Sauf que la solution micro kernel, dont on parle depuis longtemps quand meme, se heurte toujours à des soucis de performance et de complexité.
Cordialement, Olivier Varenne Président, R&D et développement T +33 (0)4 27 04 40 00 | ipconnect.fr Suivez-nous ! > -----Message d'origine----- > De : Philippe ASTIER <phili...@astier-consulting.fr> > Envoyé : vendredi 19 juillet 2024 14:28 > À : Olivier Varenne <o.vare...@ipconnect.fr> > Cc : David Ponzone <david.ponz...@gmail.com>; Erwan David > <er...@rail.eu.org>; frnog@frnog.org > Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes > Windows > > Il y a des OS où les extensions au noyau deviennent interdites (macOS) > ou n’ont jamais existé (iOS/iPadOS). > Les System Extensions existent, mais elles ne s’exécutent pas avec les > privilèges du noyau du tout. > > Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée > fournis par l’éditeur. > > Ce n'’est pas nouveau comme concept, les premiers micro-kernels des > années 1990 n’avaient déjà pas leurs drivers au niveau du noyau. > > Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau ou > reboot pour ajouter ou enlever des drivers. Un driver qui plante ne peut > pas corrompre le kernel space. > > > Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi > vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…) > > > On se rend compte que le bud de CriwdStrike empêche le boot, et que > donc (a priori pour le moment), la seule solution est de passer > MANUELLEMENT sur chaque poste concerné ? > C’est le scenario cauchemar. > > > Donc oui, l’écriture même des OS de Microsoft est un risque. > CrowdStrike s’est planté en beauté, mais MS le favorise... > > > > Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog <frnog@frnog.org> > a écrit : > > > > Je ne vois pas comment tu peux éviter à 100% un bsod/kernel panic. > Tu as des applis/drivers qui DOIVENT fonctionner en kernel mode. Tu > n'as juste pas le choix... > > > > Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez > moi si je me trompe) viable techniquement/commercialement n'existe à > ce jour, c'est un peu fort de café... > > > > > > > > > > > > Cordialement, > > > > > > > > Olivier Varenne > > Président, R&D et développement > > T +33 (0)4 27 04 40 00 | ipconnect.fr > > > > Suivez-nous ! > > > > > >> -----Message d'origine----- > >> De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part > de > >> David Ponzone Envoyé : vendredi 19 juillet 2024 13:30 À : Erwan > David > >> <er...@rail.eu.org> Cc : frnog@frnog.org Objet : Re: [FRnOG] > [ALERT] > >> Panne Crowdstrike sur les systèmes Windows > >> > >> Ok je connais pas crowdstrike et à quel point il a accès bas niveau > >> dans Windows. Mais cela signifie qu’en 2024, Microsoft en est > encore > >> à des BSOD causés par des applications. > >> C’est l’action MS qui devrait baisser, pas Crowdstrike. > >> > >> Ensuite, crowdstrike protège de trucs tellement critiques qu’il est > >> inimaginable de retarder les mises à jour de la base de signatures de > >> 24h ? > >> > >> Question subsidiaire: cela va-t-il modifier l’habituel politique des > >> DSI « j’ai pris MS parce qu’on pourra pas me le reprocher ». > >> > >> David Ponzone > >> > >> > >> > >>> Le 19 juil. 2024 à 10:40, Erwan David <er...@rail.eu.org> a écrit > : > >>> > >>> > >>>> Le 7/19/24 à 10:33, David Ponzone a écrit : > >>>> Mais je comprends pas comment c’est possible. > >>>> Y a des serveurs Windows avec les mises à jour auto activées ? > >>>> > >>>> David > >>> Au moins les mises à jour des signatures crowdstrike... > >>> > >>> > >>> --------------------------- > >>> Liste de diffusion du FRnOG > >>> http://www.frnog.org/ > >> > >> > >> --------------------------- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
