Un an après la panne mondiale provoquée par une mise à jour défaillante de CrowdStrike, Microsoft officialise une refonte majeure de l'architecture de son système d'exploitation Windows via la Windows Resiliency Initiative (WRI).
Il s'agira notamment d'empêcher qu'un logiciel de sécurité puisse à nouveau paralyser des millions d'ordinateurs et causer des milliards de dollars de dégâts.
Une réponse directe à la catastrophe CrowdStrike
L'été dernier, une simple mise à jour d'un logiciel de sécurité avait provoqué un BSOD (Blue Screen of Death) sur 8,5 millions d'ordinateurs Windows. Les conséquences ont été des avions cloués au sol, des systèmes bancaires inaccessibles ou encore des perturbations pour des services de santé.
L'erreur a été imputée à une mise à jour défectueuse de l'agent logiciel Falcon Sensor pour la plateforme de cybersécurité Falcon de CrowdStrike. La procédure de validation pour les mises à jour avait de fait été pointée du doigt.
Pour que ce cauchemar ne se répète plus, Microsoft a réuni ses partenaires et concurrents lors d'un sommet sur la sécurité. De cette réunion est née une collaboration avec des acteurs comme CrowdStrike, Bitdefender ou Trend Micro pour repenser la sécurité sur Windows. La première mesure forte est sur le point d'être testée.
Le noyau Windows en zone interdite
La révolution se nomme « Windows endpoint security platform ». Son principe est simple mais radical. Sortir les logiciels de sécurité et les antivirus du noyau Windows.
Depuis toujours, ces programmes s'y logeaient pour bénéficier d'un accès total au système, leur permettant en théorie une protection maximale. Le revers de la médaille, c'est qu'une seule erreur dans leur code peut entraîner un crash système complet.
Désormais, les antivirus et solutions de sécurité endpoint devront fonctionner en mode utilisateur, comme le commun des applications. Le changement a pour but de garantir une meilleure fiabilité et une récupération bien plus simple en cas de problème.
Des inquiétudes et un impact au-delà des antivirus
Toute cette industrie est-elle prête pour un tel virage ? Pas si sûr. ESET reste par exemple prudent et insiste sur un dialogue ouvert pour s'assurer qu'il n'y ait « aucune dégradation de la sécurité ou des performances dont bénéficient actuellement nos clients ». D'autres considèrent que l'accès au noyau est fondamental pour une protection robuste.
Par ailleurs, cette transformation ne concerne pas que la sécurité en entreprise. Les joueurs sont aussi en première ligne. Les logiciels anti-triche fonctionnent eux aussi au niveau du noyau et ils devront s'adapter.
En parallèle, Microsoft prépare pour cet été une mise à jour de Windows 11 avec la fonctionnalité Quick Machine Recovery pour une récupération rapide des PC coincés dans une boucle de redémarrage après incident, en plus de la fin du BSOD sous sa forme actuelle.
