Après le terrible incident Crowdstrike, Microsoft avait annoncé vouloir repenser l’accès au Kernel par les applications de cybersécurité. À l’occasion de son Security Summit dédié à Windows, l’éditeur en a dévoilé un peu sur ses plans pour renforcer son système. Des plans qui restent encore vagues et génèrent déjà une bronca de certains éditeurs.
L’incident Crowdstrike a laissé des traces. Pour rappel, une mise à jour défectueuse de l’outil de sécurité Falcon avait entraîné le plantage des machines Windows (postes et serveurs) protégées par l’agent XDR de Crowdstrike engendrant un véritable chaos dans l’industrie des médias (des chaînes TV se retrouvant incapables de diffuser leurs journaux TV), dans l’industrie des transports (avec des aéroports au ralenti et des milliers de vols annulés), dans les hôpitaux (annulation d’interventions chirurgicales), etc.
Si Crowdstrike est fautif, Microsoft a aussi largement été pointé du doigt. Après tout, comment une mise à jour tierce peut-elle ainsi paralyser son système et mettre en rade tant d’activités et d’industries ? Microsoft avait expliqué que le problème venait du fait que bien des outils de sécurité s’exécutent en mode Kernel et que, en cas de bug, ils peuvent déclencher un écran bleu et dans le pire des cas, empêcher un redémarrage normal de Windows. Au passage, Microsoft avait taclé – un peu injustement et fort peu judicieusement – la Commission européenne, qui avait forcé Microsoft à rouvrir son Kernel après une tentative de fermeture à l’époque Windows 8.
Ce qui est sûr, c’est que dans le cadre de sa fameuse initiative SFI (Secure Future Initiative) et sa nouvelle doctrine « cybersecurity first », Microsoft ne veut plus qu’un tel incident puisse se produire.
À l’occasion de sa conférence Windows Endpoint Security Ecosystem Summit 2024, l’éditeur a dévoilé ses plans pour durcir Windows et interdire tout nouvel incident de ce genre. Microsoft envisage des changements majeurs dans l’architecture de sécurité de son système d’exploitation.
L’idée centrale est de développer au cœur de Windows une sorte de « plateforme cyber » qui exposerait davantage de « capacités / fonctionnalités » de cybersécurité en dehors du Kernel, autrement dit en dehors du mode noyau. Ainsi, les outils de cybersécurité pourraient opérer pleinement sans accès direct au noyau de Windows. Ils n’auraient plus à s’installer dans l’espace Kernel évitant les plantages par « écran bleu de la mort » en cas de bug.
Selon Microsoft, une réduction drastique des accès au Kernel par des programmes tiers et l’intégration d’une telle plateforme cyber au cœur de Windows réduiraient les risques de perturbations systémiques causées non seulement par des mises à jour défectueuses ou mais aussi par des logiciels malveillants.
L’idée n’est pas nouvelle. Microsoft avait tenté de bloquer l’accès au Kernel avec Windows 8 mais avait fait marche arrière sous la pression des éditeurs et de l’Union européenne. Et, depuis 2020, avec macOS 11, Apple a opté pour une approche similaire avec son Endpoint Security Framework et l’interdiction d’user d’extensions Kernel.
Quatre principales pistes de réflexion ont ainsi été évoquées à l’occasion du Security Summit 2024 :
- Limiter l’accès au noyau pour les logiciels de sécurité tiers, tout en fournissant de nouvelles API en mode utilisateur via une nouvelle plateforme Sécurité dans Windows.
- Encourager des pratiques de déploiement plus sûres, avec des mises à jour progressives et la possibilité de les interrompre rapidement.
- Améliorer le partage d’informations entre Microsoft et les éditeurs de sécurité sur le fonctionnement de leurs produits.
- Renforcer les capacités de sécurité natives de Windows 11 pour réduire la dépendance aux solutions tierces.
Des réactions très partagées
Microsoft affirme vouloir bâtir cette nouvelle plateforme de cybersécurité Windows et concrétiser les pistes évoquées ci-dessus en collaboration avec tous les éditeurs de sécurité afin de bien comprendre leurs besoins et créer les API qui leur seront nécessaires.
Des propositions et des perspectives qui ne plaisent pas à tout le monde. Le moins que l’on puisse dire, c’est que les fournisseurs de solutions de sécurité ont accueilli ces annonces avec des réactions mitigées.
Certains, comme SentinelOne, se sont montrés très favorables : « Nous pensons que la transparence est cruciale et nous sommes pleinement d’accord avec Microsoft sur le fait que les entreprises de sécurité doivent se conformer à des normes rigoureuses d’ingénierie, de test et de déploiement, ainsi que suivre les meilleures pratiques en matière de développement et de déploiement de logiciels. Nous sommes fiers d’avoir appliqué depuis des années les processus que Microsoft a évoqués aujourd’hui, et nous continuerons à le faire à l’avenir ».
D’autres, cependant, se montrent beaucoup moins enthousiastes. Pour ESET, « il reste impératif que l’accès au noyau demeure une option pour les produits de cybersécurité afin de permettre une innovation continue et la capacité de détecter et bloquer les futures cybermenaces. »
L’éditeur s’inquiète que les modifications proposées par Microsoft puissent limiter le choix des solutions de cybersécurité mais également impacter la performance des outils de sécurité.
Idem chez Sophos qui, tout en saluant l’effort de Microsoft et les recommandations avancées, rappelle quand même que : « Opérer dans l’espace noyau – la couche la plus privilégiée d’un système d’exploitation, avec un accès direct à la mémoire, au matériel, à la gestion des ressources et au stockage – est d’une importance vitale pour les produits de sécurité. »
Tout dépend évidemment de ce que mettra en œuvre Microsoft sur cette « Windows Security Platform », mais on rappellera que Crowdstrike se vante d’offrir les mêmes niveaux de visibilité, de détection et de protection sous macOS, sans avoir d’accès Kernel et avec un agent exclusivement exécuté en mode User.
Défis et enjeux réglementaires
Le problème pour Microsoft, c’est qu’il ne suffit pas de convaincre les éditeurs. Il va aussi falloir convaincre les régulateurs que cette réduction de l’accès est sans impact sur la concurrence. Certains éditeurs expriment ouvertement leur crainte (comme à l’époque de Windows 8) que tout ceci ne donne au final à Microsoft un avantage déloyal. Matthew Prince, CEO de Cloudflare, alerte déjà les opinions : « Un monde où seul Microsoft peut fournir une sécurité efficace des endpoints n’est pas un monde plus sûr. »
Ces préoccupations sont prises au sérieux par Microsoft qui n’avait pas manqué d’inviter les responsables des organisations gouvernementales internationales à son rendez-vous. La décision de limiter ou non l’accès au noyau aura des implications profondes pour l’écosystème de la cybersécurité Windows. L’éditeur semble conscient qu’il sera crucial d’arriver à trouver le bon équilibre entre la nécessité de protéger le système contre les vulnérabilités potentielles et celle de permettre aux fournisseurs de sécurité d’innover et de fournir des solutions efficaces.
Pour autant, malgré les divergences affichées, tous les acteurs semblent convenir de la nécessité d’améliorer la résilience du système et de prévenir de futurs incidents majeurs. La mise en œuvre de pratiques de déploiement sûres, telles que les déploiements progressifs et échelonnés des mises à jour, est d’ailleurs unanimement considérée comme une mesure essentielle. Et bien des acteurs n’ont pas manqué d’enfoncer Crowdstrike qui s’est montré défaillant en la matière. Ils assurent, bien sûr, que jamais un tel incident ne pourrait se produire avec leurs solutions parce qu’ils pratiquent les bonnes actions évoquées par Microsoft depuis fort longtemps. Certains se demandent même si « l’évènement Crowdstrike », n’est pas pour Microsoft une excuse pour brider son système et freiner la concurrence, rappelant que cet évènement est assez unique en son genre, extrêmement rare, et « entièrement la faute de Crowdstrike ». Ils rappellent volontiers que le problème n’est pas Windows puisque Crowdstrike a aussi connu des déboires similaires avec plusieurs distributions Linux en début d’année.
La question qui se pose, au final, est de savoir si on peut interdire à Microsoft de reproduire ce qu’Apple fait sur macOS ? Il y a ici une question de confiance et de crédibilité. Une crédibilité que Microsoft a perdu de longue date. Il faudra à l’éditeur faire preuve de beaucoup d’écoute, d’ouverture et de transparence pour inverser la tendance et changer la donne en matière de sécurité Windows. Et ça va forcément prendre du temps…