CrowdStrike fait ses excuses à Washington... mais défend son accès au noyau Windows
Publié par Clément Bohic le - mis à jour à
Devant le Parlement américain, Crowdstrike a réitéré les engagements annoncés après la panne mondiale de juillet. Sans céder de terrain sur les accès kernel.
Un peu comme si, aux échecs, vous tentiez de déplacer un pion sur une case inexistante...
Adam Meyers a employé cette analogie devant une commission parlementaire américaine. L'intéressé, qui dirige l'activité de renseignement sur les menaces chez Crowdstrike, était interrogé à propos de la panne mondiale survenue le 19 juillet dernier. Il suppléait son patron, qui avait auparavant décliné l'invitation à venir témoigner.
Ses déclarations ont repris les grandes lignes du rapport d'analyse publié début août. Pour résumer les choses, l'agent EDR Falcon pour Windows a reçu une mise à jour de configuration que son moteur de règles n'a pas su interpréter, faute d'une définition. Ce conflit, non détecté lors des tests, a entraîné un plantage au niveau du noyau. L'incident a affecté d'autant plus de machines - environ 8 millions selon le bilan officiel - que Crowdstrike n'a pas échelonné le déploiement.
L'éditeur a justement modifié sa politique sur ce point. Désormais, assure-t-il, le déploiement se fait par anneaux : on part d'un petit groupe test, puis on élargit progressivement la population, sur le même principe que les mises à jour de Windows, entre autres.
Il y a 15 ans, devant la Commission européenne...
Crowdstrike affirme qu'il a aussi renforcé son processus de validation, notamment pour s'assurer que le nombre d'inputs attendus par l'agent correspond au nombre de configurations de détection fournies. On nous promet aussi davantage de vérifications à l'exécution. Et, pour les clients, un contrôle plus fin sur la mise en place de ces mises à jour de configutation.
En filigrane, Adam Myers a fait remarquer que sans accès au kernel, l'EDR Falcon "pourrait être moins efficace". Surtout face à des attaquants qui auraient acquis des privilèges assez élevés pour désactiver les outils de sécurité en userspace.
Le CEO de Crowdstrike n'en a pas dit moins à ce sujet. Il n'a pas manqué d'ajouter que Microsoft, qui dispose de ce même niveau d'accès, a lui aussi commis des erreurs. Erreurs qui ont mené, en particulier, à l'épisode des "boîtes Exchange", dont la firme de Redmond a dû répondre devant le Congrès.
Microsoft a été prompt à incriminer l'Union européenne, qui aurait favorisé la survenue de cette panne mondiale. En toile de fond, un accord trouvé en 2009. Celui-ci faisait suite à une plainte de Symantec. Objet : la technologie PatchGuard. Introduite avec Windows Vista, elle empêchait les tierces parties de patcher le noyau. McAfee avait haussé le ton, soulignant qu'en parallèle, Microsoft avait intégré son propre Centre de sécurité, non désactivable.
Symantec avait porté ce dossier auprès de la Commission européenne. Microsoft, sous pression pour d'autres motifs (bundling d'IE et du lecteur Windows Média), avait accepté de rouvrir l'accès kernel. Plus précisément sur les éditions 64 bits de Vista, pour les éditeurs de logiciels de sécurité. Il leur permettait, en complément, de désactiver certains éléments du Centre de sécurité en cas d'installation d'une console tierce.
Illustration © Ilya - Adobe Stock