Microsoft éloigne les antivirus du noyau Windows pour éviter un " CrowdStrike bis "

Les éditeurs d'antivirus pour Windows vont devoir s'y faire : à terme, ils ne pourront probablement plus toucher au noyau.

La question est sensible, mais l'épisode CrowdStrike a apporté de l'eau au moulin de Microsoft. Le groupe américain avance désormais ouvertement dans ce sens. En juillet, il commencera à expérimenter, auprès de membres de son programme MVI (Microsoft Virus Initiative), une version expérimentale de la "Windows endpoint security platform". Celle-ci doit leur permettre de "développer des solutions fonctionnant hors du kernel".

CrowdStrike a maintes fois manifesté ses craintes face à cette perspective. Son EDR Falcon pourrait être moins efficace dans de telles conditions, a-t-il expliqué. Surtout contre des attaquants qui auraient acquis des privilèges assez élevés pour désactiver les outils de sécurité en userspace.

Microsoft avait déjà, pendant un temps dans les années 2000, mis une barrière à l'accès au noyau. Il avait en l'occurrence empêché les tierces parties de le patcher, à travers la technologie PatchGuard, introduite avec Windows Vista. Plusieurs éditeurs d'antivirus avaient haussé le ton. Dont Symantec, qui avait porté le dossier auprès de la Commission européenne. Microsoft, alors sous pression pour d'autres motifs (bundling d'Internet Explorer et du lecteur Windows Média), avait accepté de rouvrir l'accès kernel. Plus précisément sur les éditions 64 bits de Vista, pour les fournisseurs de logiciels de sécurité.

De l'exécution à la récupération, la promesse d'un Windows plus "résilient"

La "Windows enpoint security plaform" s'inscrit dans la démarche dite Windows Resiliency Initiative (WRI). Annoncée en novembre 2024, elle s'étend sur quatre grands axes :

• Renforcer la fiabilité de Windows à partir des leçons de l'incident CrowdStrike
• Permettre à davantage d'applications de fonctionner sans privilèges admin
• Mieux contrôler ce qu'applications et pilotes sont autorisés à exécuter
• Améliorer la protection des identifés pour empêcher les attaques par phishing

Dans ce cadre, les critères à respecter pour faire partie du prrogramme MVI ont été durcis. Entre autres par l'imposition de "pratiques de déploiement sûres" (comprendre essentiellement l'exploitation d'anneaux : commencer par un petit groupe test, puis élargir progressivement la population).

Autre technologie placée sous la bannière WRI : Quick Machine Recovery. Actuellement en version expérimentale, elle utilise un environnement de récupération connecté à Windows Update pour tenter de résoudre automatiquement les problèmes de démarrage.

Microsoft prévoit également la suppression par défaut des privilèges administrateur sur les nouveaux PC.

Illustration © Ilya - Adobe Stock