CrowdStrike annonce qu'il poursuivit ses efforts visant à éviter que ses équipes déploient à nouveau un logiciel défectueux et paralysent l'économie mondiale. La société de cybersécurité affirme avoir réorganisé ses procédures de test, de validation et de déploiement de mises à jour logicielles afin d'éviter que ne se reproduise la panne du 19 juillet 2024 qui a provoqué une perturbation généralisée des systèmes Windows dans le monde entier. L'absence de contrôle qualité chez CrowdStrike a occasionné un désastre qui a mis hors service 8,5 millions de systèmes Windows et a causé des dommages financiers évalués à environ 10 milliards de dollars.CrowdStrike apporte des changements dans ses procédures de tests et déploiement
Le vice-président sénior de CrowdStrike, Adam Meyers, a été appelé à témoigner devant le Congrès Des États-Unis, plus précisément devant la sous-commission de la Chambre des représentants sur la cybersécurité. Lors de son témoignage, Adam Meyers a déclaré que CrowdStrike était sur la bonne voie pour réajuster le fonctionnement de ses équipes. Il a notamment présenté un nouvel ensemble de protocoles comprenant des mises à jour logicielles soigneusement contrôlées, une meilleure validation des entrées de code et de nouvelles procédures de test pour couvrir un plus large éventail de scénarios problématiques.
Adam Meyers a déclaré que CrowdStrike a introduit de nouveaux contrôles de validation pour s'assurer que le nombre d'entrées attendues par le capteur et ses règles prédéfinies correspond au même nombre de configurations de détection des menaces fournies. « Cette mesure est conçue pour éviter que des erreurs similaires ne se produisent à l'avenir », a-t-il souligné. Lors de son audition, Adam Meyers a présenté aux législateurs les améliorations suivantes :
Envoyé par Adam Meyers
Depuis le 19 juillet 2024, nous avons apporté de nombreuses améliorations à nos processus de déploiement afin de les rendre plus robustes et d'éviter qu'un tel incident ne se reproduise, sans pour autant compromettre notre capacité à protéger nos clients contre des menaces cybernétiques en constante évolution :
1. Validation : nous avons introduit de nouveaux contrôles de validation pour nous assurer que le nombre d'entrées attendues par le capteur et ses règles prédéfinies correspond au même nombre de configurations de détection des menaces fournies. Cette mesure a pour but d'éviter que des disparités similaires ne se produisent à l'avenir ;
2. Tests : nous avons amélioré les procédures de test existantes pour couvrir un plus large éventail de scénarios. Il s'agit notamment de tester tous les champs de saisie dans diverses conditions afin de détecter les failles potentielles avant que les informations relatives à la configuration de détection des menaces ne soient envoyées rapidement au capteur.
3. Contrôle par le client : nous avons fourni aux clients des contrôles supplémentaires sur le déploiement des mises à jour de configuration sur leurs systèmes.
4. Déploiements : nos informations sur la configuration de la détection des menaces, connues sous le nom de « Rapid Response Content », sont désormais diffusées progressivement dans le cadre d'anneaux de déploiement de plus en plus nombreux. Cela nous permet de surveiller les problèmes dans un environnement contrôlé et d'annuler de manière proactive les changements si des problèmes sont détectés avant qu'ils n'affectent une population plus large.
5. Sauvegardes : nous avons ajouté au système des contrôles d'exécution supplémentaires, conçus pour garantir que les données fournies correspondent aux attentes du système avant tout traitement. Nous nous efforçons également de renforcer nos garanties en matière de validation et d'assurance qualité, notamment en mettant en œuvre des contrôles plus granulaires.
6. Examens par des tiers : nous avons engagé deux fournisseurs indépendants de sécurité logicielle pour effectuer des examens supplémentaires du code des capteurs Falcon et du contrôle de qualité de bout en bout, ainsi que des processus de validation.
Ainsi, l'Office fédéral de la sécurité de l'information (BSI) veut que Microsoft prenne des mesures appropriées pour réduire le risque d'une panne technique mondiale à l'avenir. Le régulateur vise à limiter l'accès des entreprises tierces au noyau Windows, un élément clé du système d'exploitation de Microsoft. Il souhaite que des changements fondamentaux soient apportés à la manière dont les entreprises de cybersécurité conçoivent leurs outils afin de limiter cet accès.
CrowdStrike assume l'entière responsabilité de la panne mondiale du 19 juillet 2024
Le 19 juillet 2024, le monde a été brutalement réveillé. CrowdStrike, une société américaine de cybersécurité, a diffusé une mise à jour défectueuse de son logiciel Falcon Sensor, provoquant le plantage d'environ 8,5 millions de systèmes Microsoft Windows. Il ne s'agissait pas d'un simple incident, mais de la plus grande panne de l'histoire des technologies de l'information. Les avions étaient cloués au sol, les banques gelées et les hôpitaux plongés dans le chaos. Le prix à payer ? Les analystes estiment les dommages financiers à au moins 10 milliards de dollars. CrowdStrike pourrait également être poursuivi en justice.
Adam Meyers, qui chargé des opérations de lutte contre les adversaires, a été entendu le 24 septembre 2024 par les législateurs de la sous-commission de la Chambre des représentants sur la cybersécurité. Lors de son audition, il a réitéré les excuses de son entreprise aujourd'hui lors d'une audition de la sous-commission de la Chambre des représentants et a ajouté que l'entreprise avait lancé une mise à jour de la configuration de son système logiciel Falcon Sensor.
Adam Meyers a déclaré : « nous sommes profondément désolés de ce qui s'est passé et nous sommes déterminés à éviter que cela ne se reproduise. Nous avons entrepris un examen complet de nos systèmes et commencé à mettre en œuvre des plans visant à renforcer nos procédures de mise à jour des contenus, afin de sortir renforcés de cette expérience ». Ils essaient toujours de regagner la confiance des clients après la panne mondiale du 19 juillet 2024.
Au cours de la séance d'interrogatoire, qui était dirigée par le représentant républicain Mark Green du Tennessee, Adam Meyers a noté que « CrowdStrike assume l'entière responsabilité » de la panne mondiale du 19 juillet 2024. Il a assuré que les problèmes n'étaient pas le résultat d'une cyberattaque et n'ont pas été induits par l'IA. Dans son rapport final sur les causes de l'incident, la société a attribué la panne à un bogue qui n'avait pas été détecté lors des tests.
« L'incident du 19 juillet est le résultat d'une confluence de facteurs qui ont finalement conduit le capteur Falcon à tenter de suivre une configuration de détection de menace pour laquelle il n'y avait pas de définition correspondante de ce qu'il fallait faire », a déclaré Adam Meyers. Après l'incident informatique, CrowdStrike a perdu environ 60 millions de dollars en ventes de contrats, l'incident ayant effrayé les clients qui cherchaient à conclure des contrats.
Lors de l'audition d'Adam Meyers, le représentant républicain Mark Green a déclaré : « des erreurs peuvent se produire. Cependant, nous ne pouvons pas permettre qu'une erreur de cette ampleur se reproduise. Une panne informatique mondiale qui touche tous les secteurs de l'économie est une catastrophe que l'on s'attendrait à voir dans un film. Nous nous attendons à ce qu'elle soit soigneusement exécutée par un acteur étatique malveillant et sophistiqué ».
CrowdStrike très critiqué pour ses pratiques laxistes en matière de cybersécurité
Le PDG de Delta a qualifié Microsoft de « plateforme probablement la plus fragile de l'écosystème informatique ». Burt Podbere a déclaré : « nous ne savons pas comment tout cela va se terminer. Tout ce que nous faisons et essayons de faire, c...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
C'est le ba-ba niveau sécurité. C'est bien des bonnes pratiques, mais ça ne résoud pas le problème de fond. L'accès au noyau doit-être "sécurisé", point. Et le meilleur moyen, c'est d'en interdire l'accès. Au minimum, les sociétés ayant besoin de cet accès doivent travailler en "trés" étroite collaboration avec une équipe de Microsoft. Equipe dont ce serait la spécialité et l'unique but.
C'est dit juste en dessous:
Et comment savoir si ce "partenaire" a ignoré les SDP ? Une fois une panne découverte ? Parce que compter sur la "transparence et la responsabilité", c'est bien beau, mais ça n'êmpéchera pas une nouvelle catastrophe de se produire. 
Quel est votre avis sur le sujet ?
