kras99 - stock.adobe.com

Sécurité Windows : l'accès au noyau est-il bien raisonnable ?

Suite à l'incident Crowdstrike, Microsoft va explorer des alternatives à l'accès direct au noyau pour ses partenaires. Mais certains professionnels de l'informatique craignent que ce changement ne fasse plus de mal que de bien.

Microsoft va étudier des alternatives à l'accès direct au noyau pour ses partenaires. Mais certains professionnels de la sécurité opérationnelle se demandent si cela permettra effectivement d'éviter d'autres problèmes de stabilité.

Tout a commencé le 19 juillet lorsqu'un bogue dans une mise à jour destinée au logiciel Falcon de Crowdstrike sur les systèmes Windows ne s'est pas chargé correctement. Ce logiciel fonctionnant comme un pilote de périphérique dans le noyau du système d'exploitation Windows, également connu sous le nom de Ring 0, sa défaillance a provoqué une panique du noyau et un blocage du système d'exploitation. En conséquence, quelque 8,5 millions de systèmes Windows sont tombés en panne dans le monde entier, paralysant les aéroports et les transports publics et perturbant les services de santé et les services financiers.

À la suite de cet incident, certains experts en sécurité opérationnelle se sont demandés pourquoi Microsoft permettait à des partenaires tels que Crowdstrike d'avoir un accès direct au noyau. À l'inverse, une précédente mise à jour de Crowdstrike, qui provoquait une panique du noyau sur les systèmes Linux mais fonctionnait comme un programme eBPF en dehors du noyau, a été corrigée par Red Hat au début de l'année sans avoir d'effets aussi paralysants.

Microsoft a d'abord invoqué une décision antitrust de l'Union européenne datant de 2009, qui l'oblige à accorder à des tiers le même accès à son système d'exploitation qu'à lui-même. Mais à la fin de la semaine dernière, l'éditeur a indiqué qu'il allait revoir sa position.

« Cet incident montre clairement que Windows doit donner la priorité au changement et à l'innovation dans le domaine de la résilience de bout en bout », a écrit John Cable, vice-président de la gestion des programmes pour Windows servicing and delivery chez Microsoft, dans un billet de blog, le 25 juillet. « Parmi les exemples d'innovation, citons les enclaves VBS [sécurité basée sur la virtualisation] récemment annoncées, qui fournissent un environnement informatique isolé ne nécessitant pas de pilotes en mode noyau pour résister aux manipulations, et le service d'attestation Microsoft Azure, qui peut aider à déterminer la posture de sécurité du chemin d'accès au démarrage ».

Avantages et inconvénients de l'accès au noyau

Le débat sur la nécessité de l'accès au noyau pour les outils de cybersécurité n'est pas nouveau, mais il a été mis en lumière par l'incident Crowdstrike. Les partisans de l'accès au noyau affirment qu'il est nécessaire pour fournir une visibilité complète du système avec des performances élevées, appliquer les mesures de sécurité au démarrage du système et détecter les menaces telles que les bootkits et les rootkits.

« Il y a très peu de produits de sécurité qui n'ont pas accès au noyau », relève Kyler Middleton, ingénieur logiciel principal chez Veradigm, une entreprise spécialisée dans les technologies de la santé : « ils nécessitent une intégration très poussée et un accès au noyau Windows afin d'en assurer la sécurité ».

Dans des scénarios tels que la mise à jour défectueuse de Crowdstrike, la défaillance du noyau est un comportement attendu et sûr, souligne Kyler Middleton.

Kyler Middleton, senior principal software engineer, VeradigmKyler Middleton

« C'est un problème difficile à résoudre. La plupart des développeurs de noyaux avec lesquels j'ai discuté disent que si quelque chose au niveau de l'anneau zéro/du noyau ne se charge pas, le système d'exploitation ne doit pas se charger. Il sera dans un état peu fiable et imprévisible, ce qui pourrait entraîner un problème de sécurité », a-t-elle déclaré.

De l'autre côté du spectre, certains ingénieurs logiciels pensent qu'il est grand temps pour Microsoft de fournir des alternatives à l'accès direct au noyau.

« Il n'est tout simplement pas nécessaire que tout cela fonctionne comme des modules dangereux du noyau », estime ainsi David Strauss, cofondateur et directeur technique du fournisseur de services WebOps Pantheon. Pour lui, « depuis 2009, Microsoft a dû faire plus que se conformer dangereusement à l'ordonnance de l'UE. Ce qu'il aurait dû introduire, c'est un mécanisme de bac à sable dans le noyau ou dans le domaine utilisateur ».

Les enclaves VBS et le service Azure Attestation sont des alternatives prometteuses à la manière dont les fournisseurs de logiciels tels que Crowdstrike fonctionnent actuellement, estime-t-il.

« Si Crowdstrike voulait isoler son code à évolution rapide du module principal du noyau, il pourrait utiliser quelque chose comme VBS pour le faire. En général, les scanners de logiciels malveillants disposent de quelque chose de ce genre, même s'il ne s'agit pas de VBS, en raison du polymorphisme », relève David Strauss. « Azure Attestation adopte une approche de gestion complète de l'intégrité, ne laissant aucune place non vérifiée aux logiciels malveillants. Il s'agit d'une alternative supérieure et moderne à l'analyse des logiciels malveillants. Mais ce produit spécifique n'est disponible que sur le cloud de Microsoft ».

Toutefois, certains professionnels de la sécurité doutent que l'abandon de l'accès au noyau dans les nouveaux produits permette d'éviter les pannes à l'avenir.

« L'idée de créer des enclaves n'est pas nouvelle », rappelle Keith Townsend, président de The CTO Advisor, une société du Futurum Group. « Bien qu'elle puisse fonctionner en théorie, il faut que l'ensemble de l'écosystème Windows, des éditeurs de logiciels indépendants aux clients, adopte la nouvelle approche. Demandez à n'importe quel responsable informatique, et il vous dira qu'il lui manque toujours une poignée d'applications pour pouvoir désactiver une méthode d'accès non sécurisée ».

Selon Adrian Sanabria, membre du conseil d'administration de Security Tinkerers, une organisation à but non lucratif spécialisée dans la cybersécurité, Microsoft se heurterait à des conflits avec certains de ses propres produits si elle exigeait l'utilisation généralisée de VBS, par exemple.

« Je me souviens avoir dû désactiver l'intégrité de la mémoire - l'une des protections liées à VBS - pour pouvoir participer à un cours de formation en cybersécurité, qui nécessitait l'utilisation du logiciel de virtualisation VMware », explique Adrian Sanabria. « En outre, les nouveaux ordinateurs portables Snapdragon ARM dont Microsoft fait la promotion ne peuvent pas exécuter d'antivirus tiers ni utiliser la sécurité basée sur la virtualisation, à moins de désactiver le mode sécurisé qui n'autorise les utilisateurs qu'à exécuter des logiciels approuvés provenant du Microsoft Store ».

S'agit-il de SecOps ou de Sec vs. Ops ?

Pour un observateur du secteur, la dynamique reflétée par l'incident Crowdstrike n'est pas liée aux détails techniques du fonctionnement des outils, mais à un décalage organisationnel entre les équipes de sécurité informatique qui choisissent les outils et les équipes opérationnelles qui doivent répondre aux problèmes lorsque ces outils tombent en panne.

« En raison de brèches bien connues, comme celle de Sony Pictures en 2014, les équipes de sécurité ont acquis beaucoup plus de pouvoir que les équipes d'exploitation et peuvent imposer à ces dernières les produits à déployer dans l'ensemble de l'environnement », relève Rich Lane, directeur informatique de la ville de Medford (Massachusetts). Il dit avoir vu ces modèles se développer en tant que praticien informatique dans ses emplois précédents, comme chez Bain Capital au lendemain de la brèche de Sony, et en tant que cadre chez l'éditeur de logiciels d'exploitation de la sécurité Netenrich. « Et [les services d'exploitation] n'ont pas la possibilité de réagir et de dire "Je pense que c'est une mauvaise idée" ou "Quelle est votre méthodologie de mise à jour ?" C'est ce qui a conduit à tout ce fiasco », selon lui.

Pour Rich Lane, le fait que Microsoft modifie son approche de l'accès au noyau importe moins que le fait que les services d'exploitation soient assis à la table lorsque la sécurité choisit et met en œuvre des produits, surtout si l'on considère les perturbations qu'un changement dans la mise en œuvre du logiciel pourrait entraîner.

Keith Townsend, president, The CTO Advisor Caption: Keith TownsendKeith Townsend

« La suppression de l'accès au noyau est quelque chose que Microsoft aurait probablement dû faire il y a 25 ans, mais la crainte est de savoir combien de centaines de produits cela va casser », a-t-il déclaré. « Les personnes qui travaillent sur le terrain doivent être là pour tester les produits ».

Selon Adrian Sanabria, de nombreuses atteintes à la sécurité se produisent sans logiciels malveillants. Mais les outils anti-malware sont parfois choisis pour des raisons politiques.

« En tant que RSSI, vous ne voudrez jamais avoir à expliquer, lors d'une intrusion, pourquoi vous avez choisi de ne pas utiliser de logiciel AV [anti-virus] », relève-t-il. « De nombreux responsables de la sécurité achètent des logiciels AV tiers à des fins de prévention des risques. L'opportunité de partager la responsabilité de la sécurité est également une opportunité de partager le blâme lorsque les choses tournent mal, ce qui pourrait sauver votre emploi en tant que responsable de la sécurité ».

Pour Kyler Middleton, ces problèmes d'organisation existent dans certains endroits, mais ne sont pas la cause principale de l'incident Crowdstrike.

« Je ne pense pas qu'il s'agisse d'un cas où l'on aurait choisi le mauvais produit », a-t-elle déclaré. « Crowdstrike propose un produit fantastique. L'équipe de développement a fait une erreur ; les tests unitaires ne l'ont pas détectée et la manière asynchrone dont les fichiers de données sont déployés a déclenché le bogue plus tard, d'un seul coup, sans test. C'est un ouragan de malchance ».

Pour approfondir sur Protection du terminal et EDR

Close