Microsoft et la sécurité des terminaux Windows après la crise de CrowdStrike
Après l’échec retentissant de CrowdStrike en début d’année, Microsoft a pris l’initiative de rassembler les leaders du secteur de la sécurité. La rencontre a-t-elle permis d’engendrer des avancées significatives ?
Un événement marquant : la panne de CrowdStrike
La panne majeure de CrowdStrike survenue en juillet 2024 restera dans les mémoires comme un véritable désastre économique. Considérée comme la plus grande panne informatique de l’histoire, elle a causé de graves perturbations au sein des systèmes bancaires, des réseaux de santé et du transport aérien à l’échelle mondiale. Les analyses ont mis en lumière une vérité amère : cette catastrophe aurait pu être évitée.
Un sommet pour la sécurité des terminaux
En réponse à cette crise, Microsoft a organisé un sommet d’une journée consacré à la safety and security des terminaux Windows. Cet événement, strictement confidentiel et censuré vis-à-vis des médias, avait pour but de rassembler « un groupe diversifié de fournisseurs de sécurité des terminaux ainsi que des responsables gouvernementaux des États-Unis et d’Europe ». L’objectif affiché était de discuter des moyens permettant de renforcer la résilience et de protéger les infrastructures critiques des clients communs.
Des résultats peu tangibles ?
Quelles sont les conséquences concrètes de cette réunion ? Le flou persiste. David Weston, vice-président de la sécurité des systèmes d’exploitation chez Microsoft, a partagé un résumé soigneusement révisé. Ce dernier ne laisse transparaître que des messages positifs et des indications vagues sur les « thèmes clés et points de consensus ». Les détails sur les évolutions possibles des produits Windows et de sécurité des terminaux restent nébuleux, suggérant que des changements significatifs ne sont pas attendus à court terme.
Comme le souligne le rapport, la table ronde « n’était pas une réunion de prise de décision… nous avons abordé les complexités du paysage sécuritaire moderne, en admettant qu’il n’existe pas de solutions simples. » Toutefois, un thème récurrent est l’urgence d’éviter un incident de l’ampleur de celui de CrowdStrike.
Les enseignements tirés de la crise
Un commentateur, Ric Smith, directeur des produits et de la technologie chez SentinelOne, a noté que cette incidence met en lumière la responsabilité des fournisseurs de sécurité pour encourager la résilience et une protection adaptative. Les défis partagés incluent la nécessité de déployer des mises à jour de manière sécurisée, tout en considérant la possibilité d’arrêter ou de revenir sur les déploiements si nécessaire.
Accès au noyau de Windows : un sujet brûlant
La discussion a été particulièrement vive concernant l’accès au noyau de Windows, considéré comme une des causes majeures de la débâcle de CrowdStrike. En effet, l’incident illustre comment un code défectueux dans le noyau peut engendrer des défauts graves, contrairement au code exécuté dans l’espace utilisateur. Apple a d’ailleurs pris des mesures similaires pour macOS, invitant les développeurs à créer des extensions système qui fonctionnent dans l’espace utilisateur plutôt que dans le noyau.
Microsoft préconise actuellement des paramètres de sécurité par défaut pour Windows 11, élargissant les capacités de sécurité sans nécessiter un accès au noyau. Cependant, cette idée ne fait pas l’unanimité parmi les acteurs du secteur, certains insistant sur le fait que l’accès au noyau reste crucial pour l’efficacité des produits de sécurité.
Des recommandations divergentes
Joe Levy, PDG de Sophos, a également exprimé son soutien aux recommandations basées sur des innovations architecturales précédemment élaborées. Cependant, Simon Reed, directeur scientifique chez Sophos, a souligné que l’accès au noyau est essentiel pour la sécurité des terminaux Windows, rendant improbable toute transformation radicale dans un avenir proche. L’opposition à la restriction de cet accès pourrait créer un désavantage concurrentiel pour les produits de protection des terminaux de Microsoft.
En somme, la crise de CrowdStrike a agi comme un catalyseur pour une remise en question du paysage de la sûreté des terminaux Windows, avec des discussions essentielles sur la manière de prévenir de futurs incidents et sur l’évolution des normes de sécurité dans l’industrie.