Des entreprises à travers le monde signalent des pannes informatiques, notamment des erreurs d'écran bleu sur leurs ordinateurs, constituant l'une des perturbations informatiques les plus répandues de ces dernières années. Cette panne, causée par une mise à jour logicielle de CrowdStrike, a touché des ordinateurs Windows dans divers secteurs, y compris les compagnies aériennes, les banques, les détaillants, les maisons de courtage, les sociétés de médias et les réseaux ferroviaires, avec une forte incidence sur le secteur des voyages.
Le PDG de CrowdStrike, George Kurtz a confirmé dans un message sur X qu'un « défaut » dans une mise à jour de contenu pour les hôtes Windows était responsable de la panne, excluant la possibilité d'une cyberattaque et que les hôtes Mac et Linux n'étaient pas affectés.
« CrowdStrike collabore activement avec les clients concernés par ce défaut dans une mise à jour de contenu pour les hôtes Windows. Les hôtes Mac et Linux ne sont pas touchés », a déclaré Kurtz sur X. « Il ne s'agit pas d'un incident de sécurité ou d'une cyberattaque. Le problème a été identifié, isolé, et un correctif est en cours de déploiement. Nous renvoyons les clients au portail d'assistance pour les dernières mises à jour et continuerons à fournir des informations complètes et continues sur notre site web. Nous recommandons également aux organisations de communiquer avec les représentants de CrowdStrike par les canaux officiels. Notre équipe est entièrement mobilisée pour assurer la sécurité et la stabilité de nos clients », a affirmé Kurtz.
CrowdStrike is actively working with customers impacted by a defect found in a single content update for Windows hosts. Mac and Linux hosts are not impacted. This is not a security incident or cyberattack. The issue has been identified, isolated and a fix has been deployed. We…
— George Kurtz (@George_Kurtz) July 19, 2024
CrowdStrike fournit des mises à jour de configuration du contenu de sécurité à ses capteurs de deux manières : Sensor Content qui est livré directement avec ses capteurs, et Rapid Response Content qui est conçu pour répondre à l'évolution du paysage des menaces à la vitesse opérationnelle. Le problème concernait une mise à jour Rapid Response Content avec une erreur non détectée.
Rapid Response Content est utilisé pour effectuer une variété d'opérations de mise en correspondance de modèles comportementaux sur le capteur à l'aide d'un moteur hautement optimisé. Le Rapid Response Content est une représentation des champs et des valeurs, avec le filtrage associé. Ce Rapid Response Content est stocké dans un fichier binaire propriétaire qui contient des données de configuration. Il ne s'agit pas d'un code ou d'un pilote de noyau.
Le Rapid Response Content est fourni sous la forme de Template Instances (instances de modèles), qui sont des instanciations d'un Template Type donné. Chaque Template Instance correspond à des comportements spécifiques que le capteur doit observer, détecter ou prévenir. Les Template Instances disposent d'un ensemble de champs qui peuvent être configurés pour correspondre au comportement désiré. En d'autres termes, les Template Types représentent une capacité de capteur qui permet de nouvelles télémétries et détections, et leur comportement en cours d'exécution est configuré dynamiquement par un Template Instance (c'est-à-dire un Rapid Response Content).
Rapid Response Content fournit une visibilité et des détections sur le capteur sans qu'il soit nécessaire de modifier le code du capteur. Cette capacité est utilisée par les ingénieurs chargés de la détection des menaces pour recueillir des données télémétriques, identifier les indicateurs du comportement de l'adversaire et effectuer des détections et des préventions. Rapid Response Content est une heuristique comportementale, séparée et distincte des capacités de prévention et de détection de l'IA sur le capteur de CrowdStrike.
Plus tard vendredi, la CISA, l'agence américaine de cybercriminalité, a déclaré que même si la panne n'était pas due à une activité suspecte, des acteurs de la menace en profitaient pour mener des activités de phishing et d'autres actions malveillantes. Un message sur les forums d'assistance de CrowdStrike (accessibles uniquement par connexion) a également reconnu le problème tôt vendredi, indiquant que l'entreprise avait reçu des rapports de pannes liées à une mise à jour de contenu. CrowdStrike a précisé que ces rapports de crash étaient « liés à Falcon Sensor », son service de sécurité basé sur le cloud, décrit comme une solution de « détection des menaces en temps réel, de gestion simplifiée et de chasse proactive aux menaces ».
Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars
Dans un message publié sur les réseaux sociaux, CrowdStrike a indiqué qu'un « nombre important » des 8,5 millions d'appareils affectés étaient de nouveau opérationnels et s'est excusée pour la perturbation. L'entreprise a souligné qu'elle se concentrait sur la restauration rapide de tous les systèmes et a mis en place un système d'opt-in pour une nouvelle technique de restauration en collaboration avec ses clients. CrowdStrike a exprimé sa gratitude envers ses clients et partenaires pour leur travail acharné et leur patience pendant cette crise.
Les experts estiment qu'il est trop tôt pour évaluer avec précision le coût de la panne mondiale survenue vendredi, mais selon Patrick Anderson, PDG d'Anderson Economic Group, ces coûts pourraient facilement dépasser le milliard de dollars. Anderson a rappelé que la récente cyberattaque contre CDK Global, une société de logiciels pour concessionnaires automobiles, avait également coûté environ un milliard de dollars. La panne actuelle touche un plus grand nombre de consommateurs et d'entreprises, engendrant des coûts importants, notamment pour les compagnies aériennes en raison des vols annulés et des retards, entraînant des pertes de revenus et des coûts supplémentaires de main-d'œuvre et de carburant.
Malgré la position dominante de CrowdStrike dans le domaine de la cybersécurité et un chiffre d'affaires annuel légèrement inférieur à 4 milliards de dollars, l'entreprise pourrait bénéficier de protections juridiques stipulées dans ses contrats. James Lewis, chercheur au Center for Strategic and International Studies, a suggéré que les contrats de CrowdStrike pourraient les protéger contre toute responsabilité. Par ailleurs, Mark Friedlander, porte-parole de l'Insurance Information Institute, a souligné que les entreprises touchées par la panne pourraient découvrir que l'assurance traditionnelle contre les pertes d'exploitation ne les couvrira pas, car ces polices exigent généralement des dommages physiques pour les biens de l'entreprise. Les polices d'interruption du réseau d'entreprise pourraient couvrir ces pertes, mais souvent seulement en cas de piratages malveillants, excluant des incidents non malveillants comme celui-ci.
Le PDG de CrowdStrike est convoqué à témoigner devant le Congrès sur la panne majeure
Les dirigeants de la Chambre des représentants des États-Unis ont demandé à George Kurtz, PDG de CrowdStrike, de témoigner devant le Congrès concernant le rôle de son entreprise dans la panne technologique généralisée. Cette panne a cloué des vols au sol, mis hors service des banques et des systèmes hospitaliers, et affecté des services dans le monde entier.
Cette demande fait suite à une déclaration de CrowdStrike indiquant qu'un « nombre significatif » d'ordinateurs s'étaient bloqués vendredi, causant des perturbations mondiales. Bien que de nombreux systèmes soient de nouveau opérationnels, les clients et les régulateurs attendent des explications détaillées sur les événements. Les républicains à la tête de la commission de la sécurité intérieure de la Chambre des représentants ont exprimé leur souhait d'obtenir des réponses rapidement. « Nous apprécions la réaction de CrowdStrike et la coordination avec les parties prenantes, mais nous ne pouvons pas ignorer l'ampleur de cet incident, que certains ont qualifié de plus grande panne informatique de l'histoire », ont écrit les députés Mark E. Green (Tennessee) et Andrew Garbarino (New York) dans une lettre adressée à Kurtz.
La solution « facile » documentée à la fois par CrowdStrike (dont c'est la faute directe) et par Microsoft (qui a été largement blâmé dans les rapports grand public, en partie à cause d'une panne d'Azure sans rapport avec le problème, survenue peu avant le 18 juillet) consistait à redémarrer les systèmes concernés à plusieurs reprises dans l'espoir qu'ils téléchargent un nouveau fichier de mise à jour avant qu'ils ne tombent en panne. Pour les systèmes sur lesquels cette méthode n'a pas fonctionné - et Microsoft a recommandé aux clients de redémarrer jusqu'à 15 fois pour donner aux ordinateurs une chance de télécharger la mise à jour - la solution recommandée a été de supprimer manuellement le mauvais fichier .sys. Cela permet au système de démarrer et de télécharger un fichier corrigé, ce qui résout les problèmes sans laisser les machines sans protection.
Pour faciliter ce processus, Microsoft a publié ce week-end un outil de récupération qui permet d'automatiser le processus de réparation sur certains systèmes concernés. Il s'agit de créer un support de démarrage à l'aide d'une clé USB de 1 à 32 Go, de démarrer à partir de cette clé USB et d'utiliser l'une des deux options pour réparer votre système. Pour les appareils qui ne peuvent pas démarrer via USB (cette option est parfois désactivée sur les systèmes d'entreprise pour des raisons de sécurité), Microsoft documente également une option de démarrage PXE pour le démarrage via un réseau.
La dépendance des entreprises aux logiciels de sécurité exposée
La panne informatique mondiale causée par une mise à jour défectueuse du logiciel de cybersécurité de CrowdStrike soulève plusieurs questions importantes concernant la fiabilité et la robustesse des solutions de cybersécurité. Tout d'abord, cette situation met en évidence la dépendance critique des entreprises à l'égard des logiciels de sécurité et la vulnérabilité potentielle qu'une simple mise à jour défectueuse peut engendrer.
Malgré les assurances de George Kurtz, PDG de CrowdStrike, que cette panne n'était pas une cyberattaque, l'ampleur des perturbations, en particulier dans des secteurs vitaux comme les voyages et les systèmes bancaires, souligne l'importance de tests rigoureux avant le déploiement de mises à jour logicielles. La nécessité de mesures de sauvegarde et de plans de contingence devient évidente pour prévenir des interruptions de cette ampleur.
La réponse rapide de la CISA, qui a noté l'exploitation de la situation par des acteurs malveillants pour mener des activités de phishing, ajoute une couche de complexité et montre que les incidents techniques peuvent rapidement devenir des opportunités pour des attaques plus ciblées. Enfin, la chute de 11 % des actions de CrowdStrike met en lumière l'impact financier immédiat que de tels incidents peuvent avoir sur une entreprise, affectant non seulement sa réputation mais aussi sa valeur marchande. Cette situation doit servir de leçon pour renforcer les processus de mise à jour et de déploiement dans le secteur de la cybersécurité afin de minimiser les risques de perturbations futures.
Source : Crowdstrike
Et vous ?
Quel est votre avis sur ce sujet ?
Comment les entreprises affectées par la panne peuvent-elles se préparer à de futures interruptions similaires ?
Quels types de garanties de sécurité devraient rechercher les entreprises dans les solutions de cybersécurité ?
Voir aussi :
Le PDG de CrowdStrike est appelé à témoigner devant le Congrès sur le rôle déterminant de l'entreprise spécialiste en cybersécurité dans la panne, qui a affecté de nombreux services à l'échelle mondiale
Falcon Sensor de CrowdStrike a également causé des problèmes sur les machines Linux récemment, les professionnels estiment que la situation n'est pas comparable aux BSoD provoqués sur Windows
Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars, mais il est plus difficile de savoir qui paiera la facture