4241 shaares
« Tout a commencé le 19 juillet [2024] lorsqu'un bogue dans une mise à jour destinée au logiciel Falcon de Crowdstrike sur les systèmes Windows ne s'est pas chargé correctement. Ce logiciel fonctionnant comme un pilote de périphérique dans le noyau du système d'exploitation Windows, également connu sous le nom de Ring 0, sa défaillance a provoqué une panique du noyau et un blocage du système d'exploitation. En conséquence, quelque 8,5 millions de systèmes Windows sont tombés en panne dans le monde entier, paralysant les aéroports et les transports publics et perturbant les services de santé et les services financiers. »
« À la suite de cet incident, certains experts en sécurité opérationnelle se sont demandés pourquoi Microsoft permettait à des partenaires tels que Crowdstrike d'avoir un accès direct au noyau. À l'inverse, une précédente mise à jour de Crowdstrike, qui provoquait une panique du noyau sur les systèmes Linux mais fonctionnait […] en dehors du noyau, a été corrigée par Red Hat au début de l'année sans avoir d'effets aussi paralysants. »
« Microsoft a d'abord invoqué une décision antitrust de l'Union européenne datant de 2009, qui l'oblige à accorder à des tiers le même accès à son système d'exploitation qu'à lui-même. Mais à la fin de la semaine dernière, l'éditeur a indiqué qu'il allait revoir sa position. "Cet incident montre clairement que Windows doit donner la priorité au changement et à l'innovation dans le domaine de la résilience de bout en bout", a écrit John Cable, vice-président de la gestion des programmes pour Windows servicing and delivery chez Microsoft, dans un billet de blog, le 25 juillet. "Parmi les exemples d'innovation, citons les enclaves VBS [sécurité basée sur la virtualisation] récemment annoncées, qui fournissent un environnement informatique isolé ne nécessitant pas de pilotes en mode noyau pour résister aux manipulations, et le service d'attestation Microsoft Azure, qui peut aider à déterminer la posture de sécurité du chemin d'accès au démarrage". »
« Le débat sur la nécessité de l'accès au noyau pour les outils de cybersécurité n'est pas nouveau, mais il a été mis en lumière par l'incident Crowdstrike. Les partisans de l'accès au noyau affirment qu'il est nécessaire pour fournir une visibilité complète du système avec des performances élevées, appliquer les mesures de sécurité au démarrage du système et détecter les menaces telles que les bootkits et les rootkits. […] De l'autre côté du spectre, certains ingénieurs logiciels pensent qu'il est grand temps pour Microsoft de fournir des alternatives à l'accès direct au noyau. "Il n'est tout simplement pas nécessaire que tout cela fonctionne comme des modules dangereux du noyau", estime ainsi David Strauss, cofondateur et directeur technique du fournisseur de services Webops Pantheon. Pour lui, "depuis 2009, Microsoft a dû faire plus que se conformer dangereusement à l'ordonnance de l'UE. Ce qu'il aurait dû introduire, c'est un mécanisme de bac à sable dans le noyau ou dans le domaine utilisateur". Les enclaves VBS et le service Azure Attestation sont des alternatives prometteuses à la manière dont les fournisseurs de logiciels tels que Crowdstrike fonctionnent actuellement, estime-t-il. »
« Toutefois, certains professionnels de la sécurité doutent que l'abandon de l'accès au noyau dans les nouveaux produits permette d'éviter les pannes à l'avenir. "L'idée de créer des enclaves n'est pas nouvelle", rappelle Keith Townsend, président de The CTO Advisor, une société du Futurum Group. "Bien qu'elle puisse fonctionner en théorie, il faut que l'ensemble de l'écosystème Windows, des éditeurs de logiciels indépendants aux clients, adopte la nouvelle approche. Demandez à n'importe quel responsable informatique, et il vous dira qu'il lui manque toujours une poignée d'applications pour pouvoir désactiver une méthode d'accès non sécurisée". »
« À la suite de cet incident, certains experts en sécurité opérationnelle se sont demandés pourquoi Microsoft permettait à des partenaires tels que Crowdstrike d'avoir un accès direct au noyau. À l'inverse, une précédente mise à jour de Crowdstrike, qui provoquait une panique du noyau sur les systèmes Linux mais fonctionnait […] en dehors du noyau, a été corrigée par Red Hat au début de l'année sans avoir d'effets aussi paralysants. »
« Microsoft a d'abord invoqué une décision antitrust de l'Union européenne datant de 2009, qui l'oblige à accorder à des tiers le même accès à son système d'exploitation qu'à lui-même. Mais à la fin de la semaine dernière, l'éditeur a indiqué qu'il allait revoir sa position. "Cet incident montre clairement que Windows doit donner la priorité au changement et à l'innovation dans le domaine de la résilience de bout en bout", a écrit John Cable, vice-président de la gestion des programmes pour Windows servicing and delivery chez Microsoft, dans un billet de blog, le 25 juillet. "Parmi les exemples d'innovation, citons les enclaves VBS [sécurité basée sur la virtualisation] récemment annoncées, qui fournissent un environnement informatique isolé ne nécessitant pas de pilotes en mode noyau pour résister aux manipulations, et le service d'attestation Microsoft Azure, qui peut aider à déterminer la posture de sécurité du chemin d'accès au démarrage". »
« Le débat sur la nécessité de l'accès au noyau pour les outils de cybersécurité n'est pas nouveau, mais il a été mis en lumière par l'incident Crowdstrike. Les partisans de l'accès au noyau affirment qu'il est nécessaire pour fournir une visibilité complète du système avec des performances élevées, appliquer les mesures de sécurité au démarrage du système et détecter les menaces telles que les bootkits et les rootkits. […] De l'autre côté du spectre, certains ingénieurs logiciels pensent qu'il est grand temps pour Microsoft de fournir des alternatives à l'accès direct au noyau. "Il n'est tout simplement pas nécessaire que tout cela fonctionne comme des modules dangereux du noyau", estime ainsi David Strauss, cofondateur et directeur technique du fournisseur de services Webops Pantheon. Pour lui, "depuis 2009, Microsoft a dû faire plus que se conformer dangereusement à l'ordonnance de l'UE. Ce qu'il aurait dû introduire, c'est un mécanisme de bac à sable dans le noyau ou dans le domaine utilisateur". Les enclaves VBS et le service Azure Attestation sont des alternatives prometteuses à la manière dont les fournisseurs de logiciels tels que Crowdstrike fonctionnent actuellement, estime-t-il. »
« Toutefois, certains professionnels de la sécurité doutent que l'abandon de l'accès au noyau dans les nouveaux produits permette d'éviter les pannes à l'avenir. "L'idée de créer des enclaves n'est pas nouvelle", rappelle Keith Townsend, président de The CTO Advisor, une société du Futurum Group. "Bien qu'elle puisse fonctionner en théorie, il faut que l'ensemble de l'écosystème Windows, des éditeurs de logiciels indépendants aux clients, adopte la nouvelle approche. Demandez à n'importe quel responsable informatique, et il vous dira qu'il lui manque toujours une poignée d'applications pour pouvoir désactiver une méthode d'accès non sécurisée". »