OK. En attendant, il n’y a pas de driver tiers sur les OS mobiles d’Apple, et aucun accès direct au noyau pour aucune application tierce. Sur macOS, les Kernel Extensions vivent leurs derniers instants, et les solutions d’EDR doivent passer par l’EndPoint Security Framework, elles n’ont pas non plus les priviléges noyau. Et ça n’a pas toujours été le cas, c’est juste que ça évolue, justement pour éviter les crashs du noyau.
Ce qui est clair, c’est qu’on peut trouver des solutions pour que les logiciels tiers n’aient jamais les privilèges du noyau, même pour des solutions de sécurité. « Performance et complexité » sont des excuses pour ne surtout rien faire évoluer. Les couches basses de Windows sont fragiles et n'évoluent pas. > Le 19 juil. 2024 à 16:01, Olivier Varenne via frnog <frnog@frnog.org> a écrit > : > > Sauf que la solution micro kernel, dont on parle depuis longtemps quand meme, > se heurte toujours à des soucis de performance et de complexité. > > > > Cordialement, > > > > Olivier Varenne > Président, R&D et développement > T +33 (0)4 27 04 40 00 | ipconnect.fr > > Suivez-nous ! > > >> -----Message d'origine----- >> De : Philippe ASTIER <phili...@astier-consulting.fr> >> Envoyé : vendredi 19 juillet 2024 14:28 >> À : Olivier Varenne <o.vare...@ipconnect.fr> >> Cc : David Ponzone <david.ponz...@gmail.com>; Erwan David >> <er...@rail.eu.org>; frnog@frnog.org >> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes >> Windows >> >> Il y a des OS où les extensions au noyau deviennent interdites (macOS) >> ou n’ont jamais existé (iOS/iPadOS). >> Les System Extensions existent, mais elles ne s’exécutent pas avec les >> privilèges du noyau du tout. >> >> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée >> fournis par l’éditeur. >> >> Ce n'’est pas nouveau comme concept, les premiers micro-kernels des >> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau. >> >> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau ou >> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne peut >> pas corrompre le kernel space. >> >> >> Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi >> vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…) >> >> >> On se rend compte que le bud de CriwdStrike empêche le boot, et que >> donc (a priori pour le moment), la seule solution est de passer >> MANUELLEMENT sur chaque poste concerné ? >> C’est le scenario cauchemar. >> >> >> Donc oui, l’écriture même des OS de Microsoft est un risque. >> CrowdStrike s’est planté en beauté, mais MS le favorise... >> >> >>> Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog <frnog@frnog.org> >> a écrit : >>> >>> Je ne vois pas comment tu peux éviter à 100% un bsod/kernel panic. >> Tu as des applis/drivers qui DOIVENT fonctionner en kernel mode. Tu >> n'as juste pas le choix... >>> >>> Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez >> moi si je me trompe) viable techniquement/commercialement n'existe à >> ce jour, c'est un peu fort de café... >>> >>> >>> >>> >>> >>> Cordialement, >>> >>> >>> >>> Olivier Varenne >>> Président, R&D et développement >>> T +33 (0)4 27 04 40 00 | ipconnect.fr >>> >>> Suivez-nous ! >>> >>> >>>> -----Message d'origine----- >>>> De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part >> de >>>> David Ponzone Envoyé : vendredi 19 juillet 2024 13:30 À : Erwan >> David >>>> <er...@rail.eu.org> Cc : frnog@frnog.org Objet : Re: [FRnOG] >> [ALERT] >>>> Panne Crowdstrike sur les systèmes Windows >>>> >>>> Ok je connais pas crowdstrike et à quel point il a accès bas niveau >>>> dans Windows. Mais cela signifie qu’en 2024, Microsoft en est >> encore >>>> à des BSOD causés par des applications. >>>> C’est l’action MS qui devrait baisser, pas Crowdstrike. >>>> >>>> Ensuite, crowdstrike protège de trucs tellement critiques qu’il est >>>> inimaginable de retarder les mises à jour de la base de signatures de >>>> 24h ? >>>> >>>> Question subsidiaire: cela va-t-il modifier l’habituel politique des >>>> DSI « j’ai pris MS parce qu’on pourra pas me le reprocher ». >>>> >>>> David Ponzone >>>> >>>> >>>> >>>>> Le 19 juil. 2024 à 10:40, Erwan David <er...@rail.eu.org> a écrit >> : >>>>> >>>>> >>>>>> Le 7/19/24 à 10:33, David Ponzone a écrit : >>>>>> Mais je comprends pas comment c’est possible. >>>>>> Y a des serveurs Windows avec les mises à jour auto activées ? >>>>>> >>>>>> David >>>>> Au moins les mises à jour des signatures crowdstrike... >>>>> >>>>> >>>>> --------------------------- >>>>> Liste de diffusion du FRnOG >>>>> http://www.frnog.org/ >>>> >>>> >>>> --------------------------- >>>> Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
