Après l'incident CrowdStrike, Microsoft lance un outil de récupération afin de permettre aux administrateurs de réparer à distance les systèmes Windows qui ne démarrent pas

Après l'incident CrowdStrike, Microsoft lance un outil de récupération afin de permettre aux administrateurs de réparer à distance les systèmes Windows qui ne démarrent pas

Microsoft recherche toujours des solutions visant à rendre Windows plus résilient après l'incident CrowdStrike du 19 juillet 2024. Et l'une des premières initiatives de Microsoft est appelée « Quick Machine Recovery ». Il s'agit d'un nouvel outil de récupération visant à permettre aux administrateurs de réparer à distance les systèmes qui rencontrent des problèmes de démarrage. Cet outil permettra aux administrateurs de récupérer des « correctifs ciblés » dans Windows Update afin de réparer les bogues liés au démarrage, ce qui nécessite normalement un accès physique à la machine. Quick Machine Recovery sera déployé comme une fonctionnalité de Windows 11.

Microsoft lance un nouvel outil de récupération après l'incident CrowdStrike

Le fournisseur de services de sécurité CrowdStrike a provoqué une panne informatique mondiale le 19 juillet 2024 après avoir déployé une mise à jour logicielle défectueuse. Les données recueillies après l'incident ont révélé qu'il a mis hors service au moins 8,5 millions de systèmes, causant l'annulation de milliers de vols sur plusieurs jours et occasionnant des pertes financières importantes. L'incident a déclenché un vif débat sur l'accès des tiers au noyau Windows.

L'incident a poussé les clients de Microsoft à chercher des solutions pour éviter qu'un tel événement ne se reproduise. Aujourd'hui, Microsoft apporte quelques réponses sous la forme d'une nouvelle initiative de résilience Windows conçue pour améliorer la sécurité et la fiabilité de Windows. Il travaille sur un nouvel utilitaire appelé « Quick Machine Recovery » qui permettra aux administrateurs de récupérer plus facilement les systèmes Windows en cas de crash.


Quick Machine Recovery permettra aux administrateurs d'une entreprise donnée de rechercher et de récupérer des correctifs dans le service Windows Update afin de réparer les bogues liés au démarrage, ce qui nécessite normalement un accès physique à la machine. Microsoft affirme que Quick Machine Recovery sera lancé à des fins de test via Windows Insider au début de l'année 2025 avant un déploiement plus large à une date ultérieure non précisée.

CrowdStrike est confronté à une pression croissante pour avoir provoqué l'effondrement d'un large pan du système informatique mondial et des menaces juridiques pèsent sur lui. Bien que Microsoft ne soit pas techniquement responsable de l'incident, il subit également les critiques. Microsoft a été victime de cet incident au même titre que les points de terminaison qui ont subi le BSOD. David Weston estime que c'est quelque chose que Microsoft n'aurait jamais vu.

Le 10 septembre 2024, Microsoft a organisé un sommet (Windows Endpoint Security Ecosystem Summit) qui a réuni les fournisseurs de logiciels de sécurité qui nécessite un accès au noyau. Les participants ont discuté de l'amélioration de la résilience et de la protection de l'infrastructure critique des clients mutuels. Microsoft, CrowdStrike, ESET, et Trend Micro, ainsi que d'autres fournisseurs de logiciels de sécurité des points finaux ont participé au sommet.

Quick Machine Recovery s'appuie sur les améliorations apportées à l'environnement de récupération de Windows (Windows Recovery Environment - Windows RE). Cette fonction est l'une des nombreuses nouvelles fonctionnalités centrées sur la sécurité qui seront intégrées à Windows 11 l'année prochaine.

De nouvelles fonctionnalités qui visent à améliorer la résilience de Windows

Microsoft travaille avec des fournisseurs de solutions de sécurité dans le cadre de l'initiative Microsoft Virus Initiative (MVI) afin d'ajouter de nouvelles fonctionnalités et de nouveaux outils Windows. Ils permettront aux logiciels de sécurité de fonctionner en dehors du noyau Windows afin d'éviter à l'avenir des incidents comme celui de juillet. Bien que beaucoup appellent Microsoft à restreindre l'accès au noyau Windows, l'entreprise n'entend pas le faire.


Les logiciels de sécurité Windows utilisent généralement des pilotes de noyau qui permettent un accès de bas niveau au système d'exploitation afin de détecter les comportements inhabituels, de surveiller le trafic réseau et de mettre fin aux processus malveillants. Mais comme l'a prouvé l'incident CrowdStrike, cet accès au niveau du noyau augmente le risque qu'un pilote ou une mise à jour défectueux fasse planter un appareil qui ne démarre plus correctement.

Pour éviter ces incidents à l'avenir, Microsoft mise sur les pratiques de déploiement sécurisé (Safe Deployment Practices - SDP) qui exigeront que toutes les mises à jour de produits de sécurité soient progressives, qu'elles utilisent des anneaux de déploiement et qu'elles soient surveillées pour garantir un impact négatif minimal. Selon Microsoft, cela permet de s'assurer de la fiabilité des logiciels, garantir l'intégrité des systèmes Windows et éviter les pannes.

Microsoft invite tous les fournisseurs à adopter les SDP. « Pour aider nos clients et partenaires à accroître leur résilience, nous développons de nouvelles fonctionnalités Windows qui permettront aux développeurs de produits de sécurité de concevoir leurs produits en dehors du mode noyau », a déclaré David Weston. Toutefois, selon de nombreux critiques, cette solution ne protège pas efficacement le noyau Windows contre de nouvelles pannes de type CrowdStrike.

Microsoft travaille également sur une nouvelle fonctionnalité pour la protection des administrateurs. Cette fonctionnalité crée un compte administrateur caché sur le système d'exploitation vers lequel les utilisateurs sont transférés chaque fois qu'ils doivent effectuer une action sensible, avant d'être renvoyés vers leur compte de bas niveau. Pour accéder à ce compte, les utilisateurs devront s'authentifier à l'aide d'informations d'identification valides.

Cela diffère du système actuel de contrôle d'accès des utilisateurs où il suffit d'appuyer sur un bouton « Oui » dans une fenêtre contextuelle pour passer en mode administrateur. À l'avenir, Windows 11 offrira également la prise en charge de la clé de sécurité pour Windows Hello, un système d'impression renforcé par la sécurité appelé Windows Protected Print, et un système de hotpatching permettant de déployer des correctifs sans redémarrer les PC.

En outre, Windows 11 offrira la possibilité de rafraîchir la configuration des PC aux valeurs par défaut après un certain temps, la prise en charge du DNS Zero Trust (exécuter toutes les requêtes DNS via un DNS de confiance uniquement) et la possibilité de chiffrer et de restreindre l'accès aux documents sensibles via Windows Hello.

Source : Microsoft

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de l'utilitaire Quick Machine Recovery annoncé par Microsoft ?
Selon vous, en quoi ce nouvel utilitaire facile-t-il la tâche des administrateurs système ?
Que pensez-vous des fonctions de protection des comptes administrateur prévues par Microsoft ?

Voir aussi

Microsoft s'exprime sur l'accès au noyau et le déploiement sécurisé après l'incident CrowdStrike, Microsoft ne prévoit pas de limiter l'accès au noyau, mais mise sur des « pratiques de déploiement sûres »

CrowdStrike révise ses procédures de test et de déploiement de mises à jour pour éviter que ses logiciels provoquent des pannes, après la panne qui a mis hors service 8,5 millions de machines Windows

CrowdStrike : des anciens employés révèlent que « le contrôle qualité ne faisait pas partie de notre processus », les conséquences désastreuses sur la cybersécurité lorsque la rapidité prime sur la qualité