Sécurité Windows : l'accès au noyau est-il bien raisonnable ?

Avantages et inconvénients de l'accès au noyau

Le débat sur la nécessité de l'accès au noyau pour les outils de cybersécurité n'est pas nouveau, mais il a été mis en lumière par l'incident Crowdstrike. Les partisans de l'accès au noyau affirment qu'il est nécessaire pour fournir une visibilité complète du système avec des performances élevées, appliquer les mesures de sécurité au démarrage du système et détecter les menaces telles que les bootkits et les rootkits.

« Il y a très peu de produits de sécurité qui n'ont pas accès au noyau », relève Kyler Middleton, ingénieur logiciel principal chez Veradigm, une entreprise spécialisée dans les technologies de la santé : « ils nécessitent une intégration très poussée et un accès au noyau Windows afin d'en assurer la sécurité ».

Dans des scénarios tels que la mise à jour défectueuse de Crowdstrike, la défaillance du noyau est un comportement attendu et sûr, souligne Kyler Middleton.

Kyler Middleton

« C'est un problème difficile à résoudre. La plupart des développeurs de noyaux avec lesquels j'ai discuté disent que si quelque chose au niveau de l'anneau zéro/du noyau ne se charge pas, le système d'exploitation ne doit pas se charger. Il sera dans un état peu fiable et imprévisible, ce qui pourrait entraîner un problème de sécurité », a-t-elle déclaré.

De l'autre côté du spectre, certains ingénieurs logiciels pensent qu'il est grand temps pour Microsoft de fournir des alternatives à l'accès direct au noyau.

« Il n'est tout simplement pas nécessaire que tout cela fonctionne comme des modules dangereux du noyau », estime ainsi David Strauss, cofondateur et directeur technique du fournisseur de services WebOps Pantheon. Pour lui, « depuis 2009, Microsoft a dû faire plus que se conformer dangereusement à l'ordonnance de l'UE. Ce qu'il aurait dû introduire, c'est un mécanisme de bac à sable dans le noyau ou dans le domaine utilisateur ».

Les enclaves VBS et le service Azure Attestation sont des alternatives prometteuses à la manière dont les fournisseurs de logiciels tels que Crowdstrike fonctionnent actuellement, estime-t-il.

« Si Crowdstrike voulait isoler son code à évolution rapide du module principal du noyau, il pourrait utiliser quelque chose comme VBS pour le faire. En général, les scanners de logiciels malveillants disposent de quelque chose de ce genre, même s'il ne s'agit pas de VBS, en raison du polymorphisme », relève David Strauss. « Azure Attestation adopte une approche de gestion complète de l'intégrité, ne laissant aucune place non vérifiée aux logiciels malveillants. Il s'agit d'une alternative supérieure et moderne à l'analyse des logiciels malveillants. Mais ce produit spécifique n'est disponible que sur le cloud de Microsoft ».

Toutefois, certains professionnels de la sécurité doutent que l'abandon de l'accès au noyau dans les nouveaux produits permette d'éviter les pannes à l'avenir.

« L'idée de créer des enclaves n'est pas nouvelle », rappelle Keith Townsend, président de The CTO Advisor, une société du Futurum Group. « Bien qu'elle puisse fonctionner en théorie, il faut que l'ensemble de l'écosystème Windows, des éditeurs de logiciels indépendants aux clients, adopte la nouvelle approche. Demandez à n'importe quel responsable informatique, et il vous dira qu'il lui manque toujours une poignée d'applications pour pouvoir désactiver une méthode d'accès non sécurisée ».

Selon Adrian Sanabria, membre du conseil d'administration de Security Tinkerers, une organisation à but non lucratif spécialisée dans la cybersécurité, Microsoft se heurterait à des conflits avec certains de ses propres produits si elle exigeait l'utilisation généralisée de VBS, par exemple.

« Je me souviens avoir dû désactiver l'intégrité de la mémoire - l'une des protections liées à VBS - pour pouvoir participer à un cours de formation en cybersécurité, qui nécessitait l'utilisation du logiciel de virtualisation VMware », explique Adrian Sanabria. « En outre, les nouveaux ordinateurs portables Snapdragon ARM dont Microsoft fait la promotion ne peuvent pas exécuter d'antivirus tiers ni utiliser la sécurité basée sur la virtualisation, à moins de désactiver le mode sécurisé qui n'autorise les utilisateurs qu'à exécuter des logiciels approuvés provenant du Microsoft Store ».

S'agit-il de SecOps ou de Sec vs. Ops ?

Pour un observateur du secteur, la dynamique reflétée par l'incident Crowdstrike n'est pas liée aux détails techniques du fonctionnement des outils, mais à un décalage organisationnel entre les équipes de sécurité informatique qui choisissent les outils et les équipes opérationnelles qui doivent répondre aux problèmes lorsque ces outils tombent en panne.

« En raison de brèches bien connues, comme celle de Sony Pictures en 2014, les équipes de sécurité ont acquis beaucoup plus de pouvoir que les équipes d'exploitation et peuvent imposer à ces dernières les produits à déployer dans l'ensemble de l'environnement », relève Rich Lane, directeur informatique de la ville de Medford (Massachusetts). Il dit avoir vu ces modèles se développer en tant que praticien informatique dans ses emplois précédents, comme chez Bain Capital au lendemain de la brèche de Sony, et en tant que cadre chez l'éditeur de logiciels d'exploitation de la sécurité Netenrich. « Et [les services d'exploitation] n'ont pas la possibilité de réagir et de dire "Je pense que c'est une mauvaise idée" ou "Quelle est votre méthodologie de mise à jour ?" C'est ce qui a conduit à tout ce fiasco », selon lui.

Pour Rich Lane, le fait que Microsoft modifie son approche de l'accès au noyau importe moins que le fait que les services d'exploitation soient assis à la table lorsque la sécurité choisit et met en œuvre des produits, surtout si l'on considère les perturbations qu'un changement dans la mise en œuvre du logiciel pourrait entraîner.

Keith Townsend

« La suppression de l'accès au noyau est quelque chose que Microsoft aurait probablement dû faire il y a 25 ans, mais la crainte est de savoir combien de centaines de produits cela va casser », a-t-il déclaré. « Les personnes qui travaillent sur le terrain doivent être là pour tester les produits ».

Selon Adrian Sanabria, de nombreuses atteintes à la sécurité se produisent sans logiciels malveillants. Mais les outils anti-malware sont parfois choisis pour des raisons politiques.

« En tant que RSSI, vous ne voudrez jamais avoir à expliquer, lors d'une intrusion, pourquoi vous avez choisi de ne pas utiliser de logiciel AV [anti-virus] », relève-t-il. « De nombreux responsables de la sécurité achètent des logiciels AV tiers à des fins de prévention des risques. L'opportunité de partager la responsabilité de la sécurité est également une opportunité de partager le blâme lorsque les choses tournent mal, ce qui pourrait sauver votre emploi en tant que responsable de la sécurité ».

Pour Kyler Middleton, ces problèmes d'organisation existent dans certains endroits, mais ne sont pas la cause principale de l'incident Crowdstrike.

« Je ne pense pas qu'il s'agisse d'un cas où l'on aurait choisi le mauvais produit », a-t-elle déclaré. « Crowdstrike propose un produit fantastique. L'équipe de développement a fait une erreur ; les tests unitaires ne l'ont pas détectée et la manière asynchrone dont les fichiers de données sont déployés a déclenché le bogue plus tard, d'un seul coup, sans test. C'est un ouragan de malchance ».