La semaine dernière, une panne causée par une mise à jour défectueuse de CrowdStrike a touché environ 8,5 millions d’appareils Windows. En réponse à cet incident, Microsoft souhaite renforcer la résilience de son système d’exploitation en limitant l’accès des tiers au noyau Windows. Pour éviter une nouvelle panne de type CrowdStrike, Windows deviendra-t-il un système d'exploitation plus fermé, comme macOS d'Apple ? Microsoft continue d'aider CrowdStrike à réparer les dégâts causés il y a une semaine, lorsque 8,5 millions d'ordinateurs ont été mis hors service à cause d'une mise à jour boguée de CrowdStrike. Aujourd'hui, le géant du logiciel appelle à des modifications de Windows et laisse entendre subtilement que sa priorité est de rendre Windows plus résistant et qu'il est prêt à empêcher les fournisseurs de solutions de sécurité comme CrowdStrike d'accéder au noyau de Windows.
Bien que CrowdStrike ait attribué sa mise à jour ratée à un bogue dans son logiciel de test, son logiciel fonctionne au niveau du noyau - la partie centrale d'un système d'exploitation qui a un accès illimité à la mémoire du système et au matériel. Cela signifie que si quelque chose ne va pas avec l'application de CrowdStrike, elle peut faire tomber les machines Windows avec un écran bleu de la mort.
Le logiciel Falcon de CrowdStrike utilise un pilote spécial qui lui permet de fonctionner à un niveau inférieur à celui de la plupart des applications, de sorte qu'il peut détecter les menaces sur l'ensemble d'un système Windows. En 2006, Microsoft a tenté d'empêcher les tiers d'accéder au noyau de Windows Vista, mais s'est heurté au refus des fournisseurs de cybersécurité et des autorités de réglementation de l'UE. Toutefois, Apple a réussi à verrouiller son système d'exploitation macOS en 2020 afin que les développeurs ne puissent plus accéder au noyau.
Aujourd'hui, il semble que Microsoft veuille rouvrir le débat sur la restriction de l'accès au niveau du noyau dans Windows.
Que peut faire Microsoft ?
Bien qu'il ne soit pas directement impliqué, Microsoft contrôle toujours l'expérience Windows, et il y a beaucoup de place pour l'amélioration dans la façon dont Windows gère des problèmes comme celui-ci.
Au minimum, Windows pourrait désactiver les pilotes défectueux. Si Windows détermine qu'un pilote fait planter le système au démarrage et le force à passer en mode de récupération, Microsoft pourrait intégrer une logique plus intelligente permettant à un système de démarrer sans le pilote défectueux après plusieurs échecs de démarrage.
Mais le changement le plus important consisterait à verrouiller l'accès au noyau de Windows afin d'empêcher les pilotes tiers de faire planter un PC entier. Ironiquement, Microsoft a essayé de faire exactement cela avec Windows Vista, mais s'est heurté à la résistance des fournisseurs de cybersécurité et des régulateurs de l'UE.
En 2006, Microsoft a tenté de mettre en œuvre une fonction connue à l'époque sous le nom de PatchGuard dans Windows Vista, en empêchant les tiers d'accéder au noyau. McAfee et Symantec, les deux plus grands éditeurs d'antivirus de l'époque, se sont opposés aux changements de Microsoft, et Symantec s'est même plaint auprès de la Commission européenne. Microsoft a finalement fait marche arrière, autorisant à nouveau les fournisseurs de solutions de sécurité à accéder au noyau à des fins de contrôle de la sécurité.
Apple a fini par prendre la même mesure, en verrouillant son système d'exploitation macOS en 2020 afin que les développeurs ne puissent plus accéder au noyau. « C'était certainement la bonne décision de la part d'Apple de rendre obsolètes les extensions tierces du noyau », déclare Patrick Wardle, PDG de DoubleYou et fondateur de Objective-See Foundation. « Mais le chemin à parcourir pour y parvenir a été semé d'embûches. Apple a connu quelques bogues de noyau où les outils de sécurité fonctionnant en mode utilisateur pouvaient encore déclencher un crash (panique du noyau), et Wardle dit qu'Apple « a également introduit quelques vulnérabilités d'exécution de privilèges, et il y a encore d'autres bogues qui pourraient permettre aux outils de sécurité sur Mac d'être déchargés par des logiciels malveillants ».
Il est possible que des pressions réglementaires empêchent encore Microsoft d'agir dans ce domaine. Le Wall Street Journal a rapporté ce week-end « qu'un porte-parole de Microsoft a déclaré que la société ne pouvait pas légalement cloisonner son système d'exploitation de la même manière qu'Apple, en raison d'un accord conclu avec la Commission européenne à la suite d'une plainte ». Le Journal paraphrase le porte-parole anonyme et mentionne également un accord de 2009 visant à fournir aux éditeurs de solutions de sécurité le même niveau d'accès à Windows que Microsoft.
En 2009, Microsoft a conclu un accord d'interopérabilité avec la Commission européenne. Il s'agissait d'un « engagement public » visant à permettre aux développeurs d'accéder à la documentation technique nécessaire à la création d'applications au-dessus de Windows. L'accord comprenait la mise en œuvre d'un écran de choix du navigateur dans Windows et l'offre de versions spéciales de Windows sans Internet Explorer intégré dans le système d'exploitation.
Dans quelle direction l'entreprise a-t-elle décidé d'évoluer ?
« Cet incident montre clairement que Windows doit donner la priorité au changement et à l'innovation dans le domaine de la résilience de bout en bout », déclare John Cable, vice-président de la gestion des programmes pour le service et la livraison de Windows, dans un billet de blog intitulé « Résilience de Windows : Les meilleures pratiques et la voie à suivre ». Cable appelle à une coopération plus étroite entre Microsoft et ses partenaires « qui se soucient également beaucoup de la sécurité de l'écosystème Windows » afin d'apporter des améliorations en matière de sécurité.
Microsoft a attribué une partie de la panne de CrowdStrike à l'accord antitrust de l'Union européenne de 2009 qui oblige Redmond à ouvrir l'accès au niveau du noyau aux fournisseurs de logiciels tiers. En revanche, Apple a commencé à supprimer progressivement les extensions du noyau dans macOS en 2020 et a incité les éditeurs de logiciels à utiliser le « framework d'extension du système », en citant les avantages en termes de fiabilité et de sécurité.
Cable ne demande pas à Microsoft de couper complètement l'accès au noyau Windows. Il propose plutôt des alternatives, telles que « les enclaves VBS récemment annoncées, qui fournissent un environnement informatique isolé qui ne nécessite pas que les pilotes du mode noyau soient résistants aux manipulations ».
Envoyé par John Cable
Parmi les exemples d'innovation, citons les enclaves VBS récemment annoncées, qui fournissent un environnement de calcul isolé ne nécessitant pas que les pilotes en mode noyau soient résistants aux manipulations, et le service d'attestation Microsoft Azure, qui peut aider à déterminer la posture de sécurité du chemin d'amorçage. Ces exemples utilisent des approches modernes de confiance zéro et montrent ce qui peut être fait pour encourager les pratiques de développement qui ne reposent pas sur l'accès au noyau. Nous continuerons à développer ces capacités, à renforcer notre plateforme et à faire encore plus pour améliorer la résilience de l'écosystème Windows, en travaillant ouvertement et en collaboration avec l'ensemble de la communauté de la sécurité.
Il est toujours possible qu'une panne ait un impact sur une organisation. Au cours des derniers jours, nous avons eu des milliers d'appels avec des organisations du monde entier. Nous avons observé que celles qui ont été en mesure de remédier à la situation et de se rétablir le plus rapidement ont suivi un ensemble de pratiques similaires. Nous souhaitons partager ces meilleures pratiques avec vous.
Il est toujours possible qu'une panne ait un impact sur une organisation. Au cours des derniers jours, nous avons eu des milliers d'appels avec des organisations du monde entier. Nous avons observé que celles qui ont été en mesure de remédier à la situation et de se rétablir le plus rapidement ont suivi un ensemble de pratiques similaires. Nous souhaitons partager ces meilleures pratiques avec vous.
Malgré cela, le billet de Cable soulève la question de savoir si les efforts déployés par Microsoft pour sécuriser l'accès au noyau pourraient nuire aux éditeurs de logiciels tiers. Par exemple, les logiciels antivirus peuvent utiliser l'accès au niveau du noyau pour surveiller les changements malveillants apportés au système d'exploitation Windows dès les premières étapes.
« Sans les privilèges du mode noyau, [les antivirus et les systèmes de détection et de réponse des points d'extrémité] sont extrêmement limités dans ce qu'ils peuvent faire. Cependant, nous ne pensons pas que Microsoft va vraiment révoquer l'accès au mode noyau pour les fournisseurs de sécurité », a tweeté le service de suivi des logiciels malveillants VX-Underground.
Pour sa part, Matthew Prince, PDG de Cloudflare, a déjà mis en garde contre les effets d'un verrouillage plus poussé de Windows par Microsoft, qui devra donc prendre soigneusement en compte les besoins des fournisseurs de solutions de sécurité s'il souhaite opérer un véritable changement.Bad. Without kernel mode privileges, AVs and EDRs are extremely restricted in what they can do. However, we don't believe Microsoft will truly revoke kernel mode access to security vendors.
— vx-underground (@vxunderground) July 26, 2024
ConclusionHere’s the scary thing that’s likely to happen based on the facts of the day if we don’t pay attention. Microsoft, who competes with @CrowdStrike, will argue that they should lock all third-party security vendors out of their OS. “It’s the only way we can be safe,” they’ll…
— Matthew Prince 🌥 (@eastdakota) July 20, 2024
Microsoft cherche à éviter les pannes similaires à celle de CrowdStrike en renforçant la sécurité tout en préservant l’accès nécessaire aux éditeurs tiers. L’avenir de Windows sera-t-il plus fermé ? L’entreprise devra trouver un équilibre entre sécurité et flexibilité0
Sources : Microsoft (1, 2) Apple
Et vous ?
Quelle est votre opinion sur l’accès au noyau Windows ? Pensez-vous que Microsoft devrait restreindre davantage l’accès des tiers pour améliorer la sécurité, ou est-ce une atteinte à la liberté des développeurs ? Quelles alternatives à l’accès au noyau Windows sont envisageables ? À part les “enclaves VBS”, existe-t-il d’autres moyens de garantir la sécurité sans compromettre la flexibilité ? Comment évaluez-vous la réaction de Microsoft suite à l’incident avec CrowdStrike ? Trouvez-vous qu’ils ont agi rapidement et de manière appropriée ? Quelles sont les implications pour les utilisateurs et les entreprises ? Comment cette réforme pourrait-elle affecter les performances, la compatibilité des logiciels tiers et la confiance des utilisateurs envers Windows ? 
