu de manière à laisser une application tierce créer un tel bazar. N’est-ce pas la preuve qu’il est temps que Microsoft revoie l’organisation de son architecture et des API proposées aux développeurs tiers ?

« Ce que vous voyez ici, ce sont des défaillances systémiques de la part de Microsoft, qui mettent en danger non seulement leurs clients, mais aussi le gouvernement américain ». Tels étaient les propos de George Kutz, CEO de CrowdStrike, sur CNBC en janvier. Microsoft venait alors de confirmer que certains systèmes utilisés par des cadres de l’entreprise avaient été piratés par un groupe russe.

L’ironie de la situation est palpable, mais Microsoft a quand même un problème sur les bras. Que ce soit à travers une presse mal informée ou une récupération politique, l’entreprise est largement pointée du doigt. En France et en Europe, c’est pour certains la preuve que la souveraineté numérique doit être une priorité. Et ce, alors que l’origine d’un logiciel ne peut en garantir l’excellence technique.

Une situation complexe. Mais alors que la question doit se poser en interne chez Microsoft, la firme est soumise à une grande pression. On la somme de s’expliquer. Dans un développement surprenant, elle accuse l’Europe.

Sans l’Europe, Windows serait plus verrouillé

Face à cette pression, un porte-parole de Microsoft s’est expliqué auprès du Wall Street Journal. Selon nos confrères, « la société ne pouvait pas légalement cloisonner son système d'exploitation comme le fait Apple, en raison d'un accord conclu avec la Commission européenne à la suite d'une plainte ». Une posture pour le moins surprenante (nous allons y revenir), mais que nous a confirmée le service presse de Microsoft France.

En 2009 en effet, « Microsoft a accepté de donner aux fabricants de logiciels de sécurité le même niveau d'accès à Windows que celui dont bénéficie Microsoft », ajoute le Journal. L’accord en question est toujours disponible sur le site de Microsoft. Dans son communiqué du 16 décembre 2009, on peut y lire l’enthousiasme de l’entreprise :

« Nous nous réjouissons de la décision prise aujourd'hui par la Commission européenne, qui approuve la résolution finale de plusieurs problèmes de longue date en matière de droit de la concurrence en Europe. Nous sommes impatients de poursuivre le dialogue et la confiance qui ont été établis entre Microsoft et la Commission et d'étendre notre leadership industriel en matière d'interopérabilité ».

Il s’agissait à l’époque d’intervenir sur deux points majeurs. D’une part, l’arrivée d’un écran de sélection du navigateur dans Windows, pour mettre fin à la suprématie d’Internet Explorer. D’autre part, un engagement public de Microsoft couvrant l’interopérabilité des produits Microsoft avec les logiciels tiers. Les mesures prévues sont toujours listées dans un document dédié.

Ce document est important, car Microsoft s’engage à proposer aux développeurs tiers les mêmes API que celles utilisées par ses propres produits de sécurité. La Commission européenne avait demandé ce changement, car plusieurs éditeurs de solutions de sécurité avaient accusé Microsoft d’avantage injuste, en profitant de capacités qu’elle seule pouvait utiliser.

Il s’agirait du cœur du problème : l’accord avec l’Europe stipule que les logiciels tiers doivent avoir les mêmes capacités que les logiciels de Microsoft, notamment dans le domaine de la sécurité. Ce qui, à l’époque, avait été applaudi comme une règle de bon sens. Le ton même du communiqué de Microsoft était joyeux.

Pourquoi un tel revirement ?

Nous avons demandé à Microsoft les raisons de ce revirement, ainsi que des détails sur cet avis tranché. À l’heure où nous écrivons ces lignes, l’entreprise n’a pas répondu à nos sollicitations. La question reste donc entière : pourquoi accuser l’Europe d’un tel fiasco ?

La Commission européenne est bien à l’origine de la demande. Les modifications ont été décidées après de longues concertations entre les parties. Microsoft, à l’époque, évoquait même « un jour important et un grand pas en avant ». Pour ne pas être ensevelie sous une trop grande complexité, l’entreprise avait d’ailleurs répercuté ce changement dans tous les marchés. CrowdStrike, entreprise, américaine, en a donc profité.

L’attaque contre l’Europe semble donc bien malavisée. L’exigence de la Commission n’était pas en effet de donner aux éditeurs tiers un accès à l’espace noyau, mais de leur offrir les mêmes capacités que ses propres produits. Si ces derniers pouvaient passer par un pilote en espace noyau – comme Falcon Sensor de CrowdStrike et l’immense majorité des solutions de sécurité aujourd’hui sur Windows – alors les autres éditeurs devaient pouvoir en faire autant.

Y avait-il une autre solution ?

La déclaration de Microsoft au Wall Street Journal laisse à penser que sans cette décision de l’Europe, Windows serait aujourd’hui plus verrouillé. L’éditeur en aurait-il profité pour cloisonner définitivement l’espace noyau, y compris pour ses produits ? On peut en douter, car l'éditeur estimait alors être dans son bon droit en voulant sécuriser son propre système. Il se retrouvait, de fait, en concurrence directe avec toutes les sociétés de sécurité.

Cette déclaration ressemble davantage à un os négligemment jeté à la presse, mais l’argument est faible. Rien n’empêchait en effet depuis 15 ans de mettre en place une autre architecture et de revoir la manière dont les solutions de sécurité travaillaient sur Windows. Comme nous l’avons indiqué, ces dernières ont actuellement un grand pouvoir, car elles doivent avoir les privilèges nécessaires pour surveiller tout ce qui se passe sur la machine.

C’est précisément la voie empruntée par Apple en 2020 avec macOS Big Sur. La firme avait mis les kexts à la retraite. Les kexts, pour « kernel extensions », pouvaient être utilisés par les éditeurs tiers pour déposer des éléments en espace noyau. Apple a fermé cette porte, forçant les éditeurs tiers à s’adapter. En novembre 2020 d’ailleurs, CrowdStrike avait annoncé sa compatibilité avec Big Sur en grande pompe, précisant que la nouvelle mouture de Falcon gardait toutes ses capacités, sans impact sur les performances.

La version Mac de Falcon est, à ce jour, la seule version du logiciel à fonctionner en espace utilisateur. Sur Windows et Linux, le pilote en espace noyau est toujours présent. Sur Linux, CrowdStrike aussi avait provoqué différents problèmes, dont… des kernel panics, l’équivalent Linux de l’écran bleu. Les origines des pannes étaient autres, mais le résultat était le même, avec une interrogation identique sur les privilèges de ce type de logiciel. Au cours des derniers mois, on a ainsi pu voir des blocages complets se produire sur Debian et RockyLinux, et confirmés par RedHat.

Nous mettrons cette actualité à jour si Microsoft nous répond.