Selon Microsoft, un accord d'interopérabilité imposé par la Commission européenne en 2009 pourrait avoir conduit l'éditeur de Windows à s'ouvrir ses technologies, ce qui a permet à un partenaire comme Crowdstrike de provoquer la récente panne mondiale. Dans une interview accordée au WSJ, un porte-parole de Microsoft a indiqué que l'accord aurait pu empêcher l'éditeur de verrouiller complètement le système d'exploitation Windows pour des raisons de sécurité. Les demandes de renseignements adressées à Microsoft n'ont toutefois pas suscité de réponse avant la publication de cet article.
L'« engagement d'interopérabilité » signé par Microsoft oblige le fournisseur à accorder aux éditeurs de logiciels de sécurité le même accès à Windows que Microsoft lui-même. « Microsoft doit garantir que les produits logiciels tiers peuvent interagir avec les produits logiciels pertinents de Microsoft en utilisant les mêmes informations d'interopérabilité sur un pied d'égalité avec les autres produits logiciels Microsoft », précise l'accord disponible sous forme de fichier Doc sur le site Web de Microsoft.
Les lois de l'UE imposent un accès ouvert aux API
Conformément à l'accord, Microsoft a été amené à fournir aux éditeurs de logiciels de sécurité tiers l'accès aux API utilisées par ses produits de sécurité dans les systèmes d'exploitation Windows Client et Server. En outre, l’éditeur de Redmond a été invité à documenter ces API sur le réseau des développeurs Microsoft, sauf si cela risquait de créer des risques de sécurité. L'UE a intensifié ses efforts pour lutter contre les comportements anticoncurrentiels des grandes entreprises technologiques, ce qui rend peu probable qu'elle autorise Microsoft à verrouiller davantage Windows, malgré les avantages potentiels. Outre les systèmes d'exploitation Windows Client et Server, les éditeurs de logiciels sont également autorisés, en vertu de l'accord, à accéder de manière fédérée aux applications de productivité PC de Microsoft, SharePoint, Outlook et Exchange, ainsi qu'au framework .NET.
Il est intéressant de noter que l'UE n'a pas réussi à trouver de telles conditions avec Apple ou Google, et que MacOS et ChromeOS restent tous deux exemptés de toute obligation d'inclusion. Cela peut être lié à la différence entre ces entreprises et Microsoft en termes de modèles commerciaux. Apple exploite une intégration fermée de ses logiciels, tandis que la plateforme Android open source de Google offre déjà beaucoup de transparence. Mais la position de Microsoft sur le marché des OS destinés aux postes de travail est clairement dominante si on la compare à MacOS et à ChromeOS.
La panne provoquée par CrowdStrike aurait pu être évitée
Bien que l'accord, en lui-même, vise à garantir un environnement concurrentiel équitable en permettant aux fournisseurs de logiciels tiers de s'intégrer et de fonctionner de manière transparente avec les produits de Microsoft, il n'est pas aussi formidable du point de vue de la sécurité, car il ouvre les systèmes critiques de Microsoft à l'accès de tiers et peut parfois même conduire à une perturbation massive comme dans le cas du récent fiasco du correctif CrowdStrike.
« Cela met en évidence le risque que représentent les systèmes ouverts et l’accès aux API pour les fournisseurs de sécurité, comme l’exigent les lois de l’UE », a déclaré Pareekh Jain, CEO et analyste principal chez Pareekh Consulting. « À l’avenir, les législateurs devront défendre la sécurité tout en prônant un accès ouvert et des conditions de concurrence équitables pour les sociétés de logiciels de sécurité. » La panne de CrowdStrike a été causée par un défaut détecté dans une mise à jour de l'agent de sécurité Falcon Sensor pour les hôtes Windows, comme l'a confirmé le CEO George Kurtz. Sans l'obligation d'interopérabilité, Microsoft aurait peut-être pu mettre en place des mesures pour empêcher la mise à jour d'être déployée sur d'innombrables machines Windows en seulement 79 minutes.
Commentaire