À l’occasion d’un sommet sur la sécurité organisé par Microsoft le 10 septembre, la firme de Redmond a annoncé qu’elle allait modifier l’accès à ses fournisseurs dans le noyau de son système d’exploitation Windows. Cette conférence a été décidée suite à la panne informatique ayant fait planter à la mi-juillet 8,5 millions de PC et de nombreux serveurs du monde entier, causée par une mise à jour défectueuse de l’EDR de la société Crowdstrike.
Éviter les incidents généralisés
Si cette panne a pris une telle ampleur, c’est parce que le logiciel de Crowdstrike impliqué dans l’incident, l’EDR, intervient jusqu’au noyau du système d’exploitation. Contrairement à des antivirus classiques, ces logiciels enregistrent toutes les activités système et les stockent dans un journal, tout en effectuant un suivi comportemental. Afin de garantir une protection de haut niveau, et ainsi obtenir un accès illimité à la mémoire système et au matériel de Windows, Microsoft a pris l’habitude d’autoriser ses fournisseurs de sécurité à accéder à ce noyau.
Pour éviter qu’une simple erreur ne bloque, par exemple, tous les ordinateurs sur un “écran bleu” au démarrage, Microsoft a évoqué l’idée de retirer tout bonnement l’accès à ses partenaires au noyau de son système d’exploitation. Un souhait unilatéral qui a fait bondir certains fournisseurs et régulateurs, craignant qu’une telle exclusion ne les mette en retrait par rapport à Defender, l’antivirus de Microsoft.
Une plateforme commune pour Crowdstrike, Broadcom, Sophos et Trend Micro
Dans un communiqué, Microsoft affirme alors avoir “discuté des exigences liés à la création d’une nouvelle plateforme capable de répondre aux besoins des fournisseurs de sécurité”. La firme échange avec Crowdstrike, bien entendu, mais aussi avec l’américain Broadcom, le britannique Sophos et le japonais Trend Micro. Difficile de savoir, pour l’heure, quel niveau de sécurité sera appliqué sur cette nouvelle plateforme. Les fournisseurs souhaitent également obtenir davantage de mesures de protection anti-tampering sur les produits de sécurité (rendant plus difficile la modification de l’exécution d’un logiciel par un pirate) et de nouvelles exigences sur les capteurs de cybersécurité.
En 2006, Microsoft avait tenté d’intégrer “PatchGuard”, une fonctionnalité de protection contre la mise à jour du noyau de Windows Vista. Cette implémentation excluait alors du noyau les logiciels tiers, dont ceux de McAfee et Symantec. Après un recours de Symantec auprès de la Commission européenne, Microsoft avait finalement fait machine arrière.
Cette volonté de modifier les privilèges s’inscrit dans un contexte plus large de refonte des pratiques de cybersécurité de la part de Microsoft. En mai, la firme de Redmond a lancé un vaste chantier d’amélioration, avec comme premier principe l’application d’un certain degré de sécurité dès la conception d’un produit ou service.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
