La panne géante créée par une mise à jour de CrowdStrike pourrait ne pas être seulement de la faute de cette entreprise. C’est en tout cas l’idée que laisse traîner Microsoft.
Mauvaise foi. Linux ou BSD donnent à n’importe quel outil de sécurité autant de droits que le noyau.
D’ailleurs, je trouve bizarre que la récup automatique de windows n’ait pas fonctionné dans ce cas, c’est une fonctionnalité assez magique de Windows.
Comment se fait il qu’Apple ait droit à un traitement de faveur par rapport à Microsoft ?
L’information provenant de Microsoft, il me semble assez important de la prendre avec des pincettes …
Enfin de toute, ça me semble surtout être une excuse plus qu’autre chose.
Que les machines aient planté, certes, mais pourquoi les fonctionnalités de récupération automatiques n’ont pas fonctionné ou seulement après un bon parquets de redémarrage ?
Pour moi Microsoft essaie de faire diversion …
En 2009 George Kurtz est le CEO de McAfee, quand une màj de ce dernier endommage Windows et en empêche le démarrage.
En 2024 George Kurtz est le CEO de Crowdstrike, quand une màj de ce dernier endommage Windows et en empêche le démarrage.
« Microsoft pointe l’UE pour ne pas avoir pu verrouiller davantage Windows »
Il suffisait d’observer le trafic aérien intérieur aux US durant cette panne qui a chuté de 90% pour se rendre compte que c’est la faute de l’Europe bien évidemment. Comme si les décisions de cette dernière avaient pour habitude d’avoir des influences de fonctionnement aux US…
J’ai trouvé ça concernant l’obligation à l’accès/documentation des API de Microsoft, Microsoft doit sans doute parler de ça : Microsoft dévoile des accords d’interopérabilité dans le cadre d’un règlement CE Redmondmag.com
L’article est factuellement faux et rédigé de manière à lancer des débats stériles entre pro MS et pro Apple. Il ne s’agit pas d’un traitement spécial pour MS/Windows. Apple y est aussi soumis.
La règle est : « si vous utilisez une API pour vos produits, les autres développeurs doivent aussi y avoir accès ». Le problème est que MS utilise des API noyaux pour ses produits de sécurité (AV et EDR)et les autres dev doivent donc aussi y avoir droit.
MS pourrait très bien faire comme Apple fait et fournir des API userland pour les produits de sécurité et forcer tout le monde (y compris eux) à les utiliser. Ils pourraient alors verrouiller l’accès au kernel.
C’est ce qu’Apple a fait ces dernières années. Ils ont fait un très gros et bon boulot en forçant les développeurs (y compris ceux de CrowdStrike, ce qui explique que les mac n’aient pas été touchés) à sortir du noyaux et à utiliser leurs nouvelles APIs userland pour les produits de sécurité (firewall et AV), les drivers matériel etc. À l’époque ils se sont mis beaucoup de développeurs à dos parce qu’il leur a fallu tout redev… aujourd’hui on se rend compte que ce n’était pas une mauvaise décision
C’est impossible que cette mise à jour ait passé les contrôles qualité, qui consistent notamment à déployer la mise à jour sur une batterie de machines tests avant de distribuer. CrowdStrike n’est pas une petite entreprise, il est impossible qu’il fasse preuve d’amateurisme. La fuite massive de données survenues quelques jours après est curieux…
C’est à priori à une étape ultérieure que ça a merdé, distribuant un fichier « vide » au lieu de celui qui était censé être distribué.
Et oui, ce genre de choses arrivent, même avec des processus de contrôle qualité automatisé.
Ce n’est qu’une compilation de données issues de multiples fuites précédentes.
Ce que dit Microsoft est tout à fait vrai. Cela a commencé en 2006, dans Vista. A l’époque, Microsoft a essayé de sécuriser l’accès au kernel avec patchguard. Symantec s’est plaint, Microsoft a proposé une api pour permettre aux développeurs de sécurité de continuer à accéder au noyau tout en empêchant les crashs comme celui de crowstrike.
Symantec a porté plainte après de l’Union européenne pour forcer Microsoft à permettre un accès direct au noyau sans passer par des api. L’Union européenne a suivi et quelques années plus tard a forcé Microsoft à accepter un accord l’empêchant de se protéger contre le fonctionnement des éditeurs de sécurité. Tout cela parce que les éditeurs de sécurité disait que les empêcher de modifier le noyau comme ils voulaient ralentissait l’innovation.
Tout est dans les articles clinic de l’époque:
Symantec qui rejette l’api Microsoft et exige un accès complet au noyau : Symantec : l'API Windows Vista ne suffira pas
La commission européenne qui entre dans la discussion : Europe : McAfee rejoint Symantec contre Vista
Julien, de Clubic, se posait les bonnes questions à l’époque: Vista et son noyau: problème pour les tiers ?
« la modification du noyau d’un système d’exploitation par des tiers, même de confiance, n’est-elle pas un facteur supplémentaire de failles de sécurité ? »
Depuis cette époque, la sécurité du noyau a été augmentée mais le blocage légal de l’Union européenne a rendu Microsoft dépendant des éditeurs de sécurité. Ils ne peuvent pas, légalement, se protéger de leurs erreurs
C’est une inversion des responsabilités. Microsoft n’est pas coupable de n’avoir pas automatiquement réparé les erreurs de crowstrike.
Et surtout, ils ne peuvent pas. Suite à l’histoire patchguard que je raconte au dessus, Microsoft a du fournir un accès total à son os. Crowstrike intervient à un niveau tellement bas qu’il bloque les processus de réparation.
Je ne comprends pas ton point.
Quand l’Union européenne demande une modification, elle est intégrée dans Windows pour le monde entier. Il n’ya pas un build de Windows par pays.
Qui peut croire qu’une tel société spécialisé en sécurité est pu passer à coté d’un tel bug.
C’est bien plus profond et pendant ce temps là poutine rigole car ils n’utilisent pas crowdstrike…
Et microsoft qui accuse UE, si c’était la cas Microsoft aurait eu une politique différente pour les USA comme il le font pour d’autres demandes propres UE et n’aurait pas été impacté.
Écoute, soit n’a pas lu les messages au-dessus, soit tu le fais exprès.
Ah, première nouvelle ?
Dans l’idée, ce n’est pas idiot, par contre, comme toujours, il y a la réalité :
Développer une solution de ce type européenne, la souveraineté, dans ce genre de softwares c’est bien, non ?
Sauf que …
C’est le genre d’applications qui ne se développe pas en un claquement de doigts, d’autant plus que ça poserait un certains nombre de défis : Déjà, si l’UE souhaiterait partir sur UNE solution européenne (ou un type de avec des options, toutes les entreprises n’ont pas les mêmes besoins), qui devrait piloter le projet ?
Avec quel budget ? (on rappelle que l’ED s’oppose à tous les projets européens, parce que coutant trop cher évidemment )
Et SURTOUT, avoir une système de protection européen c’est bien, MAIS si c’est pour le coller sur des OS américains … La logique est pas ouf ouf.
Ce qui est « génial » avec Internet, c’est que cela permet à des personnes qui n’y connaissent rien dans un domaine (ce qui n’est pas grave) d’émettre des idées séduisantes sur le papier, mais en pratiques très difficiles ou impossible dans un temps court à mettre en place.
Et les personnes peuvent évidemment se plaindre que les choses ne bougent pas, etc etc …
Ah et bien sûr, je rappelle également qu’émettre une idée de ce genre (comme pour les fakes news) prend littéralement quelques secondes, alors que prouver que bah ça ne marche pas aussi facilement prend des plombes.
@Jasmin Je n’oublie rien du tout.
TU parles de l’UE dans ton message, je te réponds sur la base de ce que tu indiques.
Après, concernant les politiques et l’informatique, j’ai quand-même l’impression que la plupart (pas tous et on a parfois de bonnes surprises) sont à l’ouest sur ce type de sujets.
Tu mélanges un peu tout. Les articles que tu link parlent de PatchGuard, une techno empêchant les éditeurs d’AV/EDR de mettre des hooks partout dans le noyau (ce qui était source de pas mal d’instabilités). Ça avait fait effectivement du bruit, les éditeurs ayant la flemme de recoder leur produit (et ils perdaient de fait en souplesse et en source d’information pour détecter des menaces). MS avait effectivement (depuis le départ) mis en place une API permettant de faire la même chose que les hooks (enfin en plus restreint mais je ne vais pas non rentrer dans les détails techniques) mais cette API était toujours kernel, pas du tout userland. Ça n’a donc rien à voir avec le fait d’empêcher les éditeurs d’AV d’être en kernel, juste de les empêcher de faire (trop) n’importe quoi en modifiant le code du kernel à grand coup de hache.
Patchguard n’a pas du tout été retiré et est toujours bel et bien en place. VBS (Virtualisation Based Security) va d’ailleurs beaucoup plus loin pour protéger l’intégrité du noyau.
Encore une fois la décision de l’Europe n’est pas de forcer MS à donner l’accès au kernel, l’UE s’en fiche bien. La décision concerne les pratiques anti-concurrentielles de MS qui utilisait des APIs/accès privilégiés/privées réservées à ses outils sans les mettre à disposition de ses concurrents.
C’est écrit noir sur blanc sur le doc : Microsoft shall ensure that third-party software products can interoperate with Microsoft’s Relevant Software Products using the same Interoperability Information on an equal footing as other Microsoft Software Products. (“Interoperability Commitment”)
Demande-toi pourquoi tout à été retiré du mode noyau: imprimante, drivers, carte graphique, et pas les éditeurs d’antivirus.
Ils ont refusé d’utiliser patch guard et se sont appuyé sur la décision européenne pour garder un accès, menaçant de procès si Microsoft les en empêchaient.
Crowstrike s’est retrouvé dans la situation où ils tournent en mode noyau et sortent des patches mondiaux toutes les heures. De la folie!
Demande-toi pourquoi tout à été retiré du mode noyau: imprimante, drivers, carte graphique, et pas les éditeurs d’antivirus.
Parce que c’est plus simple, plus pratique, moins cher et encouragé par Microsoft.
Ils ont refusé d’utiliser patch guard et se sont appuyé sur la décision européenne pour garder un accès, menaçant de procès si Microsoft les en empêchaient.
C’est faux… Encore une fois, PatchGuard n’a pas à être « utilisé », il s’agit d’une protection qui est présente. Les AV n’ont pas d’autre choix que de s’en accommoder en utilisant les APIs misent à disposition. Ils se sont bel et bien pliés devant les exigences de MS. Et encore une fois, au risque de me répéter, ce n’est pas l’UE qui impose ça, c’est juste la flemme de MS de mettre en place une API et de modifier ses propres produits pour les utiliser.