Cette semaine, Microsoft a organisé un sommet sur la sécurité privé, censé poser les jalons d'une prévention future. Elle se destine à éviter la répétition des incidents comme celui de CrowdStrike.
Ça n'a échappé à personne : le 19 juillet dernier, une mise à jour de la plateforme cyber CrowdStrike Falcon Sensor, défectueuse, avait mis à l'arrêt une partie du monde, notamment le secteur aérien. Le problème résultait du fait que la solution tournait sur de nombreux ordinateurs Windows, qui affichaient tous le fameux « écran bleu de la mort ». Près de deux mois plus tard, Microsoft a organisé un sommet, avec l'impérieuse mission que cet incident ne se reproduise plus jamais. Faisons le bilan des discussions.
L'incident Microsoft / CrowdStrike tient en ce qui lie un antivirus au système d'exploitation
Lors de ce forum, qui était fermé à la presse mais ouvert à l'écosystème de la cybersécurité, il a été convenu de mettre en place un partage d'informations plus ouvert sur le fonctionnement des produits Microsoft et autres, mais aussi sur la gestion des mises à jour, et celle des interruptions.
Le 19 juillet, le blocage de millions de PC Windows fut notamment expliqué par les droits dont jouissent certains logiciels. En l'occurrence, celui de CrowdStrike a accès au noyau Windows, qui est le cœur du système d'exploitation et qui a un impact direct sur les performances, la fiabilité, la sécurité et l'ensemble du système Windows.
De façon historique, la plupart des antivirus modernes fonctionnent en partie au niveau du noyau, ce qui leur permet d'avoir un accès privilégié au système. Pourquoi ? Car ils peuvent ainsi surveiller en temps réel les activités du système, comme les accès aux fichiers et les opérations réseau. Sauf qu'en cas de dysfonctionnement du logiciel antivirus, la peine est double, et l'incident de cet été en est le plus terrible exemple.
Les entreprises cyber veulent conserver leur accès au noyau Windows
En ce qui concerne CrowdStrike, c'est une faille dans les processus de validation qui avait permis de déployer une mise à jour défectueuse, ce qui avait par effet boule de neige entraîné le blocage de son logiciel cyber sur toutes les machines Windows sur lesquelles il était installé. Microsoft avait alors révoqué l'accès au noyau. Mais le mastodonte dit ne pas vouloir en arriver là, et se refuse à faire de Windows un macOS en version fenêtre.
ESET, l'une des grandes entreprises cyber présente autour de la table, a notamment expliqué qu'il est « impératif que l'accès au noyau reste une option pour les produits de cybersécurité », afin de garder « la capacité de détecter et de bloquer les cybermenaces futures ». Sur ce point-là, Microsoft a donc promis de ne rien bousculer.
En revanche, les clients et partenaires de Microsoft ont demandé à la firme de Redmond de leur fournir des fonctionnalités de sécurité supplémentaires en dehors du noyau ; un mécanisme anti-falsification pour les programmes de sécurité, ainsi que la mise en place d'objectifs dès l'étape de la conception de la future plateforme. « Nous sommes des concurrents, pas des adversaires. Ce sont les adversaires dont nous devons protéger le monde », a tenu à rappeler Microsoft, pendant et après la réunion. Le travail ne fait que commencer.
18 novembre 2024 à 15h14
Source : Blog Microsoft