L’incident de panne chez CrowdStrike a mis en lumière la vulnérabilité du secteur de la cybersécurité. Une mise à jour défectueuse du logiciel Falcon Sensor de CrowdStrike a entraîné des plantages massifs d’ordinateurs Windows dans le monde entier. Cela souligne les problèmes majeurs de notre infrastructure informatique. D’autres entreprises du même modèle commercial pourraient également être touchées.Il faut en moyenne 62 minutes à des adversaires malveillants pour faire tomber votre entreprise, avertit le site web de CrowdStrike. En l'occurrence, l'entreprise de cybersécurité chargée de protéger de dizaines milliers de clients contre les pirates informatiques a réussi à faire tomber une grande partie des entreprises mondiales. Le coupable n'était autre qu'une seule mise à jour de contenu défectueuse qu'elle a diffusée sur son produit Falcon Sensor auprès des utilisateurs de Microsoft dans le monde entier.
En effet, CrowdStrike a déclaré dans un communiqué qu'il avait « identifié et isolé la faille et qu'un correctif avait été déployé ».
Microsoft a indiqué que 8,5 millions d'utilisateurs ont été impactés. Le phénomène a eu une répercussion mondiale, des entreprises d'Asie, d'Europe et des États-Unis ayant signalé des problèmes. Les retombées se sont étendues à de larges pans de l'économie mondiale, affectant les compagnies aériennes, les trains, les banques, les radiodiffuseurs et presque tout le reste. Les entreprises concernées affirment avoir mis en place un correctif. Mais les premiers rapports suggèrent que le processus est à la fois manuel et complexe, ce qui signifie que la remise en service des PC endommagés pourrait être un processus laborieux.
Les entreprises concernées en subiront évidemment les conséquences. Un échec aussi généralisé soulèvera, à tout le moins, de sérieuses questions sur le contrôle de la qualité et les processus de test internes. Cela devrait effrayer les clients. L'action semble également vulnérable. CrowdStrike a connu une croissance rapide, sa capitalisation boursière ayant plus que doublé au cours des 12 derniers mois pour atteindre 83,5 milliards de dollars. Cependant, le jour de la médiatisation de ces incidents, les actions de la société ont chuté.
D'autres entreprises, fonctionnant selon un modèle commercial similaire, pourraient également être touchées. Les clients seront conscients du risque que représente l'externalisation de ces fonctions critiques à des tiers, en particulier ceux qui sont en mesure d'envoyer automatiquement des mises à jour aux systèmes des clients. L'une des conséquences pourrait bien être l'expansion des équipes informatiques internes. Une autre conséquence devrait être la recherche d'un plus grand nombre de fournisseurs de logiciels et d'autres applications de sécurité.
Des leçons à retenir de cet incident ?
L'incident va exacerber les inquiétudes concernant le risque de concentration dans le secteur de la cybersécurité. Selon SecurityScorecard, 15 entreprises seulement dans le monde représentent 62 % du marché des produits et services de cybersécurité. Dans le domaine de la sécurité des terminaux modernes, qui consiste à sécuriser les PC, les ordinateurs portables et d'autres appareils, le problème est pire : trois entreprises, dont Microsoft et CrowdStrike sont de loin les plus importantes, contrôlaient la moitié du marché l'année dernière, selon IDC.
Nous sommes aujourd'hui confrontés à une prise de conscience importante et terrifiante : De nombreuses personnes en charge de nos systèmes numériques mondiaux dépendent d'un seul fournisseur de logiciels comme point de défaillance (une estimation suggère que CrowdStrike représente 24 % du marché de la sécurité), et lorsque ce fournisseur lui-même commet une erreur, nous sommes tous amenés à en subir les conséquences.
Alors que le Cyber Safety Review Board américain dissèque les cyberattaques de grande ampleur pour en tirer des enseignements, il n'existe pas d'organisme évident chargé d'analyser ces défaillances techniques afin d'améliorer la résilience de l'infrastructure technologique mondiale, a déclaré Ciaran Martin, ancien directeur du National Cyber Security Centre du Royaume-Uni.
La panne qui a frappé le monde devrait inciter les clients - et peut-être même les gouvernements et les régulateurs - à réfléchir davantage à la manière d'intégrer la diversification et la redondance dans leurs systèmes.
Peu probable que cela arrive
« Ce qui est unique dans cet incident, c'est l'échelle à laquelle il s'est produit, qui a probablement fait perdre des milliards à l'économie mondiale en raison des temps d'arrêt généralisés », a déclaré Neatsun Ziv, PDG d'OX Security, une société de cybersécurité. Elle a également fait perdre des milliards au bilan de CrowdStrike, dont le cours de l'action a chuté au début de la journée de l'incident.
Ce n'est pourtant pas le premier exemple de défaillance d'une seule entreprise affectant d'immenses réseaux mondiaux. Nous avons assisté à des dizaines de pannes massives de l'internet à la suite de défaillances de la part d'hébergeurs de sites sur le cloud et d'autres fournisseurs de systèmes. Le monde aurait dû tirer les leçons de l'un ou l'autre de ces incidents, qu'il s'agisse de la panne du logiciel Microsoft 365 en septembre 2020, de la panne de téléphone cellulaire à l'échelle nationale en février 2024 ou même de l'attaque des services publics américains en avril de cette année.
« Il est important de tirer les leçons de l'incident [de CrowdStrike] afin de réduire la probabilité qu'il se reproduise », déclare Simon Newman, cofondateur de Cyber London et membre du conseil consultatif de la Cyber Expo internationale. « J'encourage toutes les organisations à revoir régulièrement la résilience de leur chaîne d'approvisionnement ».
Cependant, nous ne l'avons pas fait, et nous ne le ferons probablement pas cette fois-ci non plus. Les solutions technologiques de pointe dont nous dépendons au quotidien sont souvent moins sophistiquées qu'il n'y paraît. Bien qu'elles semblent avoir été développées et codées avec soin, et qu'elles soient, à des fins de marketing, sans visage, elles sont le résultat d'un travail humain acharné qui a codé chaque ligne et vérifié chaque élément de ces solutions. Et les humains font des erreurs.
Le fait que cela se produise - et continue de se produire - devrait contribuer à mettre fin à l'idée que ces systèmes sont en quelque sorte infaillibles et que rien ne peut jamais leur arriver de mal. Dans un monde parfait, nous pourrions planifier des jeux autour de ces inévitabilités et créer des sécurités appropriées. Mais ce n'est pas le monde dans lequel nous vivons.
Microsoft cherche à renforcer la sécurité après l'incident avec CrowdStrike
« Cet incident montre clairement que Windows doit donner la priorité au changement et à l'innovation dans le domaine de la résilience de bout en bout », déclare John Cable, vice-président de la gestion des programmes pour le service et la livraison de Windows, dans un billet de blog intitulé « Résilience de Windows : Les meilleures pratiques et la voie à suivre ». Cable appelle à une coopération plus étroite entre Microsoft et ses partenaires « qui se soucient également beaucoup de la sécurité de l'écosystème Windows » afin d'apporter des améliorations en matière de sécurité.
Microsoft a attribué une partie de la panne de CrowdStrike à l'accord antitrust de l'Union européenne de 2009 qui oblige Redmond à ouvrir l'accès au niveau du noyau aux fournisseurs de logiciels tiers. En revanche, Apple a commencé à supprimer progressivement les extensions du noyau dans macOS en 2020 et a incité les éditeurs de logiciels à utiliser le « framework d'extension du système », en citant les avantages en termes de fiabilité et de sécurité.
Cable ne demande pas à Microsoft de couper complètement l'accès au noyau Windows. Il propose plutôt des alternatives, telles que « les enclaves VBS récemment annoncées, qui fournissent un environnement informatique isolé qui ne nécessite pas que les pilotes du mode noyau soient résistants aux manipulations ».
Malgré cela, le billet de Cable soulève la question de savoir si les efforts déployés par Microsoft pour sécuriser l'accès au noyau pourraient nuire aux éditeurs de logiciels tiers. Par exemple, les logiciels antivirus peuvent utiliser l'accès au niveau du noyau pour surveiller les changements malveillants apportés au système d'exploitation Windows dès les premières étapes.
« Sans les privilèges du mode noyau, [les antivirus et les systèmes de détection et de réponse des points d'extrémité] sont extrêmement limités dans ce qu'ils peuvent faire. Cependant, nous ne pensons pas que Microsoft va vraiment révoquer l'accès au mode noyau pour les fournisseurs de sécurité », a tweeté le service de suivi des logiciels malveillants VX-Underground.
Pour sa part, Matthew Prince, PDG de Cloudflare, a déjà mis en garde contre les effets d'un verrouillage plus poussé de Windows par Microsoft, qui devra donc prendre soigneusement en compte les besoins des fournisseurs de solutions de sécurité s'il souhaite opérer un véritable changement.
Sources : parts de marché de CrowdStrike, Microsoft (1, 2)
Et vous ?
Faut-il repenser notre confiance envers les entreprises de cybersécurité après l’incident chez CrowdStrike ? Dans quelle mesure ? CrowdStrike : un avertissement pour les autres entreprises de cybersécurité ? 
Envoyé par 23JFK
