Microsoft continue d’aider CrowdStrike à nettoyer le désordre qui a commencé il y a une semaine lorsque 8,5 millions de PC ont été mis hors ligne en raison d’une mise à jour bugguée de CrowdStrike. Aujourd’hui, le géant du logiciel appelle à des changements dans Windows et a laissé entendre qu’il accorde la priorité à rendre Windows plus résilient et qu’il est prêt à pousser les fournisseurs de sécurité comme CrowdStrike à cesser d’accéder au noyau Windows.
Bien que CrowdStrike ait imputé sa mise à jour ratée à un bug dans son logiciel de test, son logiciel fonctionne au niveau du noyau – la partie centrale d’un système d’exploitation qui a un accès illimité à la mémoire système et au matériel – donc si quelque chose ne va pas avec l’application de CrowdStrike, il peut faire tomber les machines Windows avec un écran bleu de la mort.
Le logiciel Falcon de CrowdStrike utilise un pilote spécial qui lui permet de fonctionner à un niveau inférieur à celui de la plupart des applications afin de détecter les menaces sur un système Windows. Microsoft a tenté d’empêcher les tiers d’accéder au noyau de Windows Vista en 2006, mais s’est heurté à la résistance des fournisseurs de cybersécurité et des régulateurs de l’UE. Cependant, Apple a pu verrouiller son système d’exploitation macOS en 2020 afin que les développeurs ne puissent plus accéder au noyau.
Il semble désormais que Microsoft souhaite rouvrir les discussions autour de la restriction de l’accès au niveau du noyau dans Windows.
« Cet incident montre clairement que Windows doit donner la priorité au changement et à l’innovation dans le domaine de la résilience de bout en bout », déclare John Cable, vice-président de la gestion des programmes pour la maintenance et la livraison de Windows. dans un article de blog Intitulé « La voie à suivre », Cable appelle à une coopération plus étroite entre Microsoft et ses partenaires « qui se soucient également profondément de la sécurité de l’écosystème Windows » pour apporter des améliorations en matière de sécurité.
Bien que Microsoft ne détaille pas les améliorations exactes qu’il apportera à Windows à la suite des problèmes de CrowdStrike, Cable donne quelques indices sur la direction que Microsoft souhaite voir prendre. Cable appelle à une nouvelle Enclaves VBS fonctionnalité « qui ne nécessite pas que les pilotes en mode noyau soient inviolables » et Attestation Azure de Microsoft service comme exemples d’innovations récentes en matière de sécurité.
« Ces exemples utilisent des approches Zero Trust modernes et montrent ce qui peut être fait pour encourager les pratiques de développement qui ne reposent pas sur l’accès au noyau », déclare Cable. « Nous allons continuer à développer ces capacités, à renforcer notre plateforme et à faire encore plus pour améliorer la résilience de l’écosystème Windows, en travaillant ouvertement et en collaboration avec la vaste communauté de sécurité. »
Ces indices pourraient lancer une discussion autour de l’accès au noyau Windows, même si Microsoft affirme qu’il ne peut pas bloquer son système d’exploitation de la même manière qu’Apple en raison des régulateurs. Le PDG de Cloudflare, Matthew Prince, a déjà prévenu concernant les effets d’un verrouillage supplémentaire de Windows par Microsoft, Microsoft devra donc examiner attentivement les besoins des fournisseurs de sécurité s’il veut poursuivre un réel changement.