Après le fiasco CrowdStrike, Microsoft prépare le futur de la sécurité de Windows

Croix de bois, croix de fer

Microsoft a organisé récemment une réunion avec de nombreux éditeurs et des membres officiels de gouvernements. L’objectif ? Discuter de la sécurité de Windows et comment l’améliorer. Cette réunion fait suite au fiasco CrowdStrike. Microsoft n’était pas directement en tort, mais les dommages collatéraux sur son image ont été importants.

Vincent Hermann

Le 13 septembre 2024 à 15h15

5 min

Sécurité

L’affaire CrowdStrike et la crise qui en a résulté ont mis en lumière des défaillances autour de la sécurité de Windows. La panne mondiale a été provoquée par une simple mise à jour de définitions dans un produit de sécurité. Elle a provoqué un plantage dans un composant résidant en espace noyau sur Windows, entrainant tout le système dans sa chute. Ce dernier redémarrait ensuite en boucle, car le produit de CrowdStrike était chargé très tôt dans le processus, empêchant de reprendre la main.

Panne CrowdStrike : comment une simple mise à jour a-t-elle entrainé une telle pagaille ?

La faute incombait pleinement à CrowdStrike, mais Microsoft a été largement éclaboussé au passage. De nombreux médias ont affirmé qu’il s’agissait d’une panne de Windows. Microsoft avait fini par s’expliquer, rappelant des bases dans la conception des solutions de sécurité. Point important, la présence de composants en espace noyau était rendue nécessaire par les fonctionnalités que les solutions de sécurité sont censées permettre, notamment la surveillance de tout ce qui se passe sur un ordinateur.

En outre, l’éditeur avait rappelé l’existence de sa Microsoft Virus Initiative (MVI). Elle réunit de nombreux éditeurs tiers afin de partager des informations, dont les bonnes pratiques et des pistes d’amélioration. C’est cette MVI qui s’est réunie le 10 septembre, avec des membres officiels de gouvernements, indique Microsoft dans un billet publié hier soir et signé David Weston, vice-président chargé de la sécurité des entreprises et systèmes d’exploitation.

« Complexités du paysage de la sécurité moderne »

« Avec nos partenaires de la Microsoft Virus Initiative (MVI) – des entreprises qui développent des produits de protection des terminaux et des produits de sécurité supplémentaires pour Windows, couvrant les clients, les serveurs et l'IoT – nous avons discuté des complexités du paysage de la sécurité moderne, en reconnaissant qu'il n'y a pas de solutions simples », indique Microsoft dans son billet.

Il ne s’agissait pas d’une réunion décisionnelle, mais les discussions ont été décrites comme « riches ». Plusieurs points sont clairement ressortis. Par exemple, les clients « tirent profit de l'existence d'options pour Windows et d'un choix de produits de sécurité ». En outre, que ce choix implique une responsabilité partagée d’amélioration de la résilience et d’échanges d’informations sur la manière dont les « produits fonctionnent, traitent les mises à jour et gèrent les perturbations ».

Échanges d’informations sur les pratiques

Microsoft a en particulier détaillé la manière dont elle emploie ses Safe Deployment Practices (SDP) et comment elles pourraient être améliorées. Microsoft et ses partenaires semblent se diriger vers un socle commun de bonnes pratiques. La société évoque également « le partage de données, d'outils et de processus documentés ». Broadcom, Sophos et Trend Micro sont cités en exemples de sociétés partageant leurs pratiques.

Il n’est pas question de remettre en cause « le déploiement progressif et échelonné des mises à jour envoyées aux clients ». En revanche, et à court terme, les membres de la MVI ont discuté de plusieurs changements :

Améliorer les tests sur les composants critiques
Améliorer les tests de compatibilité entre les multiples configurations
Un meilleur partage des informations sur les produits pendant leur développement et une fois sur le marché
Une meilleure réponse aux incidents, via une plus grande coordination et des procédures de récupération plus strictes

Si ces pistes vous semblent familières, c’est parce que CrowdStrike a utilisé, dans les grandes lignes, les mêmes éléments. C’est particulièrement vrai avec l’augmentation des tests, sur lesquels CrowdStrike s’est davantage étendu. Mais en tant que première concernée dans la panne mondiale, l’entreprise devait prouver qu’elle en avait tiré des leçons.

Microsoft ajoute qu’il ne s’agit là que d’un « échantillon de sujets » sur lesquels tout l’écosystème prévoit d’avancer rapidement.

Et à plus long terme ?

Sans trop de surprise, Microsoft a mis en avant les multiples améliorations de sécurité dans Windows 11. Dans le cadre de la réunion, des informations ont également été partagées sur les prochains changements que l’éditeur compte introduire.

Plus intéressant, les éditeurs tiers « ont demandé à Microsoft de fournir des capacités de sécurité supplémentaires en dehors du mode noyau qui, avec SDP, peuvent être utilisées pour créer des solutions de sécurité hautement disponibles ». C’était à prévoir, pour ne pas risquer qu’un tel fiasco se reproduise.

D’ailleurs, l’un des objectifs de la réunion était de discuter d’une nouvelle plateforme. De nombreux points ont été abordés à ce sujet, dont les besoins et défis en matière de performances en espace utilisateur, une protection contre les fraudes pour les produits de sécurité, les exigences pour les capteurs de sécurité (source de la panne chez CrowdStrike), le fonctionnement de la collaboration entre Microsoft et les autres éditeurs, ainsi que les objectifs de conception sécurisée de cette nouvelle plateforme.

« Nous sommes des concurrents, mais pas des adversaires. Les adversaires sont ceux dont nous devons protéger le monde », a résumé Microsoft.

Commentaires (11)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

eglyn Premium

Le 13/09/2024 à 15h47

Point important, la présence de composants en espace noyau était rendue nécessaire par les fonctionnalités que les solutions de sécurité sont censées permettre, notamment la surveillance de tout ce qui se passe sur un ordinateur.

On marche sur la tête, on fragilise un OS pour permettre à des solutions tierces de "protéger"...

fdorin Premium

Le 13/09/2024 à 16h00

Plus précisément, les éditeurs tiers devaient pouvoir offrir les mêmes fonctionnalités que la solution de sécurité de Microsoft.

Comme la solution de Microsoft tape directement dans le noyau de Windows, concurrence oblige, les solutions tierces devaient pouvoir aussi le faire.

L'Europe était passé par là (c'était d'ailleurs un des arguments à un moment dans la défense de Microsoft vis-à-vis du fiasco Crowdstrike)

dvr-x Premium

Le 13/09/2024 à 16h12

Accessoirement c'était aussi imposer par l'UE. Ce serait compliqué de dire aujourd'hui si l'OS et plus protégé par un Crowdstrike avec accès noyau que sans.

Mais c'est les process d'application qu'il faut revoir, pas nécessairement l'accès au noyau, car cela prendra beaucoup de temps surement... Ce n'est pas modifiable si simplement, des centaines de produits ne fonctionneraient plus.

Crowdstrike est un très bon produit. C'est un grosse boulette, qui n'a pas été détecté en test, et qui s'est répercutée très vite. Le plus gros du problème ce n'est pas l'accès au noyau, c'est la partie détection/test, ou MS devrait mettre plus d'éléments à dispo et ajouter des process de vérification.

En tous cas dans un premier temps !

Wosgien

Le 16/09/2024 à 13h23

Crowstrike peut aussi apprendre à faire un nice fail plutôt que de tuer le système sur un problème de config

dvr-x Premium

Le 16/09/2024 à 14h59

Je ne dis pas le contraire, le sujet traite de ce que MS devrait/pourrait mettre en place.

alex.d. Premium

Le 13/09/2024 à 16h39

Je ne vois pas comment on peut surveiller les virus de manière fiable en restant en espace utilisateur. Bien sûr, il ne faut quand même pas mettre le parseur de fichier de config dans le module noyau, mais un minimum de code noyau semble nécessaire.

eglyn Premium

Le 14/09/2024 à 20h25

Certes, mais donner la possibilité à des tiers de le faire est moyen. L'OS seul devrait être le responsable de la sécurité, ouvrir l'accès noyau pour des solutions tierces est assez étrange, si ce n'est pour éviter le ouin ouin des entreprises antivirales qui ne pourront plus vendre leur bousin :|

alex.d. Premium

Le 14/09/2024 à 23h19

Sous Linux, Apparmor ou SELinux sont bien dans le noyau. Difficile de faire ce genre de contrôle d'accès sans avoir accès au noyau.
Après, faut-il laisser des éditeurs tiers faire des antivirus ? Il me semble que toutes les autorités antitrust ont un avis clair et net sur la question.
Je n'aime pas beaucoup Microsoft, mais dans cette affaire, le seul fautif c'est Crowdstrike.
With great power comes great responsibility. Ceux qui ont un accès au noyau devraient juste apprendre à tester leur code avant release.

eglyn Premium

Le 15/09/2024 à 20h38

Oui, pour moi le principal problème c'est le fait qu'une boite privée, et différente de celle de l'éditeur de l'OS, ait accès au noyau.
Est-ce plus safe de laisser des tiers accéder au noyau à des fins de sécurité que d'autoriser les accès noyau uniquement par l'OS et ses fonctionnalités de sécurité propres ?

alex.d. Premium

Le 16/09/2024 à 09h42

En l'occurrence, le bug de Crowdstrike ne venait pas du fait qu'ils n'étaient pas les éditeurs de l'OS, mais simplement du fait que ce sont des charlots qui ne testent pas avant de déployer chez les clients.

Berbe Premium

Modifié le 13/09/2024 à 17h04

eBPF à la bourre ?

Ou un truc dérivé que M$ va prétendre avoir inventé (ou réinventé "en mieux") ?

Une certitude : jamais il ne vont assumer être à la bourre et/ou avoir été attentiste dans la conception vieillissante de leur bousin.