Panne CrowdStrike : qui est (réellement) responsable ?
Qui est donc responsable de la panne géante de nombreux terminaux et services Microsoft liée à une mise à jour de CrowdStrike ? La panne est intervenue suite à une mise à jour de l'antivirus. Puis ce fut l'effet domino avec plus de 8 millions de PC en panne !
L'outil de CrowdStrike en cause possède les droits bas niveau pour accéder au noyau du système. Le logiciel tiers joue le rôle de Windows Defender. Depuis 2009, Microsoft permet des éditeurs tiers de jouer ce rôle critique. Avec l'Europe, un accord fut trouvé pour permettre ces accès tiers et ne pas fermer strictement le noyau.
Rappelons que Microsoft n'est pas responsable de la panne car il s'agit d'un éditeur tiers qui en est la cause. Cependant, très vite, le géant fut mis en cause. Mais cela met tout de même en avant un point essentiel : une mauvaise mise à jour au niveau noyau peut faire crasher les PC !
Apple avait décidé de fermer les accès bas niveau pour des questions de sécurité. Microsoft a précisé il y a quelques jours que cette fermeture à la Apple du noyau n'était pas possible... une conséquence de l'accord avec l'Europe.
Faut-il pour autant accuser Microsoft et lui faire porter la faute de la mise à jour : CrowdStrike a certes fait un mauvais patch mais n'est-ce à Windows de contrôler et de vérifier pour éviter un blocage ?
L'accès bas niveau, avec les mêmes droits et API, a été demandé par l'Europe et c'est documenté depuis 2009 même si comme le rappelle nos confrères Next INpact, l'accès direct au noyau n'était pas demandé mais d'avoir les mêmes fonctionnalités et accès que les logiciels Microsoft.
Microsoft cherche-t-il par ce biais de dire qu'il ne peut sécuriser le noyau et l'architecture de bas niveau à cause de cet accord avec l'Europe ? L'espace noyau est un élément d'architecture sensible car cela permet d'accéder au coeur de l'OS ce qui peut être potentiellement dangereux si une extension ou un pilote est mal codé ou possède des failles.
Apple, pour des raisons de sécurité et de robustesse de l'OS, avait fini par interdire l'espace noyau (extension kernel). Les éditeurs se sont adaptés. Cela explique pourquoi les machines Apple n'ont été impactées par la panne. Sur les OS Windows et Linux, l'éditeur utilise le niveau noyau.
Plusieurs questions se posent :
- qui est finalement responsable : uniquement CrowdStrike pour la mise à jour défectueuse ?
- Microsoft est-il indirectement responsable pour ne pas fermer l'espace noyau et limiter les accès tiers comme le fait macOS ?
Cette panne pourrait avoir un bénéfice : revoir la sécurité noyau de Windows, fermer son accès tiers et imposer un accès moins critique pour éviter des kernel panics.
L'affaire ne fait que commencer.