Le sommet de la sécurité de Microsoft après l'incident de CrowdStrike : beaucoup de paroles, peu d'actions.

L'entreprise fait un récapitulatif de son évènement tenu loin de la presse et du public

En juillet dernier, une mise à jour défectueuse du logiciel CrowdStrike a entraîné la panne de millions d’ordinateurs Windows dans le monde entier. Cette situation a eu des conséquences majeures, notamment l’annulation de milliers de vols par les compagnies aériennes et des retards dans les rendez-vous médicaux dans les hôpitaux. Face à cet incident, Microsoft a décidé d’organiser un sommet sur la cybersécurité le 10 septembre.

Le Windows Endpoint Security Ecosystem Summit, récemment tenu, a suscité de nombreuses discussions mais peu de mesures concrètes. Cet événement, qui a réuni des acteurs majeurs de la cybersécurité tels que CrowdStrike, ESET, et Trend Micro, visait à renforcer la résilience et la sécurité des clients de Windows. Notons que la presse et le public n’étaient pas invités, soulevant des questions sur la transparence de l’événement.

En annonçant le sommet de l'écosystème Windows Endpoint Security, Aidan Marcuss, vice-président de la société, a déclaré que les participants discuteraient des mesures que les fournisseurs peuvent prendre pour « améliorer la sécurité et la résilience pour nos clients communs ».

Marcuss a cité le fiasco de CrowdStrike en juillet et les « leçons importantes » tirées de ce désastre. « Nos discussions porteront sur l'amélioration de la sécurité et des pratiques de déploiement sûres, la conception de systèmes pour la résilience et la collaboration en tant que communauté prospère de partenaires pour servir au mieux les clients d'aujourd'hui et de demain ».

Bien qu'il n'ait pas précisé ce que ces mesures pourraient impliquer, certains ont parié que l'exclusion des fournisseurs de sécurité du noyau Windows est l'une d'entre elles, et il est probable qu'elle sera accueillie avec beaucoup de réticence par les fournisseurs.

En plus de ses collègues fabricants de logiciels, Microsoft a également invité « des représentants du gouvernement pour garantir le plus haut niveau de transparence dans la collaboration de la communauté afin de fournir une technologie plus sûre et plus fiable pour tous ».

Un sommet à huis clos

Microsoft a justifié cette décision en affirmant que les discussions porteraient sur des mesures pour améliorer la sécurité et la résilience des systèmes pour leurs clients communs. Les sujets abordés incluaient les leçons tirées de la récente panne causée par CrowdStrike, qui a affecté des millions de machines Windows. Malgré l’importance de ces discussions, l’absence de la presse et du public a été perçue comme une tentative de limiter la transparence.

Cette décision a suscité des critiques, notamment de la part de figures politiques comme le sénateur Ron Wyden, connu pour son franc-parler sur les questions de sécurité. Wyden n’a pas été invité, ce qui a alimenté les spéculations sur la véritable intention de Microsoft de maintenir une transparence totale

Certes, ce dernier fiasco est une erreur de CrowdStrike, et non de Microsoft. Mais le géant de Windows est confronté à des critiques de plus en plus vives concernant ses propres pratiques de sécurité, après des années de violations commises aussi bien par des pirates chinois et russes que par des voyous adolescents de Lapsus$.

Au début de l'été, le président de Microsoft, Brad Smith, a témoigné devant le Congrès des manquements répétés de son entreprise en matière de sécurité. Il répondait ainsi à un rapport de la Sécurité intérieure qui reprochait au géant de l'informatique d'avoir permis à des cyberespions soutenus par Pékin de voler des dizaines de milliers d'e-mails sensibles dans les boîtes de réception Exchange Online hébergées par Microsoft de hauts fonctionnaires du gouvernement américain.

Dans la plupart des cas, Microsoft lance une nouvelle initiative de sécurité, comme son initiative Secure Future, après la dernière attaque de Cozy Bear.


Peu de mesures concrètes

Microsoft a organisé cette semaine son très médiatisé Windows Endpoint Security Ecosystem Summit avec Crowdstrike et d'autres fournisseurs de solutions de sécurité. Aujourd'hui, le géant du logiciel s'est exprimé sur ce qui s'est passé, mais il ne semble pas qu'il en ressortira grand-chose, car il y a très peu de détails sur la marche à suivre.

« Nous tenons à remercier chacun des participants à notre sommet d'avoir consacré du temps à participer à ces discussions importantes », écrit David Weston, vice-président de Microsoft. « L'incident de CrowdStrike en juillet a mis en évidence la responsabilité des fournisseurs de sécurité dans la résilience et la protection agile et adaptative. L'engagement des participants tout au long du programme et des activités de l'événement a été une source d'inspiration. »

Il aurait été encore plus stimulant de voir cet événement déboucher sur un accord interprofessionnel et des améliorations concrètes. Mais cela ne semble pas être le cas. Au lieu de cela, les participants ont simplement convenu que leurs clients mutuels bénéficient d'un choix de solutions de sécurité et qu'il est important de partager des informations sur la manière dont leurs produits fonctionnent les uns avec les autres.

Ils ont discuté de « plusieurs possibilités » d'améliorer la sûreté et la sécurité de ces clients communs

À court terme, Microsoft a expliqué aux autres comment elle utilise des pratiques de déploiement sûres (SDP pour Safe Deployment Practices) en interne et comment cela pourrait conduire à un ensemble partagé de meilleures pratiques. Ils ont également discuté de la manière dont ils pourraient « augmenter les tests des composants critiques, améliorer les tests de compatibilité conjoints entre diverses configurations, favoriser un meilleur partage des informations sur la santé des produits en cours de développement et sur le marché, et accroître l'efficacité de la réponse aux incidents grâce à une coordination plus étroite et à des procédures de récupération ».

À plus long terme, Microsoft prévoit de nouvelles capacités de plate-forme et de nouvelles normes de sécurité pour Windows 11. Les partenaires ont demandé à l'entreprise de rendre plus de capacités de sécurité disponibles en dehors du noyau. Cela pose des problèmes de performance et de lutte contre la falsification, a fait remarquer Weston, mais Microsoft s'est engagé à concevoir et à développer une capacité de plate-forme sécurisée dès la conception, avec la contribution et la collaboration de ses partenaires. Quel que soit le temps que cela prendra.

« Nous sommes des concurrents, mais pas des adversaires », a-t-il déclaré à propos de Microsoft et des fournisseurs de sécurité présents au sommet, qui comprenait des représentants de Broadcom, Crowdstrike, ESET, SentinelOne, Sophos, Trellix et Trend Micro. « Les adversaires sont ceux contre lesquels nous devons protéger le monde. Nous sommes reconnaissants du soutien et des contributions de cette communauté et nous sommes enthousiastes quant aux conversations en cours et au travail qui nous attend. »

Pas de blocage d'accès au noyau

Certains avaient évoqué la possibilité pour Microsoft de bloquer l'accès au noyau.

Apple, qui n'a pas été touché par les pannes de juillet relatives à CrowdStrike, empêche tous les fournisseurs tiers d'accéder au noyau de son système d'exploitation MacOS, les obligeant à fonctionner en mode « utilisateur », plus limité. Microsoft a précédemment déclaré ne pas être en mesure de faire de même, après avoir conclu un accord avec la Commission européenne en 2009 selon lequel elle donnerait à des tiers le même accès à ses systèmes que celui de Microsoft Defender.

Certains experts ont toutefois déclaré que cet engagement volontaire envers l'UE n'avait pas lié les mains de Microsoft comme il le prétendait, arguant que l'entreprise avait toujours été libre d'apporter les changements envisagés. « Il s'agit de décisions techniques de Microsoft qui ne faisaient pas partie [de l'accord] », a déclaré Thomas Graf, un associé de Cleary Gottlieb à Bruxelles qui a participé à l'affaire.

« Le texte [de l'accord] ne les oblige pas à donner accès au noyau », a ajouté AJ Grotto, ancien directeur principal de la politique de cybersécurité à la Maison Blanche. Grotto a déclaré que Microsoft avait sa part de responsabilité dans les perturbations de juillet, car les pannes n'auraient pas été possibles sans sa décision d'autoriser l'accès au noyau.

Néanmoins, bien qu'il puisse renforcer la résilience d'un système, le blocage de l'accès au noyau pourrait également entraîner de « véritables compromis » pour la compatibilité avec d'autres logiciels qui a rendu Windows si populaire auprès des clients professionnels, a déclaré Allie Mellen, analyste chez Forrester. « Il s'agirait d'un changement fondamental pour la philosophie et le modèle commercial de Microsoft », a-t-elle ajouté.

Le fait d'opérer exclusivement en dehors du noyau peut réduire le risque de déclencher des pannes massives, mais cela est également « très contraignant » pour les fournisseurs de sécurité et pourrait rendre leurs produits « moins efficaces » contre les pirates informatiques, a ajouté Mellen. Le fait d'opérer au sein du noyau donne aux entreprises de sécurité plus d'informations sur les menaces potentielles et permet à leurs outils défensifs de s'activer avant que les logiciels malveillants ne s'installent, a-t-elle ajouté.

Microsoft semble ne pas aller dans cette direction.

D'après l'article de Microsoft, il pourrait s'avérer impossible de retirer entièrement les protections de sécurité du noyau Windows. Cette citation résume clairement le problème :

« ESET soutient les modifications de l'écosystème Windows qui démontrent des améliorations mesurables de la stabilité, à condition que tout changement n'affaiblisse pas la sécurité, n'affecte pas les performances ou ne limite pas le choix des solutions de cybersécurité », explique un communiqué de l'entreprise de sécurité. « Il est impératif que l'accès au noyau reste une option pour les produits de cybersécurité afin de permettre la poursuite de l'innovation et la capacité de détecter et de bloquer les cybermenaces futures. Nous nous réjouissons de poursuivre notre collaboration dans le cadre de cette importante initiative ».

Conclusion

Le sommet a mis en lumière la complexité du paysage de la sécurité moderne et la nécessité d’une collaboration continue. Cependant, pour que ces discussions se traduisent par des actions concrètes, il faudra plus que des paroles. Les clients de Windows attendent des mesures tangibles pour renforcer leur sécurité et leur résilience.

Sources : Microsoft, Sophos

Et vous ?

Pensez-vous que les discussions lors de tels sommets peuvent réellement conduire à des améliorations concrètes en matière de sécurité ?
Quels sont, selon vous, les principaux défis auxquels Microsoft doit faire face pour améliorer la sécurité de Windows 11 ?
Comment évaluez-vous l’importance de la transparence et du partage d’informations entre les différents acteurs de la cybersécurité ?
Selon vous, est-il possible de concilier transparence totale et sécurité optimale dans les grandes entreprises technologiques ? Quels seraient les avantages et les inconvénients d’une transparence accrue dans ce type de sommets ?
Pensez-vous que la présence de représentants gouvernementaux est suffisante pour garantir la transparence des discussions ? Quel rôle les gouvernements devraient-ils jouer dans la surveillance des pratiques de sécurité des entreprises technologiques ?
Comment cette décision de Microsoft pourrait-elle affecter la confiance des utilisateurs envers l’entreprise ? Quelles mesures Microsoft pourrait-elle prendre pour renforcer la confiance des utilisateurs après un tel événement ?
Quel impact pensez-vous que ce type de sommet à huis clos pourrait avoir sur l’industrie de la sécurité informatique en général ? D’autres entreprises devraient-elles suivre l’exemple de Microsoft ou adopter une approche différente ?
Quelle est la responsabilité éthique des entreprises technologiques lorsqu’il s’agit de partager des informations sensibles sur la sécurité ? Comment les entreprises peuvent-elles équilibrer la nécessité de protéger des informations sensibles avec le besoin de transparence ?