Lors de son sommet sur la cybersécurité du 10 septembre, Microsoft a annoncé des changements radicaux de Windows pour permettre aux solutions de sécurité des points d’accès de fonctionner efficacement en dehors du noyau du système d’exploitation. Cette annonce fait suite à la panne mondiale qui a affecté 8,5 millions de systèmes Windows en juillet dernier, à la suite d’une mise à jour de sécurité défectueuse de l’entreprise CrowdStrike.

Le changement de noyau est imminent, selon la firme de Redmond. L’objectif est de donner un accès « juste à temps » au noyau plutôt qu’un accès permanent. Microsoft déclare vouloir ainsi tenir compte des exigences des capteurs de sécurité et de la conception sécurisée pour permettre aux logiciels antivirus d’examiner les systèmes en toute sécurité dans un espace ou un environnement à privilèges réduits.

Microsoft s’engage à faire des « progrès rapides » sur les tests de composants critiques, le partage d’informations sur l’état des produits, l’efficacité de la réponse aux incidents et les tests de compatibilité entre diverses configurations.

« Le sommet de l’écosystème Windows Endpoint Security de Microsoft nous a donné l’occasion d’entamer un dialogue sur le pourquoi et le comment nous devons repenser des sujets importants, tels que les architectures de noyau, le risque de monocultures, les pratiques de déploiement sûres, la transparence des fournisseurs, et bien d’autres sujets encore », déclare Joe Levy, le PDG de Sophos et l’un des invités au sommet, dans un communiqué. « Avant la panne, la plupart des gens ne se demandaient pas qui avait accès au noyau, aux fonctions ELAM [Early Launch AntiMalware], aux mises à jour de données et à d’autres technologies qui permettent aux utilisateurs de bénéficier de protections mais qui nécessitent une planification technique et architecturale précise. Il est alarmant de constater que certaines entreprises de sécurité n’ont pas suffisamment réfléchi à ces questions ».

Un des autres sujets abordés par Microsoft est l’élaboration de meilleures pratiques : « Nous sommes confrontés à un ensemble commun de défis pour déployer en toute sécurité des mises à jour dans le vaste écosystème Windows, qu’il s’agisse de décider comment procéder à des déploiements mesurés avec un ensemble diversifié de points de terminaison ou de pouvoir interrompre ou revenir en arrière si nécessaire », déclare Microsoft. « L’un des principes fondamentaux des [Safe Deployment Practices (SDP)] est le déploiement progressif et échelonné des mises à jour envoyées aux clients. Microsoft Defender for Endpoint publie des SDP et de nombreux partenaires de notre écosystème, tels que Broadcom, Sophos et Trend Micro, ont également partagé leur approche des SDP ».

 La presse n’était pas conviée au sommet du 10 septembre mais Microsoft et quelques entreprises participantes ont fait part publiquement de certaines des conclusions de cet événement.