En juillet dernier, une mise à jour défectueuse du logiciel CrowdStrike a entraîné la panne de millions d’ordinateurs Windows dans le monde entier. Cette situation a eu des conséquences majeures, notamment l’annulation de milliers de vols par les compagnies aériennes et des retards dans les rendez-vous médicaux dans les hôpitaux. Face à cet incident, Microsoft a décidé d’organiser un sommet sur la cybersécurité le 10 septembre.Le Windows Endpoint Security Ecosystem Summit, récemment tenu, a suscité de nombreuses discussions mais peu de mesures concrètes. Cet événement, qui a réuni des acteurs majeurs de la cybersécurité tels que CrowdStrike, ESET, et Trend Micro, visait à renforcer la résilience et la sécurité des clients de Windows. Notons que la presse et le public n’étaient pas invités, soulevant des questions sur la transparence de l’événement.
En annonçant le sommet de l'écosystème Windows Endpoint Security, Aidan Marcuss, vice-président de la société, a déclaré que les participants discuteraient des mesures que les fournisseurs peuvent prendre pour « améliorer la sécurité et la résilience pour nos clients communs ».
Marcuss a cité le fiasco de CrowdStrike en juillet et les « leçons importantes » tirées de ce désastre. « Nos discussions porteront sur l'amélioration de la sécurité et des pratiques de déploiement sûres, la conception de systèmes pour la résilience et la collaboration en tant que communauté prospère de partenaires pour servir au mieux les clients d'aujourd'hui et de demain ».
Bien qu'il n'ait pas précisé ce que ces mesures pourraient impliquer, certains ont parié que l'exclusion des fournisseurs de sécurité du noyau Windows est l'une d'entre elles, et il est probable qu'elle sera accueillie avec beaucoup de réticence par les fournisseurs.
En plus de ses collègues fabricants de logiciels, Microsoft a également invité « des représentants du gouvernement pour garantir le plus haut niveau de transparence dans la collaboration de la communauté afin de fournir une technologie plus sûre et plus fiable pour tous ».
Un sommet à huis clos
Microsoft a justifié cette décision en affirmant que les discussions porteraient sur des mesures pour améliorer la sécurité et la résilience des systèmes pour leurs clients communs. Les sujets abordés incluaient les leçons tirées de la récente panne causée par CrowdStrike, qui a affecté des millions de machines Windows. Malgré l’importance de ces discussions, l’absence de la presse et du public a été perçue comme une tentative de limiter la transparence.
Cette décision a suscité des critiques, notamment de la part de figures politiques comme le sénateur Ron Wyden, connu pour son franc-parler sur les questions de sécurité. Wyden n’a pas été invité, ce qui a alimenté les spéculations sur la véritable intention de Microsoft de maintenir une transparence totale
Certes, ce dernier fiasco est une erreur de CrowdStrike, et non de Microsoft. Mais le géant de Windows est confronté à des critiques de plus en plus vives concernant ses propres pratiques de sécurité, après des années de violations commises aussi bien par des pirates chinois et russes que par des voyous adolescents de Lapsus$.
Au début de l'été, le président de Microsoft, Brad Smith, a témoigné devant le Congrès des manquements répétés de son entreprise en matière de sécurité. Il répondait ainsi à un rapport de la Sécurité intérieure qui reprochait au géant de l'informatique d'avoir permis à des cyberespions soutenus par Pékin de voler des dizaines de milliers d'e-mails sensibles dans les boîtes de réception Exchange Online hébergées par Microsoft de hauts fonctionnaires du gouvernement américain.
Dans la plupart des cas, Microsoft lance une nouvelle initiative de sécurité, comme son initiative Secure Future, après la dernière attaque de Cozy Bear.
Peu de mesures concrètes
Microsoft a organisé cette semaine son très médiatisé Windows Endpoint Security Ecosystem Summit avec Crowdstrike et d'autres fournisseurs de solutions de sécurité. Aujourd'hui, le géant du logiciel s'est exprimé sur ce qui s'est passé, mais il ne semble pas qu'il en ressortira grand-chose, car il y a très peu de détails sur la marche à suivre.
« Nous tenons à remercier chacun des participants à notre sommet d'avoir consacré du temps à participer à ces discussions importantes », écrit David Weston, vice-président de Microsoft. « L'incident de CrowdStrike en juillet a mis en évidence la responsabilité des fournisseurs de sécurité dans la résilience et la protection agile et adaptative. L'engagement des participants tout au long du programme et des activités de l'événement a été une source d'inspiration. »
Il aurait été encore plus stimulant de voir cet événement déboucher sur un accord interprofessionnel et des améliorations concrètes. Mais cela ne semble pas être le cas. Au lieu de cela, les participants ont simplement convenu que leurs clients mutuels bénéficient d'un choix de solutions de sécurité et qu'il est important de partager des informations sur la manière dont leurs produits fonctionnent les uns avec les autres.
Ils ont discuté de « plusieurs possibilités » d'améliorer la sûreté et la sécurité de ces clients communs
À court terme, Microsoft a expliqué aux autres comment elle utilise des pratiques de déploiement sûres (SDP pour Safe Deployment Practices) en interne et comment cela pourrait conduire à un ensemble partagé de meilleures pratiques. Ils ont également discuté de la manière dont ils pourraient « augmenter les tests des composants critiques, améliorer les tests de compatibilité conjoints entre diverses configurations, favoriser un meilleur partage des informations sur la santé des produits en cours de développement et sur le marché, et accroître l'efficacité de la réponse aux incidents grâce à une coordination plus étroite et à des procédures de récupération ».
À plus long terme, Microsoft prévoit de nouvelles capacités de plate-forme et de nouvelles normes de sécurité pour Windows 11. Les partenaires ont demandé à l'entreprise de rendre plus de capacités de sécurité disponibles en dehors du noyau. Cela pose des problèmes de performance et de lutte contre la falsification, a fait remarquer Weston, mais Microsoft s'est engagé à concevoir et à développer une capacité de plate-forme sécurisée dès la conception, avec la contribution et la collaboration de ses partenaires. Quel que soit le temps que cela prendra.
« Nous sommes des concurrents, mais pas des adversaires », a-t-il déclaré à propos de Microsoft et des fournisseurs de sécurité présents au sommet, qui comprenait des représentants de Broadcom, Crowdstrike, ESET, SentinelOne, Sophos, Trellix et Trend Micro. « Les adversaires sont ceux contre lesquels nous devons protéger le monde. Nous sommes reconnaissants du soutien et des contributions de cette communauté et nous sommes enthousiastes quant aux conversations en cours et au travail qui nous attend. »
Pas de blocage d'accès au noyau
Certains avaient évoqué la possibilité pour Microsoft de bloquer l'accès au noyau.
Apple, qui n'a pas été touché par les pannes de juillet relatives à CrowdStrike, empêche tous les fournisseurs tiers d'accéder au noyau de son système d'exploitation MacOS, les obligeant à fonctionner en mode « utilisateur », plus limité. Microsoft a précédemment déclaré ne pas être en mesure de faire de même, après avoir conclu un accord avec la Commission européenne en 2009 selon lequel elle donnerait à des tiers le même accès à ses systèmes que celui de Microsoft Defender.
Certains experts ont toutefois déclaré que cet engagement volontaire envers l'UE n'avait pas lié les mains de Microsoft comme il le prétendait, arguant que l'entreprise avait toujours été libre d'apporter les changements envisagés. « Il s'agit de décisions techniques de Microsoft qui ne faisaient pas partie [de l'accord] », a déclaré Thomas Graf, un associé de Cleary Gottlieb à Bruxelles qui a participé à l'affaire.
« Le texte [de l'accord] ne les oblige pas à donner accès au noyau », a ajouté AJ Grotto, ancien directeur principal de la politique de cybersécurité à la Maison Blanche. Grotto a déclaré que Microsoft avait sa part de responsabilité dans les perturbations de juillet, car les pannes n'auraient pas été possibles sans sa décision d'autoriser l'accès au noyau.
Néanmoins, bien qu'il puisse renforcer la résilience d'un système, le blocage de l'accès au noyau pourrait également entraîner de « véritables compromis » pour la compatibilité avec d'autres logiciels qui a rendu Windows si populaire auprès des clients professionnels, a déclaré Allie Mellen, analyste chez Forrester. « Il s'agirait d'un changement fondamental pour la[/de l'accord]...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par Mathis Lucas
C'est le ba-ba niveau sécurité. C'est bien des bonnes pratiques, mais ça ne résoud pas le problème de fond. L'accès au noyau doit-être "sécurisé", point. Et le meilleur moyen, c'est d'en interdire l'accès. Au minimum, les sociétés ayant besoin de cet accès doivent travailler en "trés" étroite collaboration avec une équipe de Microsoft. Equipe dont ce serait la spécialité et l'unique but.
C'est dit juste en dessous:
Et comment savoir si ce "partenaire" a ignoré les SDP ? Une fois une panne découverte ? Parce que compter sur la "transparence et la responsabilité", c'est bien beau, mais ça n'êmpéchera pas une nouvelle catastrophe de se produire. 
Quel est votre avis sur le sujet ?
