Microsoft a organisé récemment une réunion avec de nombreux éditeurs et des membres officiels de gouvernements. L’objectif ? Discuter de la sécurité de Windows et comment l’améliorer. Cette réunion fait suite au fiasco CrowdStrike. Microsoft n’était pas directement en tort, mais les dommages collatéraux sur son image ont été importants.
L’affaire CrowdStrike et la crise qui en a résulté ont mis en lumière des défaillances autour de la sécurité de Windows. La panne mondiale a été provoquée par une simple mise à jour de définitions dans un produit de sécurité. Elle a provoqué un plantage dans un composant résidant en espace noyau sur Windows, entrainant tout le système dans sa chute. Ce dernier redémarrait ensuite en boucle, car le produit de CrowdStrike était chargé très tôt dans le processus, empêchant de reprendre la main.
La faute incombait pleinement à CrowdStrike, mais Microsoft a été largement éclaboussé au passage. De nombreux médias ont affirmé qu’il s’agissait d’une panne de Windows. Microsoft avait fini par s’expliquer, rappelant des bases dans la conception des solutions de sécurité. Point important, la présence de composants en espace noyau était rendue nécessaire par les fonctionnalités que les solutions de sécurité sont censées permettre, notamment la surveillance de tout ce qui se passe sur un ordinateur.
En outre, l’éditeur avait rappelé l’existence de sa Microsoft Virus Initiative (MVI). Elle réunit de nombreux éditeurs tiers afin de partager des informations, dont les bonnes pratiques et des pistes d’amélioration. C’est cette MVI qui s’est réunie le 10 septembre, avec des membres officiels de gouvernements, indique Microsoft dans un billet publié hier soir et signé David Weston, vice-président chargé de la sécurité des entreprises et systèmes d’exploitation.
« Complexités du paysage de la sécurité moderne »
« Avec nos partenaires de la Microsoft Virus Initiative (MVI) – des entreprises qui développent des produits de protection des terminaux et des produits de sécurité supplémentaires pour Windows, couvrant les clients, les serveurs et l'IoT – nous avons discuté des complexités du paysage de la sécurité moderne, en reconnaissant qu'il n'y a pas de solutions simples », indique Microsoft dans son billet.
Il ne s’agissait pas d’une réunion décisionnelle, mais les discussions ont été décrites comme « riches ». Plusieurs points sont clairement ressortis. Par exemple, les clients « tirent profit de l'existence d'options pour Windows et d'un choix de produits de sécurité ». En outre, que ce choix implique une responsabilité partagée d’amélioration de la résilience et d’échanges d’informations sur la manière dont les « produits fonctionnent, traitent les mises à jour et gèrent les perturbations ».
Échanges d’informations sur les pratiques
Microsoft a en particulier détaillé la manière dont elle emploie ses Safe Deployment Practices (SDP) et comment elles pourraient être améliorées. Microsoft et ses partenaires semblent se diriger vers un socle commun de bonnes pratiques. La société évoque également « le partage de données, d'outils et de processus documentés ». Broadcom, Sophos et Trend Micro sont cités en exemples de sociétés partageant leurs pratiques.
Il n’est pas question de remettre en cause « le déploiement progressif et échelonné des mises à jour envoyées aux clients ». En revanche, et à court terme, les membres de la MVI ont discuté de plusieurs changements :
- Améliorer les tests sur les composants critiques
- Améliorer les tests de compatibilité entre les multiples configurations
- Un meilleur partage des informations sur les produits pendant leur développement et une fois sur le marché
- Une meilleure réponse aux incidents, via une plus grande coordination et des procédures de récupération plus strictes
Si ces pistes vous semblent familières, c’est parce que CrowdStrike a utilisé, dans les grandes lignes, les mêmes éléments. C’est particulièrement vrai avec l’augmentation des tests, sur lesquels CrowdStrike s’est davantage étendu. Mais en tant que première concernée dans la panne mondiale, l’entreprise devait prouver qu’elle en avait tiré des leçons.
Microsoft ajoute qu’il ne s’agit là que d’un « échantillon de sujets » sur lesquels tout l’écosystème prévoit d’avancer rapidement.
Et à plus long terme ?
Sans trop de surprise, Microsoft a mis en avant les multiples améliorations de sécurité dans Windows 11. Dans le cadre de la réunion, des informations ont également été partagées sur les prochains changements que l’éditeur compte introduire.
Plus intéressant, les éditeurs tiers « ont demandé à Microsoft de fournir des capacités de sécurité supplémentaires en dehors du mode noyau qui, avec SDP, peuvent être utilisées pour créer des solutions de sécurité hautement disponibles ». C’était à prévoir, pour ne pas risquer qu’un tel fiasco se reproduise.
D’ailleurs, l’un des objectifs de la réunion était de discuter d’une nouvelle plateforme. De nombreux points ont été abordés à ce sujet, dont les besoins et défis en matière de performances en espace utilisateur, une protection contre les fraudes pour les produits de sécurité, les exigences pour les capteurs de sécurité (source de la panne chez CrowdStrike), le fonctionnement de la collaboration entre Microsoft et les autres éditeurs, ainsi que les objectifs de conception sécurisée de cette nouvelle plateforme.
« Nous sommes des concurrents, mais pas des adversaires. Les adversaires sont ceux dont nous devons protéger le monde », a résumé Microsoft.
Commentaires (11)
#1
On marche sur la tête, on fragilise un OS pour permettre à des solutions tierces de "protéger"...
#1.1
Comme la solution de Microsoft tape directement dans le noyau de Windows, concurrence oblige, les solutions tierces devaient pouvoir aussi le faire.
L'Europe était passé par là (c'était d'ailleurs un des arguments à un moment dans la défense de Microsoft vis-à-vis du fiasco Crowdstrike)
#1.2
Mais c'est les process d'application qu'il faut revoir, pas nécessairement l'accès au noyau, car cela prendra beaucoup de temps surement... Ce n'est pas modifiable si simplement, des centaines de produits ne fonctionneraient plus.
Crowdstrike est un très bon produit. C'est un grosse boulette, qui n'a pas été détecté en test, et qui s'est répercutée très vite. Le plus gros du problème ce n'est pas l'accès au noyau, c'est la partie détection/test, ou MS devrait mettre plus d'éléments à dispo et ajouter des process de vérification.
En tous cas dans un premier temps !
#1.8
#1.9
#1.3
#1.4
#1.5
Après, faut-il laisser des éditeurs tiers faire des antivirus ? Il me semble que toutes les autorités antitrust ont un avis clair et net sur la question.
Je n'aime pas beaucoup Microsoft, mais dans cette affaire, le seul fautif c'est Crowdstrike.
With great power comes great responsibility. Ceux qui ont un accès au noyau devraient juste apprendre à tester leur code avant release.
#1.6
Est-ce plus safe de laisser des tiers accéder au noyau à des fins de sécurité que d'autoriser les accès noyau uniquement par l'OS et ses fonctionnalités de sécurité propres ?
#1.7
#2
Ou un truc dérivé que M$ va prétendre avoir inventé (ou réinventé "en mieux") ?
Une certitude : jamais il ne vont assumer être à la bourre et/ou avoir été attentiste dans la conception vieillissante de leur bousin.
Historique des modifications :
Posté le 13/09/2024 à 17h03
eBPF ?
Ou un truc dérivé que M$ va prétendre avoir inventé (ou réinventé "en mieux") ?