IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Pour réparer l'écran bleu de la mort provoqué par la mise à jour défectueuse de CrowdStrike, il suffit de redémarrer 15 fois d'affilée,
Selon Microsoft

Le , par Mathis Lucas

19PARTAGES

7  0 
Microsoft a proposé plusieurs solutions à la panne mondiale qui a mis hors service des millions de machines à travers le monde, dont l'une d'elles consiste à éteindre et rallumer l'appareil jusqu'à 15 fois. L'entreprise a déclaré avoir remarqué que certaines machines virtuelles Azure sont mises à jour avec succès via l'agent CrowdStrike Falcon après plusieurs redémarrages manuels de la machine virtuelle. Microsoft a prévenu que ses clients pourraient devoir redémarrer jusqu'à 15 fois avant de réussir à restaurer leurs systèmes. La panne mondiale du 19 juillet est considérée par les experts comme la plus grande panne informatique jamais survenue.

Des entreprises du monde entier ont été confrontées le 19 juillet au redoutable écran bleu de la mort (BSOD) de Windows après une mise défectueuse de la société de cybersécurité CrowdStrike. Cette panne géante a paralysé de nombreuses entreprises de nombreux secteurs, laissant les victimes à la recherche de solutions immédiates pour satisfaire leurs clientèles et éviter des pertes financières colossales. CrowdStrike a corrigé la mise à jour à l'origine du problème, mais de nombreux systèmes sont restés hors ligne plusieurs heurs après la panne. Certaines entreprises ont eu du mal à mettre leurs systèmes à jour ensuite.


Les administrateurs informatiques ont tenté d'utiliser une première solution de contournement fournie par CrowdStrike, qui consiste à démarrer les systèmes Windows en mode sans échec et à supprimer le fichier système appelé "C00000291*.sys", qui semble lié au bogue. Ils doivent suivre les étapes suivantes :

  1. démarrer Windows en mode sans échec ou dans l'environnement de récupération Windows ;
  2. accéder au répertoire C:\NWindows\NSystem32\Ndrivers\NCrowdStrike ;
  3. localiser le fichier correspondant à "C-00000291*.sys" et le supprimer ;
  4. démarrer l'hôte.


Ces étapes obligent Windows à démarrer dans un environnement en mode sans échec où les pilotes tiers, tels que le pilote de CrowdStrike au niveau du noyau, ne peuvent pas se charger. Les administrateurs informatiques doivent alors localiser le pilote défectueux sur le disque et le supprimer. Cette solution de contournement nécessite, dans la plupart des cas, un accès physique à la machine. Et dans certains environnements, cela peut être compliqué par le chiffrement du disque (comme la technologie BitLocker Drive Encryption) ou même par l'absence de droits d'administrateur pour pouvoir supprimer le pilote défectueux.

L'autre option consiste à attendre que le correctif de CrowdStrike arrive, mais il est difficile de l'obtenir. Certains administrateurs informatiques se contentent de redémarrer les machines encore et encore, en espérant que la mise à jour de CrowdStrike sera transmise par la pile réseau avant que le moteur de protection de CrowdStrike ne s'initialise et ne provoque un BSOD sur la machine. Le fait d'éteindre et de rallumer les machines semble fonctionner pour certains, avec des rapports de machines qui reviennent en ligne après avoir été redémarrées plusieurs fois. Microsoft a conseillé à ses clients d'essayer cette technique :

Citation Envoyé par Microsoft

Mise à jour à 10:30 UTC le 19 juillet 2024 :

Nous avons reçu des rapports de récupération réussie de la part de certains clients qui ont tenté des opérations de redémarrage de plusieurs machines virtuelles sur les machines virtuelles affectées. Nous avons reçu des commentaires de clients indiquant que plusieurs redémarrages (jusqu'à 15 ont été signalés) peuvent être nécessaires, mais dans l'ensemble, les commentaires indiquent que les redémarrages sont une étape de dépannage efficace à ce stade.
Le serveur de mise à jour et les réseaux de diffusion de contenu de CrowdStrike sont probablement surchargés par les millions de machines qui atteignent ses serveurs pour une mise à jour, de sorte que la méthode de redémarrage peut prendre un certain temps avant de fonctionner. Les clients qui utilisent des bureaux virtuels peuvent être en mesure de récupérer plus rapidement que les autres en restaurant simplement les hôtes affectés à un point antérieur à la mise à jour défectueuse de CrowdStrike qui a fait des ravages. La page d'état de Microsoft indique que la panne semble résolue dans toutes les régions du monde.

George Kurtz, PDG de CrowdStrike, s'est excusé pour les dommages causés par la mise à jour de CrowdStrike, mais il y a des questions sur la manière dont une telle mise à jour défectueuse a pu atteindre des millions de machines dans le monde entier. Des entreprises et des institutions du monde entier ont été mises hors service à la suite de cette panne informatique majeure. De grandes infrastructures, notamment des compagnies aériennes et ferroviaires, des banques et des médias, se sont arrêtées. Rien que dans le secteur du transport aérien, plus de 1 000 vols ont été annulés dans les premières heures de la panne.

Avant que CrowdStrike ne reconnaisse son rôle dans le crash, les entreprises et les experts en sécurité ont commencé à pointer du doigt la société, dont le logiciel est utilisé par des millions de personnes dans les entreprises pour gérer la sécurité des appareils et des serveurs. Selon le site Web de l'entreprise, CrowdStrike compte parmi ses clients près de 60 % des entreprises du classement Fortune 500 et plus de la moitié des entreprises du classement Fortune 1 000. Ses services sont déployés par huit des dix plus grandes sociétés de services financiers et par un nombre équivalent d'entreprises technologiques de premier plan.

L'entreprise est aussi très présente dans les secteurs de la santé et de l'industrie manufacturière, puisqu'elle dessert respectivement six et sept des dix premières entreprises de ces secteurs. Le retour à la normale se dessine progressivement, mais certaines explications sont encore floues. Cependant, la panne géante du 19 juillet montre que la prédominance des produits logiciels d'une seule entreprise, en l'occurrence Microsoft, peut constituer un point de faiblesse.

Cette panne mondiale souligne l’importance de la vigilance en matière de cybersécurité et de la nécessité de mettre en place des protocoles de gestion des mises à jour. Les entreprises doivent investir dans des solutions de sécurité robustes et communiquer efficacement avec leurs clients pour minimiser les perturbations en cas de défaillance du système. Elle met également en exergue la vulnérabilité des solutions basées sur le cloud, qui peuvent entraîner un effet boule de neige.

« Selon nous, les produits de cybersécurité doivent répondre à des critères de fiabilité et de sécurité plus élevés dans les déploiements des clients que les autres produits technologiques, car ils sont essentiels à la mission et activement attaqués par les adversaires », ont écrit les analystes de Goldman Sachs dans une note de recherche vendredi.

Les analystes ont ajouté : « d'une certaine manière, nous pensons que cela renforcera la barrière à l'entrée dans le secteur et la nécessité d'avoir les meilleurs protocoles de mise à jour, de panne et de service à la clientèle, ce qui favorisera en fin de compte les entreprises d'envergure ».

Source : Microsoft

Et vous ?

Quel est votre avis sur le sujet ?
Que vous inspire la panne informatique mondiale de Microsoft ? Quelles leçons doit-on en tirer ?
Quels sont les risques liés à la prédominance des logiciels d'une seule entreprise dans les infrastructures technologiques mondiales ?

Voir aussi

Une panne chez Microsoft provoquée par une mise à jour logicielle de CrowdStrike a des répercussions mondiales, touchant divers secteurs tels que les compagnies aériennes, les banques, les organismes de santé

De nombreux développeurs « n'ont pas les connaissances et les compétences essentielles pour développer efficacement des logiciels sécurisés », l'éducation et la formation sont requises, selon la Fondation Linux

SAP AI Core : les vulnérabilités de l'IA, surnommées « SAPwned », exposent les environnements cloud et les données privées des clients, selon Wiz Research

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Leruas
Membre éclairé https://www.developpez.com
Le 22/07/2024 à 20:47
Maintenant qu'on connait la raison du bug (et que cela arrive dans 100% des cas avec ce patch), comment cela se fait qu'ils n'aient pas vu ce problème sur leurs machines de test en QA ?
7  0 
Avatar de TotoParis
Membre expérimenté https://www.developpez.com
Le 22/07/2024 à 20:30
Il y a l'explication technique ici : https://macbidouille.com/news/2024/0...0-adresse-0x9c

[h=2]CrowdStrike: une lecture mémoire via un pointeur visant la page 0 (adresse 0x9c)[/h] Par Philippe - Dimanche 21 juillet, 14:09 - Catégorie : PC

Il y a eu plusieurs hypothèses qui ont été relayées y-compris ici-même et par votre serviteur, dont une erreur dans les règles ou patterns de détection de virus, qui auraient alors mis en quarantaine des fichiers indispensables à Windows.
Cela ne collait pas avec le fix rapide consistant à éliminer un fichier .sys, puisqu'il aurait alors fallu aussi ramener le ou les fichiers en quarantaine dans leurs emplacements d'origine.
Ça aurait du attirer mon attention. Mais les informations reçues étaient contradictoires.
Grâce à Zach Vorhies on a une piste très crédible.
Non un "Null Pointer" (Pointeur nul valant 0) comme il l'indique, pas un "
" (déréférencement mémoire d'un pointeur valant 0), mais une lecture indirecte de la page 0 via un pointeur non-null (à l'adresse 0x9c précisément).
La page 0 est protégée des accès en lecture et en écriture par le Kernel de Window justement pour provoquer une exception lors de ceux-ci car c'est une erreur courante en assembleur, en C et dans tous les langages où le programmeur gère lui-même les pointeurs via son code.
On ne peut pas protéger matériellement uniquement l'adresse 0, c'est donc toute la page qui est protégée.
L'accès à cette page, que ça soit en lecture ou en écriture, déclenche une Exception de type Violation d'Accès, et généralement l'arrêt du programme si en mode utilisateur.
En mode Kernel, comme c'est le cas ici, cette Exception déclenche le crash du Kernel et donc de Windows!
C'est le jeu de données utilisé "Channel 291" du produit Sensor de CrowdStrike, destiné aux versions sous Windows 7.11 et suivant qui a généré une erreur de logique, expliquant que le problème ne se produise pas sous macOS ou Linux.
Les cause-racines sont une non-validation des données lues par le code (un grand classique), d'avoir poussé une MàJ non validée, d'avoir mis des données corrompues dans une MàJ, et de ne pas avoir procédé à des tests corrects.
CrowdStrike va vraiment avoir des réponses à apporter...
5  0 
Avatar de Eric80
Membre éclairé https://www.developpez.com
Le 23/07/2024 à 17:04
Citation Envoyé par fmartini Voir le message
En effet, le réseau intradef (l'intranet standard de l'armée française) est entièrement coupé d'internet.
ce qui est bien plus pertinent que des solutions tjs connectées.

Le gars ds l interview parle bien des systèmes Microsoft imposés dans les différents ministères, dont la défense. Comme il dit, pour des raisons évidentes de souveraineté, l armée se méfie énormément de Windows et fait tout pour éviter que les infos transitent trop vers MS et la NSA...
5  0 
Avatar de floyer
Membre éclairé https://www.developpez.com
Le 29/08/2024 à 15:33
N’importe quel OS qui permet des extensions en mode noyau s’expose à ce risque. Les différents OS type UNIX n’y échappent pas. (D’ailleurs une mise à jour de Crowdstrike a provoqué des kernel panic sur Linux).

L’architecture de Windows depuis NT n’a rien à voir avec DOS, contrairement à ce que tu sembles dire.

L’approche qui changera vraiment quelque chose est le micronoyau (Mach, QNX, SeL4…) et encore, si un module est un SPOF (typiquement un système de fichier), un défaut dans ce module compromet le fonctionnement du système. Cette approche pourrait rogner un peu les performances… mais pour des applications critiques, pourquoi pas. (Cela me rappelle l’arrivée d’OS/2 où la presse s’indignait oh là là, on perd 2% de performances par rapport à un OS non sécurisé)

Et le principe de mise à jour automatique est vraiment le cœur du problème. Imaginons Oracle « pousser » une nouvelle pile Java à l’insu des développeur et exploitant… même si elle ne tourne qu’en mode utilisateur, cela peut bloquer beaucoup d’applications potentiellement critiques.
5  0 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 24/07/2024 à 15:17
Citation Envoyé par weed Voir le message
Il faudrait intérroger longuement les DSI des grands groupes, des institutions publics qui font les choix des OS. Connaitre la vrai raison de l'usage de tel OS plutot qu'un autre. Je reste persuadé qu'il y a du lobby, et donc on ne peut pas partler de lobby.

Après il ne faut pas allé dans l'exagération de dire qu'il est le buggé. Aller dans les extrèmes n'est jamais bon. Il faut avant tout de la diversité, et ne pas avoir de dés pipés sur le marché des OS..
Parler de "lobby"? Mais c'est proprement scandaleux comme affirmation

Par contre les petits week-end prolongés pour Monsieur et madame, tout frais payé, débutant le jeudi jusqu'au lundi suivant, dans un hôtel de luxe, dans un pays chaud pour présenter une nouvelle solution à quelques DSI bien choisis, présentation qui dure 1 heure sur toute la durée du week-end, sans qu'une présence soit exigée... ça oui! Mais franchement parler de "lobby"
4  0 
Avatar de archqt
Membre émérite https://www.developpez.com
Le 22/07/2024 à 12:18
Ils vont devoir passer à la caisse pour paye tout cela, pas sûr qu'ils s'en remettent. Prenons des billets à 100€ de moyenne (pas cher) 140 personnes par avion cela fait 14000€ de pertes pour les vols x 2000=28 millions (et je suis gentil).

Je pense que les compagnies vont demander un dédommagement.
3  0 
Avatar de OuftiBoy
Membre éprouvé https://www.developpez.com
Le 22/07/2024 à 13:45
Bonjour à tous,

1./ Y'a-t-il quelqu'un qui sait pourquoi il faut redémarrer 15x (et non pas 7x ou 26x, ou mieux, 1 seule fois) ?

2./Y'a-t-il quelqu'un qui sait pourquoi il faut tant de temps pour que le driver responsable soit corrigé et disponible ? J'ai bien entendu dire qu'il s'agissait d'un bug, donc c'est que ce bug a été identifié, et donc pourquoi cela prend-t-il autant de temps pour corriger ou du moins contourner le soucis ?

3./ Une fois le driver corrigé, comment devra-t-il être installé ? Via une mise à jour ou en repassant par le mode sans échec ?

4./ Sait on quelles sont les différentes versions de Windows qui son impactée ?

5./ On parle le 8.5 millions de machines impactées, comment ont-elles été identifiées ?

6./ Le mode sans échec permet de ne pas charger les drivers. Microsoft peut-il faire une mise à jour qui empêche en mode normal que ce driver bien particulier de se charger ?

Merci d'avance pour m'éclairer sur ces différents sujets :-)

BàV et Peace & Love.
3  0 
Avatar de Zefling
Expert confirmé https://www.developpez.com
Le 22/07/2024 à 23:26
Quand je vois comment ça se passe, j'ai l'impression que les clients sont les beta-testeurs maintenant.
Nous, pour réduire au maximum les coûts, on va de plus en plus vers les zéro QA.
Il faut tout faire avec des tests, sauf qu'un développeur ne teste pas la même chose qu'un QA. Et je me rends bien compte avec les temps que c'est 2 domaines biens différents.
4  1 
Avatar de phil995511
Membre éprouvé https://www.developpez.com
Le 23/07/2024 à 14:25
Citation Envoyé par denisys Voir le message
Avec une bonne paire de lunette.
En relisant le titre de l’article.
L’article parle de Linux !!
On ne vous a semble-t-il ni appris la courtoisie, ni le respect des autres ;-(

Part ailleurs il n'y a aucune allusion à Linux dans l'article du 23 juillet 2024 "Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars".
3  0 
Avatar de weed
Membre chevronné https://www.developpez.com
Le 24/07/2024 à 0:22
Citation Envoyé par Eric80 Voir le message
ce qui est bien plus pertinent que des solutions tjs connectées.

Le gars ds l interview parle bien des systèmes Microsoft imposés dans les différents ministères, dont la défense. Comme il dit, pour des raisons évidentes de souveraineté, l armée se méfie énormément de Windows et fait tout pour éviter que les infos transitent trop vers MS et la NSA...
Sauf que l'amrée utilisent beaucoup de Microsoft, ils ont eu un gros contrat Microsoft en open bar, cela a fait pas mal scandale.
L'insitution qui a su mettre un stop est la gendarmerie mais en aucun cas l'armée.
3  0