IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Incident logiciel de CrowdStrike : les pannes informatiques causées par la MAJ révèlent des failles systémiques dans la cybersécurité
Et soulignent l'importance de tests rigoureux avant tout déploiement

Le , par Bruno
172 commentaires

36PARTAGES

6  0 
Une mise à jour défectueuse du logiciel de cybersécurité de CrowdStrike a provoqué une panne informatique mondiale, affectant de nombreuses entreprises, notamment des banques, des compagnies aériennes et des détaillants. Les utilisateurs ont signalé des erreurs d'écran bleu sur des ordinateurs Windows. Cette panne a touché divers secteurs et entraîné des perturbations importantes, notamment dans les voyages et les systèmes bancaires. La CISA a observé que des acteurs malveillants tentaient de tirer parti de la situation pour des activités de phishing. Les actions de CrowdStrike ont chuté de 11 % suite à cet incident.

Des entreprises à travers le monde signalent des pannes informatiques, notamment des erreurs d'écran bleu sur leurs ordinateurs, constituant l'une des perturbations informatiques les plus répandues de ces dernières années. Cette panne, causée par une mise à jour logicielle de CrowdStrike, a touché des ordinateurs Windows dans divers secteurs, y compris les compagnies aériennes, les banques, les détaillants, les maisons de courtage, les sociétés de médias et les réseaux ferroviaires, avec une forte incidence sur le secteur des voyages.


Le PDG de CrowdStrike, George Kurtz a confirmé dans un message sur X qu'un « défaut » dans une mise à jour de contenu pour les hôtes Windows était responsable de la panne, excluant la possibilité d'une cyberattaque et que les hôtes Mac et Linux n'étaient pas affectés.

« CrowdStrike collabore activement avec les clients concernés par ce défaut dans une mise à jour de contenu pour les hôtes Windows. Les hôtes Mac et Linux ne sont pas touchés », a déclaré Kurtz sur X. « Il ne s'agit pas d'un incident de sécurité ou d'une cyberattaque. Le problème a été identifié, isolé, et un correctif est en cours de déploiement. Nous renvoyons les clients au portail d'assistance pour les dernières mises à jour et continuerons à fournir des informations complètes et continues sur notre site web. Nous recommandons également aux organisations de communiquer avec les représentants de CrowdStrike par les canaux officiels. Notre équipe est entièrement mobilisée pour assurer la sécurité et la stabilité de nos clients », a affirmé Kurtz.

CrowdStrike fournit des mises à jour de configuration du contenu de sécurité à ses capteurs de deux manières : Sensor Content qui est livré directement avec ses capteurs, et Rapid Response Content qui est conçu pour répondre à l'évolution du paysage des menaces à la vitesse opérationnelle. Le problème concernait une mise à jour Rapid Response Content avec une erreur non détectée.

Rapid Response Content est utilisé pour effectuer une variété d'opérations de mise en correspondance de modèles comportementaux sur le capteur à l'aide d'un moteur hautement optimisé. Le Rapid Response Content est une représentation des champs et des valeurs, avec le filtrage associé. Ce Rapid Response Content est stocké dans un fichier binaire propriétaire qui contient des données de configuration. Il ne s'agit pas d'un code ou d'un pilote de noyau.

Le Rapid Response Content est fourni sous la forme de Template Instances (instances de modèles), qui sont des instanciations d'un Template Type donné. Chaque Template Instance correspond à des comportements spécifiques que le capteur doit observer, détecter ou prévenir. Les Template Instances disposent d'un ensemble de champs qui peuvent être configurés pour correspondre au comportement désiré. En d'autres termes, les Template Types représentent une capacité de capteur qui permet de nouvelles télémétries et détections, et leur comportement en cours d'exécution est configuré dynamiquement par un Template Instance (c'est-à-dire un Rapid Response Content).

Rapid Response Content fournit une visibilité et des détections sur le capteur sans qu'il soit nécessaire de modifier le code du capteur. Cette capacité est utilisée par les ingénieurs chargés de la détection des menaces pour recueillir des données télémétriques, identifier les indicateurs du comportement de l'adversaire et effectuer des détections et des préventions. Rapid Response Content est une heuristique comportementale, séparée et distincte des capacités de prévention et de détection de l'IA sur le capteur de CrowdStrike.

Plus tard vendredi, la CISA, l'agence américaine de cybercriminalité, a déclaré que même si la panne n'était pas due à une activité suspecte, des acteurs de la menace en profitaient pour mener des activités de phishing et d'autres actions malveillantes. Un message sur les forums d'assistance de CrowdStrike (accessibles uniquement par connexion) a également reconnu le problème tôt vendredi, indiquant que l'entreprise avait reçu des rapports de pannes liées à une mise à jour de contenu. CrowdStrike a précisé que ces rapports de crash étaient « liés à Falcon Sensor », son service de sécurité basé sur le cloud, décrit comme une solution de « détection des menaces en temps réel, de gestion simplifiée et de chasse proactive aux menaces ».

Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars

Dans un message publié sur les réseaux sociaux, CrowdStrike a indiqué qu'un « nombre important » des 8,5 millions d'appareils affectés étaient de nouveau opérationnels et s'est excusée pour la perturbation. L'entreprise a souligné qu'elle se concentrait sur la restauration rapide de tous les systèmes et a mis en place un système d'opt-in pour une nouvelle technique de restauration en collaboration avec ses clients. CrowdStrike a exprimé sa gratitude envers ses clients et partenaires pour leur travail acharné et leur patience pendant cette crise.

Les experts estiment qu'il est trop tôt pour évaluer avec précision le coût de la panne mondiale survenue vendredi, mais selon Patrick Anderson, PDG d'Anderson Economic Group, ces coûts pourraient facilement dépasser le milliard de dollars. Anderson a rappelé que la récente cyberattaque contre CDK Global, une société de logiciels pour concessionnaires automobiles, avait également coûté environ un milliard de dollars. La panne actuelle touche un plus grand nombre de consommateurs et d'entreprises, engendrant des coûts importants, notamment pour les compagnies aériennes en raison des vols annulés et des retards, entraînant des pertes de revenus et des coûts supplémentaires de main-d'œuvre et de carburant.

Malgré la position dominante de CrowdStrike dans le domaine de la cybersécurité et un chiffre d'affaires annuel légèrement inférieur à 4 milliards de dollars, l'entreprise pourrait bénéficier de protections juridiques stipulées dans ses contrats. James Lewis, chercheur au Center for Strategic and International Studies, a suggéré que les contrats de CrowdStrike pourraient les protéger contre toute responsabilité. Par ailleurs, Mark Friedlander, porte-parole de l'Insurance Information Institute, a souligné que les entreprises touchées par la panne pourraient découvrir que l'assurance traditionnelle contre les pertes d'exploitation ne les couvrira pas, car ces polices exigent généralement des dommages physiques pour les biens de l'entreprise. Les polices d'interruption du réseau d'entreprise pourraient couvrir ces pertes, mais souvent seulement en cas de piratages malveillants, excluant des incidents non malveillants comme celui-ci.

Le PDG de CrowdStrike est convoqué à témoigner devant le Congrès sur la panne majeure

Les dirigeants de la Chambre des représentants des États-Unis ont demandé à George Kurtz, PDG de CrowdStrike, de témoigner devant le Congrès concernant le rôle de son entreprise dans la panne technologique généralisée. Cette panne a cloué des vols au sol, mis hors service des banques et des systèmes hospitaliers, et affecté des services dans le monde entier.

Cette demande fait suite à une déclaration de CrowdStrike indiquant qu'un « nombre significatif » d'ordinateurs s'étaient bloqués vendredi, causant des perturbations mondiales. Bien que de nombreux systèmes soient de nouveau opérationnels, les clients et les régulateurs attendent des explications détaillées sur les événements. Les républicains à la tête de la commission de la sécurité intérieure de la Chambre des représentants ont exprimé leur souhait d'obtenir des réponses rapidement. « Nous apprécions la réaction de CrowdStrike et la coordination avec les parties prenantes, mais nous ne pouvons pas ignorer l'ampleur de cet incident, que certains ont qualifié de plus grande panne informatique de l'histoire », ont écrit les députés Mark E. Green (Tennessee) et Andrew Garbarino (New York) dans une lettre adressée à Kurtz.


La solution « facile » documentée à la fois par CrowdStrike (dont c'est la faute directe) et par Microsoft (qui a été largement blâmé dans les rapports grand public, en partie à cause d'une panne d'Azure sans rapport avec le problème, survenue peu avant le 18 juillet) consistait à redémarrer les systèmes concernés à plusieurs reprises dans l'espoir qu'ils téléchargent un nouveau fichier de mise à jour avant qu'ils ne tombent en panne. Pour les systèmes sur lesquels cette méthode n'a pas fonctionné - et Microsoft a recommandé aux clients de redémarrer jusqu'à 15 fois pour donner aux ordinateurs une chance de télécharger la mise à jour - la solution recommandée a été de supprimer manuellement le mauvais fichier .sys. Cela permet au système de démarrer et de télécharger un fichier corrigé, ce qui résout les problèmes sans laisser les machines sans protection.

Pour faciliter ce processus, Microsoft a publié ce week-end un outil de récupération qui permet d'automatiser le processus de réparation sur certains systèmes concernés. Il s'agit de créer un support de démarrage à l'aide d'une clé USB de 1 à 32 Go, de démarrer à partir de cette clé USB et d'utiliser l'une des deux options pour réparer votre système. Pour les appareils qui ne peuvent pas démarrer via USB (cette option est parfois désactivée sur les systèmes d'entreprise pour des raisons de sécurité), Microsoft documente également une option de démarrage PXE pour le démarrage via un réseau.

La dépendance des entreprises aux logiciels de sécurité exposée

La panne informatique mondiale causée par une mise à jour défectueuse du logiciel de cybersécurité de CrowdStrike soulève plusieurs questions importantes concernant la fiabilité et la robustesse des solutions de cybersécurité. Tout d'abord, cette situation met en évidence la dépendance critique des entreprises à l'égard des logiciels de sécurité et la vulnérabilité potentielle qu'une simple mise à jour défectueuse peut engendrer.

Malgré les assurances de George Kurtz, PDG de CrowdStrike, que cette panne n'était pas une cyberattaque, l'ampleur des perturbations, en particulier dans des secteurs vitaux comme les voyages et les systèmes bancaires, souligne l'importance de tests rigoureux avant le déploiement de mises à jour logicielles. La nécessité de mesures de sauvegarde et de plans de contingence devient évidente pour prévenir des interruptions de cette ampleur.

La réponse rapide de la CISA, qui a noté l'exploitation de la situation par des acteurs malveillants pour mener des activités de phishing, ajoute une couche de complexité et montre que les incidents techniques peuvent rapidement devenir des opportunités pour des attaques plus ciblées. Enfin, la chute de 11 % des actions de CrowdStrike met en lumière l'impact financier immédiat que de tels incidents peuvent avoir sur une entreprise, affectant non seulement sa réputation mais aussi sa valeur marchande. Cette situation doit servir de leçon pour renforcer les processus de mise à jour et de déploiement dans le secteur de la cybersécurité afin de minimiser les risques de perturbations futures.

Source : Crowdstrike

Et vous ?

Quel est votre avis sur ce sujet ?

Comment les entreprises affectées par la panne peuvent-elles se préparer à de futures interruptions similaires ?

Quels types de garanties de sécurité devraient rechercher les entreprises dans les solutions de cybersécurité ?

Voir aussi :

Le PDG de CrowdStrike est appelé à témoigner devant le Congrès sur le rôle déterminant de l'entreprise spécialiste en cybersécurité dans la panne, qui a affecté de nombreux services à l'échelle mondiale

Falcon Sensor de CrowdStrike a également causé des problèmes sur les machines Linux récemment, les professionnels estiment que la situation n'est pas comparable aux BSoD provoqués sur Windows

Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars, mais il est plus difficile de savoir qui paiera la facture

Une erreur dans cette actualité ? Signalez-nous-la !

172 commentaires
Commenter Signaler un problème
floyer
Avatar de floyer
Membre éclairé https://www.developpez.com
Le 29/08/2024 à 15:33
N’importe quel OS qui permet des extensions en mode noyau s’expose à ce risque. Les différents OS type UNIX n’y échappent pas. (D’ailleurs une mise à jour de Crowdstrike a provoqué des kernel panic sur Linux).

L’architecture de Windows depuis NT n’a rien à voir avec DOS, contrairement à ce que tu sembles dire.

L’approche qui changera vraiment quelque chose est le micronoyau (Mach, QNX, SeL4…) et encore, si un module est un SPOF (typiquement un système de fichier), un défaut dans ce module compromet le fonctionnement du système. Cette approche pourrait rogner un peu les performances… mais pour des applications critiques, pourquoi pas. (Cela me rappelle l’arrivée d’OS/2 où la presse s’indignait oh là là, on perd 2% de performances par rapport à un OS non sécurisé)

Et le principe de mise à jour automatique est vraiment le cœur du problème. Imaginons Oracle « pousser » une nouvelle pile Java à l’insu des développeur et exploitant… même si elle ne tourne qu’en mode utilisateur, cela peut bloquer beaucoup d’applications potentiellement critiques.
5  0 
Fagus
Avatar de Fagus
Membre expert https://www.developpez.com
Le 29/07/2024 à 13:22
Mais le changement le plus important consisterait à verrouiller l'accès au noyau de Windows afin d'empêcher les pilotes tiers de faire planter un PC entier. Ironiquement, Microsoft a essayé de faire exactement cela avec Windows Vista, mais s'est heurté à la résistance des fournisseurs de cybersécurité et des régulateurs de l'UE.
ça ressemble à de la com' de mauvaise foi de microsoft.

J'ai vite fait balayé du regard cet accord. Je ne sais pas ce qu'en diraient les juristes, mais le législateur peut imposer des objectifs mais (en principe) pas des solutions techniques.
En gros l'accord dit que microsoft doit documenter ses API et les ouvrir aux concurrents comme à ses propres produits. Il n'est pas dit que microsoft doit donner les privilèges kernel à quiconque le demande, ni que le noyaux doit planter s'il n'arrive pas à charger un pilote.
3  0 
Mat.M
Avatar de Mat.M
Expert éminent sénior https://www.developpez.com
Le 15/08/2024 à 18:06
La vision des choses de Mr Sterone, rien à commenter tout est dit:

3  0 
PomFritz
Avatar de PomFritz
Membre confirmé https://www.developpez.com
Le 16/08/2024 à 21:42
Face à l'incompétence généralisée, ça panique chez les gratte-papier, zéro mise en perspective et Microsoft se frotte les mains. On dirait une communication du service marketing, pas d'experts.
3  0 
OrthodoxWindows
Avatar de OrthodoxWindows
Membre expert https://www.developpez.com
Le 25/08/2024 à 15:19
CrowdStrike découvre qu'il vaut mieux tester une mise à jour avant de la déployer, surtout sur un logiciel qui se place à un stade critique de l'OS, sur un ordi utilisé pour un usage critique.
CrowdStrike découvre qu'en cas de problème grave, la seul confiance avec le client ne fonctionne plus.
Désormais CrowdStrike découvre qu'il existe un système concurrentiel, où chaque concurrent attend qu'un concurrent fasse une connerie.

Bientôt CrowdStrike découvrira qu'il est une entreprise spécialisé dans le domaine de la cybersécurité, dans un contexte d'économie capitaliste libérale.

Ah moins que CrowdStrike se foute tout simplement de la g**** du monde.
3  0 
bmayesky
Avatar de bmayesky
Membre régulier https://www.developpez.com
Le 29/07/2024 à 22:43
Bla, bla, bla, nous n'avons rien testé parce que c'est trop cher et c'est long et ça demande de faire confiance à des gens, tout ce dont nous ne voulons pas dans notre société (ça coûte de l'argent et ça oblige à mettre des vraies personnes qui réfléchissent et risque de nous contredire), bla, bla, bla, c'est pas nous, c'est le logiciel de test, croyez-nous et achetez nos produits pareil qu'avant, bla, bla, bla, même Microsoft disent que c'est pas eux, c'est l'UE, alors croyez-les et achetez, bla, bla, bla,

Comme si une décision d'interopérabilité des années avant pouvait prédire un crash qui n'avait pas été ni écrit ni voulu par qui que ce soit à l'époque ou maintenant. Et qu'un logiciel de test empêche de faire le test de base que fait tout informaticien, même idiot: un test réel. Et il est clair qu'un PC sous windows n'est pas vraiment difficile et cher à trouver pour le faire (sans compter qu'on peut le réutiliser). Franchement on nous prend pour des c**s.

En fait c'est la défense classique en cas de crise lorsque vous vous êtes fait prendre la main dans le sac:
- Nier, nier même l'évidence, ça prendra pour un 50-50 ceux qui ne sont pas attentifs à votre cas au lieu d'un 100 à 0 en votre défaveur.
- Reporter la faute ailleurs, même si c'est capillotracté, c'est ce que fait Crowdstrike avec son logiciel de test et Microsoft avec l'UE; c'est de leur faute entière mais, là encore il y a une frange qui fera du 50-50 au lieu du 100-0 qui les desserts.
- Accepter, bien après la vague médiatique, que c'était peut-être éventuellement un peu de votre faute mais seulement pour montrer tout ce que vous avez fait (et prouver que vous avez fait) pour que cela ne puisse pas se reproduire. Mentir est une option possible si vous vous assurer que personne ne puisse vous contredire. Ça c'est que pour les fainéants qui voudrait reprendre affaire avec vous et vos commerciaux puissent balayer les suspicieux qui rappelleraient l'incident et continuer le business as usual.

En fait, tout ces articles avec de vrais ou de faux coupables masquent très bien quelque chose de plus important à mon avis: l'échec structurel des systèmes propriétaires à livrer du logiciel fiable.

Effectivement, l'utilisation de logiciels propriétaires demande à faire confiance au propriétaire et aucune garantie n'est possible que cela soit vrai et dure dans le temps. Et plus vous multipliez le nombre de logiciels propriétaires nécessaires à votre solution informatique, plus elle est fragile parce que vous multipliez les points de fragilités et ils se combinent et diminuent d'autant la fiabilité de votre solution.

Alors pourquoi prendre cet angle du logiciel propriétaire ? Parce que le logiciel libre fonctionne sur des principes différents qui augmentent la qualité de manière drastique. Le "c'est prêt quand c'est prêt" n'est pas très amis avec les projets de lancement et autres actions planifiées mais très fiable et d'une qualité logicielle très supérieure. Le fait que l'ensemble des couches logicielles soient connues évite radicalement les erreurs de conceptions qui font planter les autres couches logicielles proches. Et évidemment, les process de boot et autres n'ayant aucun besoin d'être cachés sont beaucoup plus souples et laissent beaucoup plus de moyens d'agir.

Cela m'étonne toujours que ce plantage mondial ne soit pas abordé par l'angle du process de construction du logiciel alors que c'est manifestement là qu'il y a eu un problème et qu'une analyse sur la façon de construire le logiciel avec un esprit ouvert permet de trouver une solution à ce type de problèmes.
2  0 
bmayesky
Avatar de bmayesky
Membre régulier https://www.developpez.com
Le 30/07/2024 à 0:04
Il n'y a pas de réduction des coûts: les banques prélèvent de l'argent sur chaque paiement fait en carte. Ce qui se retrouve directement dans la facture de tout ceux qui achètent parce que les commerçants doivent répercuter les frais bancaires sans compter les frais d'abonnement et d'entretien des terminaux. Le paiement par carte est tout sauf gratuit.
C'est à comparer avec le service de la monnaie de l'état qui ne produit aucun frais d'aucune sorte lors de transaction avec des commerçants pas plus qu'entre personnes. Comment allez vous faire pour donner de l'argent à vos enfants ? Ah oui, vous allez leur ouvrir un compte ... payant pour vous.

Il n'y a rien de gratuit dans le paiement par carte, même votre carte est soumise à abonnement et vous payez cet abonnement.

Imaginer un monde sans liquide c' est imaginer un monde où les banques auraient le monopole de l'argent et alors que nous payons déjà, ils auraient un intérêt de classe à faire encore augmenter les prix.

Mais contentons nous de constater les frais actuels pour demander une correction de l'article parce que le paiement par carte coûte à tout le monde et n'est en aucun cas gratuit !
2  0 
chris_FR
Avatar de chris_FR
Membre régulier https://www.developpez.com
Le 08/08/2024 à 19:17
Citation Envoyé par 23JFK Voir le message
Sauf que CrowdStrike a également fait planter des système Linux et MacOs de par le passé, la différence tient uniquement en l'hégémonie du système Windows sur le monde.
Pourrais tu fournir la source de ton information s'il te plaît ?
2  0 
floyer
Avatar de floyer
Membre éclairé https://www.developpez.com
Le 17/08/2024 à 11:10
Il y a beaucoup d’applications qui ont besoin d’un accès privilégié : pilotes (périphérique réels ou virtuel), antivirus, chiffrement de disque, firewall, probablement des éléments des machines virtuelles (virtual box).

Mais le problème concerne ici les mises à jour non testées. Mettre en place une sorte de sas où des machines représentatives essuient les plâtres des mises à jour, puis déploiement progressif aurait évité les problèmes. Alors bien sûr, il faut s’écarter du principe « installez le logiciel et on s’occupe de tout »
2  0 
Aiigl59
Avatar de Aiigl59
Membre actif https://www.developpez.com
Le 04/10/2024 à 16:43
"Un cadre supérieur de la société de cybersécurité CrowdStrike s'est excusé devant la Chambre des représentants des États-Unis"
ça nous fait une belle jambe !
2  0 
Commenter Signaler un problème