Un an après le fiasco de Crowdstrike qui a provoqué le plantage de millions d’ordinateurs, Microsoft ferme l’accès externe au noyau Windows pour éviter que cela ne se reproduise.
Ce qui était dans l’air depuis un an est maintenant un fait. Microsoft s’apprête à déployer une nouvelle plateforme de sécurité des terminaux pour Windows, qui modifiera radicalement le fonctionnement des logiciels de sécurité que vous installez sur votre ordinateur. L’accès au noyau Windows sera en effet fermé aux parties externes.
Pour comprendre pourquoi Microsoft procède ainsi, nous devons remonter le temps de onze mois. Une mise à jour défectueuse de Crowdstrike a provoqué le plantage simultané de 8,5 millions d’ordinateurs Windows dans le monde, entraînant un chaos total et des dommages financiers considérables. La mise à jour a pu avoir de telles conséquences car le logiciel de Crowdstrike, comme celui d’autres fournisseurs, est profondément ancré dans le noyau Windows.
lire aussi
Avec nos remerciements à Crowdstrike : Microsoft expulse les logiciels externes du noyau Windows
Accord de Salomon
Expulser les partenaires externes du noyau n’était cependant pas une évidence. Les logiciels de sécurité ne sont efficaces que parce qu’ils bénéficient de privilèges élevés dans Windows, mais cela présente un inconvénient manifeste en cas de dysfonctionnement. De plus, Microsoft a dû autoriser l’accès externe sous la pression de l’UE. Microsoft a donc dû chercher une nouvelle solution qui satisfasse à la fois les partenaires et les régulateurs.
Dans une interview accordée à The Verge, Microsoft souligne que le nouveau système a été développé en collaboration avec les fournisseurs de sécurité et que rien ne leur est imposé. Certaines parties ont envoyé à Microsoft des documents ‘allant jusqu’à des centaines de pages’ de suggestions, témoigne David Weston, responsable de la sécurité de Windows.
L’objectif est de placer les logiciels externes dans un environnement isolé où ils peuvent fonctionner avec les mêmes privilèges qu’une application noyau, sans avoir à exécuter effectivement du code dans le noyau. Microsoft estime que ce système pourra être appliqué plus largement qu’à la sécurité. Les partenaires ont maintenant la possibilité de tester le système en avant-première et de fournir des retours, y compris Crowdstrike à qui tout cela est dû.
Leçon apprise
Un an après le fiasco de Crowdstrike, Microsoft déploie encore de nouvelles applications de sécurité pour Windows. Le « mode de récupération rapide » dirige votre appareil vers un environnement sécurisé lorsqu’il ne peut pas démarrer, dans lequel il obtient l’accès à un réseau pour envoyer des données de diagnostic à Microsoft. « Nous aurions aimé avoir cela l’année dernière », déclare Weston à The Verge.
Le changement le plus visible apporté par Microsoft concerne l’emblématique écran BSOD. Celui-ci ne sera bientôt plus un écran bleu, mais deviendra noir.