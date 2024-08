Microsoft va étudier des alternatives à l'accès direct au noyau pour ses partenaires. Mais certains professionnels de la sécurité opérationnelle se demandent si cela permettra effectivement d'éviter d'autres problèmes de stabilité.

Tout a commencé le 19 juillet lorsqu'un bogue dans une mise à jour destinée au logiciel Falcon de Crowdstrike sur les systèmes Windows ne s'est pas chargé correctement. Ce logiciel fonctionnant comme un pilote de périphérique dans le noyau du système d'exploitation Windows, également connu sous le nom de Ring 0, sa défaillance a provoqué une panique du noyau et un blocage du système d'exploitation. En conséquence, quelque 8,5 millions de systèmes Windows sont tombés en panne dans le monde entier, paralysant les aéroports et les transports publics et perturbant les services de santé et les services financiers.

À la suite de cet incident, certains experts en sécurité opérationnelle se sont demandés pourquoi Microsoft permettait à des partenaires tels que Crowdstrike d'avoir un accès direct au noyau. À l'inverse, une précédente mise à jour de Crowdstrike, qui provoquait une panique du noyau sur les systèmes Linux mais fonctionnait comme un programme eBPF en dehors du noyau, a été corrigée par Red Hat au début de l'année sans avoir d'effets aussi paralysants.

Microsoft a d'abord invoqué une décision antitrust de l'Union européenne datant de 2009, qui l'oblige à accorder à des tiers le même accès à son système d'exploitation qu'à lui-même. Mais à la fin de la semaine dernière, l'éditeur a indiqué qu'il allait revoir sa position.

« Cet incident montre clairement que Windows doit donner la priorité au changement et à l'innovation dans le domaine de la résilience de bout en bout », a écrit John Cable, vice-président de la gestion des programmes pour Windows servicing and delivery chez Microsoft, dans un billet de blog, le 25 juillet. « Parmi les exemples d'innovation, citons les enclaves VBS [sécurité basée sur la virtualisation] récemment annoncées, qui fournissent un environnement informatique isolé ne nécessitant pas de pilotes en mode noyau pour résister aux manipulations, et le service d'attestation Microsoft Azure, qui peut aider à déterminer la posture de sécurité du chemin d'accès au démarrage ».

Avantages et inconvénients de l'accès au noyau Le débat sur la nécessité de l'accès au noyau pour les outils de cybersécurité n'est pas nouveau, mais il a été mis en lumière par l'incident Crowdstrike. Les partisans de l'accès au noyau affirment qu'il est nécessaire pour fournir une visibilité complète du système avec des performances élevées, appliquer les mesures de sécurité au démarrage du système et détecter les menaces telles que les bootkits et les rootkits. « Il y a très peu de produits de sécurité qui n'ont pas accès au noyau », relève Kyler Middleton, ingénieur logiciel principal chez Veradigm, une entreprise spécialisée dans les technologies de la santé : « ils nécessitent une intégration très poussée et un accès au noyau Windows afin d'en assurer la sécurité ». Dans des scénarios tels que la mise à jour défectueuse de Crowdstrike, la défaillance du noyau est un comportement attendu et sûr, souligne Kyler Middleton. Kyler Middleton Kyler Middleton « C'est un problème difficile à résoudre. La plupart des développeurs de noyaux avec lesquels j'ai discuté disent que si quelque chose au niveau de l'anneau zéro/du noyau ne se charge pas, le système d'exploitation ne doit pas se charger. Il sera dans un état peu fiable et imprévisible, ce qui pourrait entraîner un problème de sécurité », a-t-elle déclaré. De l'autre côté du spectre, certains ingénieurs logiciels pensent qu'il est grand temps pour Microsoft de fournir des alternatives à l'accès direct au noyau. « Il n'est tout simplement pas nécessaire que tout cela fonctionne comme des modules dangereux du noyau », estime ainsi David Strauss, cofondateur et directeur technique du fournisseur de services WebOps Pantheon. Pour lui, « depuis 2009, Microsoft a dû faire plus que se conformer dangereusement à l'ordonnance de l'UE. Ce qu'il aurait dû introduire, c'est un mécanisme de bac à sable dans le noyau ou dans le domaine utilisateur ». Les enclaves VBS et le service Azure Attestation sont des alternatives prometteuses à la manière dont les fournisseurs de logiciels tels que Crowdstrike fonctionnent actuellement, estime-t-il. « Si Crowdstrike voulait isoler son code à évolution rapide du module principal du noyau, il pourrait utiliser quelque chose comme VBS pour le faire. En général, les scanners de logiciels malveillants disposent de quelque chose de ce genre, même s'il ne s'agit pas de VBS, en raison du polymorphisme », relève David Strauss. « Azure Attestation adopte une approche de gestion complète de l'intégrité, ne laissant aucune place non vérifiée aux logiciels malveillants. Il s'agit d'une alternative supérieure et moderne à l'analyse des logiciels malveillants. Mais ce produit spécifique n'est disponible que sur le cloud de Microsoft ». Toutefois, certains professionnels de la sécurité doutent que l'abandon de l'accès au noyau dans les nouveaux produits permette d'éviter les pannes à l'avenir. « L'idée de créer des enclaves n'est pas nouvelle », rappelle Keith Townsend, président de The CTO Advisor, une société du Futurum Group. « Bien qu'elle puisse fonctionner en théorie, il faut que l'ensemble de l'écosystème Windows, des éditeurs de logiciels indépendants aux clients, adopte la nouvelle approche. Demandez à n'importe quel responsable informatique, et il vous dira qu'il lui manque toujours une poignée d'applications pour pouvoir désactiver une méthode d'accès non sécurisée ». Selon Adrian Sanabria, membre du conseil d'administration de Security Tinkerers, une organisation à but non lucratif spécialisée dans la cybersécurité, Microsoft se heurterait à des conflits avec certains de ses propres produits si elle exigeait l'utilisation généralisée de VBS, par exemple. « Je me souviens avoir dû désactiver l'intégrité de la mémoire - l'une des protections liées à VBS - pour pouvoir participer à un cours de formation en cybersécurité, qui nécessitait l'utilisation du logiciel de virtualisation VMware », explique Adrian Sanabria. « En outre, les nouveaux ordinateurs portables Snapdragon ARM dont Microsoft fait la promotion ne peuvent pas exécuter d'antivirus tiers ni utiliser la sécurité basée sur la virtualisation, à moins de désactiver le mode sécurisé qui n'autorise les utilisateurs qu'à exécuter des logiciels approuvés provenant du Microsoft Store ».