IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

CrowdStrike révise ses procédures de test et de déploiement de mises à jour pour éviter que ses logiciels provoquent des pannes,
Après la panne qui a mis hors service 8,5 millions de machines Windows

Le , par Mathis Lucas

18PARTAGES

3  0 
CrowdStrike annonce qu'il poursuivit ses efforts visant à éviter que ses équipes déploient à nouveau un logiciel défectueux et paralysent l'économie mondiale. La société de cybersécurité affirme avoir réorganisé ses procédures de test, de validation et de déploiement de mises à jour logicielles afin d'éviter que ne se reproduise la panne du 19 juillet 2024 qui a provoqué une perturbation généralisée des systèmes Windows dans le monde entier. L'absence de contrôle qualité chez CrowdStrike a occasionné un désastre qui a mis hors service 8,5 millions de systèmes Windows et a causé des dommages financiers évalués à environ 10 milliards de dollars.

CrowdStrike apporte des changements dans ses procédures de tests et déploiement

Le vice-président sénior de CrowdStrike, Adam Meyers, a été appelé à témoigner devant le Congrès Des États-Unis, plus précisément devant la sous-commission de la Chambre des représentants sur la cybersécurité. Lors de son témoignage, Adam Meyers a déclaré que CrowdStrike était sur la bonne voie pour réajuster le fonctionnement de ses équipes. Il a notamment présenté un nouvel ensemble de protocoles comprenant des mises à jour logicielles soigneusement contrôlées, une meilleure validation des entrées de code et de nouvelles procédures de test pour couvrir un plus large éventail de scénarios problématiques.


Adam Meyers a déclaré que CrowdStrike a introduit de nouveaux contrôles de validation pour s'assurer que le nombre d'entrées attendues par le capteur et ses règles prédéfinies correspond au même nombre de configurations de détection des menaces fournies. « Cette mesure est conçue pour éviter que des erreurs similaires ne se produisent à l'avenir », a-t-il souligné. Lors de son audition, Adam Meyers a présenté aux législateurs les améliorations suivantes :

Citation Envoyé par Adam Meyers

Depuis le 19 juillet 2024, nous avons apporté de nombreuses améliorations à nos processus de déploiement afin de les rendre plus robustes et d'éviter qu'un tel incident ne se reproduise, sans pour autant compromettre notre capacité à protéger nos clients contre des menaces cybernétiques en constante évolution :

1. Validation : nous avons introduit de nouveaux contrôles de validation pour nous assurer que le nombre d'entrées attendues par le capteur et ses règles prédéfinies correspond au même nombre de configurations de détection des menaces fournies. Cette mesure a pour but d'éviter que des disparités similaires ne se produisent à l'avenir ;

2. Tests : nous avons amélioré les procédures de test existantes pour couvrir un plus large éventail de scénarios. Il s'agit notamment de tester tous les champs de saisie dans diverses conditions afin de détecter les failles potentielles avant que les informations relatives à la configuration de détection des menaces ne soient envoyées rapidement au capteur.

3. Contrôle par le client : nous avons fourni aux clients des contrôles supplémentaires sur le déploiement des mises à jour de configuration sur leurs systèmes.

4. Déploiements : nos informations sur la configuration de la détection des menaces, connues sous le nom de « Rapid Response Content », sont désormais diffusées progressivement dans le cadre d'anneaux de déploiement de plus en plus nombreux. Cela nous permet de surveiller les problèmes dans un environnement contrôlé et d'annuler de manière proactive les changements si des problèmes sont détectés avant qu'ils n'affectent une population plus large.

5. Sauvegardes : nous avons ajouté au système des contrôles d'exécution supplémentaires, conçus pour garantir que les données fournies correspondent aux attentes du système avant tout traitement. Nous nous efforçons également de renforcer nos garanties en matière de validation et d'assurance qualité, notamment en mettant en œuvre des contrôles plus granulaires.

6. Examens par des tiers : nous avons engagé deux fournisseurs indépendants de sécurité logicielle pour effectuer des examens supplémentaires du code des capteurs Falcon et du contrôle de qualité de bout en bout, ainsi que des processus de validation.
CrowdStrike n'est pas la seule entreprise qui tente d'apporter des améliorations dans ses procédures. La panne du 19 juillet 2024 a également conduit Microsoft à envisager de revoir la manière dont les produits antivirus interagissent avec le noyau Windows. Par le passé, Microsoft avait échoué à réformer l'accès au noyau des fournisseurs de logiciels antivirus, mais après la panne, des experts ont appelé Microsoft à reconsidérer la question le plus rapidement possible.

Ainsi, l'Office fédéral de la sécurité de l'information (BSI) veut que Microsoft prenne des mesures appropriées pour réduire le risque d'une panne technique mondiale à l'avenir. Le régulateur vise à limiter l'accès des entreprises tierces au noyau Windows, un élément clé du système d'exploitation de Microsoft. Il souhaite que des changements fondamentaux soient apportés à la manière dont les entreprises de cybersécurité conçoivent leurs outils afin de limiter cet accès.

CrowdStrike assume l'entière responsabilité de la panne mondiale du 19 juillet 2024

Le 19 juillet 2024, le monde a été brutalement réveillé. CrowdStrike, une société américaine de cybersécurité, a diffusé une mise à jour défectueuse de son logiciel Falcon Sensor, provoquant le plantage d'environ 8,5 millions de systèmes Microsoft Windows. Il ne s'agissait pas d'un simple incident, mais de la plus grande panne de l'histoire des technologies de l'information. Les avions étaient cloués au sol, les banques gelées et les hôpitaux plongés dans le chaos. Le prix à payer ? Les analystes estiment les dommages financiers à au moins 10 milliards de dollars. CrowdStrike pourrait également être poursuivi en justice.


Adam Meyers, qui chargé des opérations de lutte contre les adversaires, a été entendu le 24 septembre 2024 par les législateurs de la sous-commission de la Chambre des représentants sur la cybersécurité. Lors de son audition, il a réitéré les excuses de son entreprise aujourd'hui lors d'une audition de la sous-commission de la Chambre des représentants et a ajouté que l'entreprise avait lancé une mise à jour de la configuration de son système logiciel Falcon Sensor.

Adam Meyers a déclaré : « nous sommes profondément désolés de ce qui s'est passé et nous sommes déterminés à éviter que cela ne se reproduise. Nous avons entrepris un examen complet de nos systèmes et commencé à mettre en œuvre des plans visant à renforcer nos procédures de mise à jour des contenus, afin de sortir renforcés de cette expérience ». Ils essaient toujours de regagner la confiance des clients après la panne mondiale du 19 juillet 2024.

Au cours de la séance d'interrogatoire, qui était dirigée par le représentant républicain Mark Green du Tennessee, Adam Meyers a noté que « CrowdStrike assume l'entière responsabilité » de la panne mondiale du 19 juillet 2024. Il a assuré que les problèmes n'étaient pas le résultat d'une cyberattaque et n'ont pas été induits par l'IA. Dans son rapport final sur les causes de l'incident, la société a attribué la panne à un bogue qui n'avait pas été détecté lors des tests.

« L'incident du 19 juillet est le résultat d'une confluence de facteurs qui ont finalement conduit le capteur Falcon à tenter de suivre une configuration de détection de menace pour laquelle il n'y avait pas de définition correspondante de ce qu'il fallait faire », a déclaré Adam Meyers. Après l'incident informatique, CrowdStrike a perdu environ 60 millions de dollars en ventes de contrats, l'incident ayant effrayé les clients qui cherchaient à conclure des contrats.

Lors de l'audition d'Adam Meyers, le représentant républicain Mark Green a déclaré : « des erreurs peuvent se produire. Cependant, nous ne pouvons pas permettre qu'une erreur de cette ampleur se reproduise. Une panne informatique mondiale qui touche tous les secteurs de l'économie est une catastrophe que l'on s'attendrait à voir dans un film. Nous nous attendons à ce qu'elle soit soigneusement exécutée par un acteur étatique malveillant et sophistiqué ».

CrowdStrike très critiqué pour ses pratiques laxistes en matière de cybersécurité

Le PDG de Delta a qualifié Microsoft de « plateforme probablement la plus fragile de l'écosystème informatique ». Burt Podbere a déclaré : « nous ne savons pas comment tout cela va se terminer. Tout ce que nous faisons et essayons de faire, c'est d'éloigner la discussion juridique de notre interaction avec les clients et de la déplacer vers la discussion commerciale. Et avec le temps, cela devient plus facile, car nous nous éloignons de plus en plus du soleil, n'est-ce pas ? C'est ainsi que nous voyons les choses ». Malheureusement pour Burt Podbere, les retombées de la panne ne sont pas près de s'estomper.


Les législateurs et les régulateurs américains veulent comprendre pourquoi la panne s'est produite. Un vice-président de la société a été appelé à témoigner devant la commission de la sécurité intérieure de la Chambre des représentants des États-Unis dans le courant du mois. Les actionnaires de CrowdStrike sont également mécontents et ont poursuivi le fournisseur de services de cybersécurité « pour sa technologie matériellement fausse et trompeuse ».

Au début de l'année, PodBurt Podbere a indiqué lors d'une conférence téléphonique avec des analystes que les accords avec les clients de l'entreprise contenaient des limitations de responsabilité et que l'entreprise détenait des polices d'assurance et maintenait des réserves de liquidités pour atténuer les effets d'éventuelles réclamations juridiques. Cependant, les investisseurs ont continué à faire baisser le cours de l'action de CrowdStrike en réaction à la panne.

Selon l'Office fédéral allemand de la sécurité de l'information, la panne a causé des interruptions de service pour de nombreuses entreprises, près de 48 % des organisations touchées ayant dû suspendre temporairement leurs opérations. L'interruption a duré en moyenne dix heures, affectant non seulement la continuité des affaires, mais aussi la collaboration avec les clients. Environ 40 % des entreprises ont signalé des dommages dans leurs relations avec les clients.

Face à cette situation, 4 % des organisations ont déjà abandonné leurs solutions de sécurité actuelles, et 6 % supplémentaires prévoient de le faire prochainement. Il n'a pas été précisé si cela concernait spécifiquement le produit Falcon de CrowdStrike ou s'il s'agissait d'une réaction spontanée à l'égard des fournisseurs de solutions de sécurité en général. De plus, 20 % des entreprises envisagent de revoir leurs critères de sélection pour les fournisseurs de sécurité.

Source : témoignage d'Adam Meyers devant la Chambre des représentants des États-Unis (PDF)

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des changements apportés par CrowdStrike dans ces procédures de tests, de validation et de déploiement ?
Cela permettra-t-il à CrowdStrike d'avoir un contrôle qualité plus fiable qu'auparavant ? Doit-il encore apporter des ajustements ?

Voir aussi

L'agence allemande de cybersécurité demande des changements dans les produits de Microsoft et de CrowdStrike après la panne technique, elle vise à limiter l'accès des entreprises tierces au noyau Windows

CrowdStrike accuse un bogue dans le logiciel de test d'avoir mis hors service 8,5 millions de machines Windows, car il n'a pas validé correctement la mise à jour du contenu qui a été diffusée sur les machines

Panne majeure de CrowdStrike : une organisation sur dix envisage de changer de fournisseur de sécurité, selon une étude récente de l'Office fédéral allemand de la sécurité des technologies de l'information

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Aiigl59
Membre actif https://www.developpez.com
Le 04/10/2024 à 16:43
"Un cadre supérieur de la société de cybersécurité CrowdStrike s'est excusé devant la Chambre des représentants des États-Unis"
ça nous fait une belle jambe !
2  0 
Avatar de OuftiBoy
Membre éprouvé https://www.developpez.com
Le 29/10/2024 à 21:07


Citation Envoyé par Mathis Lucas Voir le message
David Weston déclare : « la différence de gravité des problèmes entre le mode noyau et le mode utilisateur est que si vous tombez en panne dans le noyau, c'est toute la machine qui tombe en panne. Si une application tombe en panne en mode utilisateur, nous pouvons généralement la récupérer ». Cet état de choses peut amener à privilégier le mode utilisateur et à limiter l'accès au noyau pour protéger les clients de Windows. Mais Microsoft mise sur les SDP :
C'est le ba-ba niveau sécurité. C'est bien des bonnes pratiques, mais ça ne résoud pas le problème de fond. L'accès au noyau doit-être "sécurisé", point. Et le meilleur moyen, c'est d'en interdire l'accès. Au minimum, les sociétés ayant besoin de cet accès doivent travailler en "trés" étroite collaboration avec une équipe de Microsoft. Equipe dont ce serait la spécialité et l'unique but.

Citation Envoyé par Mathis Lucas Voir le message
Les SDP ne sont pas une idée nouvelle. L'USENIX a publié en 2004 un article de l'université d'Utrecht intitulé « A Safe and Policy-Free System for Software Deployment ». La première phrase de ce document est la suivante : « les systèmes existants pour le déploiement de logiciels ne sont ni sûrs ni suffisamment flexibles ». Ce problème des SDP n'a pas encore été résolu, et une telle solution est un aspect important des plans de Microsoft pour limiter les pannes futures.
C'est quand même étonnant de lire ça. Le document a plus de 20 ans... Ils n'avaient donc pas de plans avant cette panne ? C'était "open bar" et chacun faisait ce qu'il voulait dans son coin ? Pour un composant logiciel aussi "critique", il faut que l'éditeur de l'OS "certifie" ce logiciel. S'il n'est pas en mesure de la faire, alors c'est qu'il accepte l'état de fait que leur noyau peut être perturbé par n'importe qui faisant n'importe quoi, involontairement ou pas.

Citation Envoyé par Mathis Lucas Voir le message
Ce point a été discuté lors du sommet de septembre. Dans un billet de blogue sur le sommet, David Weston avait écrit : « cette riche discussion lors du sommet se poursuivra dans le cadre d'un effort de collaboration avec nos partenaires MVI [Microsoft Virus Initiative] afin de créer un ensemble partagé de meilleures pratiques que nous utiliserons en tant qu'écosystème à l'avenir ». Le billet abordait également les difficultés rencontrées par Microsoft et ses partenaires :

« Nous avons discuté des moyens d'éliminer les conflits entre les différentes approches SDP utilisées par nos partenaires et de réunir toutes les parties en un consensus sur les principes du SDP. Nous voulons que tout soit transparent, mais nous voulons aussi que cette norme devienne une exigence pour travailler avec Microsoft », explique David Weston à SecurityWeek. La question est de savoir comment Microsoft fera respecter l'application rigoureuse de ces mesures.
Bien dit, donc Microsoft n'avait non seulement pas de plan, mais est incapable d'en faire respecter un ? Y'a pas une IA pour ça ? C'est dit juste en dessous:

Citation Envoyé par Mathis Lucas Voir le message
Convenir d'un ensemble de pratiques de déploiement sûres et les exiger des partenaires est une chose ; s'assurer que ces partenaires emploient les SDP convenues en est une autre. « L'application technique serait un défi. La transparence et la responsabilité semblent être la meilleure méthode pour l'instant », affirme David Weston. Microsoft dispose toutefois d'un pouvoir. Si un partenaire a ignoré les SDP, Microsoft peut retirer sa signature à tout pilote de noyau.
Et comment savoir si ce "partenaire" a ignoré les SDP ? Une fois une panne découverte ? Parce que compter sur la "transparence et la responsabilité", c'est bien beau, mais ça n'êmpéchera pas une nouvelle catastrophe de se produire.

"Ce serait un défit technique"

Comment un responsable peut-il tenir de telles propos ? Ils ont assez de moyens financiers pour et des équipes en suffisance pour justement régler les "défits techniques". C'est un aveux d'impuissance terrible.

Citation Envoyé par Mathis Lucas Voir le message
« C'est de la même manière que nous travaillons aujourd'hui avec les agences de certification racine. Nous avons une norme, et si vous ne respectez pas cette norme de sécurité, nous pouvons vous retirer, ce qui aurait un impact considérable sur vos activités. En même temps, l'insistance sur la transparence montrerait aux clients que ce fournisseur n'est pas honnête avec eux. Nous pensons que ce niveau d'application est assez efficace », explique David Weston.
C'est bien qu'il le pense, mais des entreprises ont perdu des sommes considérables, et je trouve leur réponse un peu "juste"

Citation Envoyé par Mathis Lucas Voir le message
« En résumé, les SDP sont le meilleur outil dont nous disposons pour mettre fin aux interruptions de service. Le mode noyau, le mode utilisateur - je ne dis pas qu'ils ne sont pas valables, je dis simplement qu'ils représentent une partie beaucoup plus petite du problème. les SDP peuvent aider à prévenir les pannes à l'intérieur et à l'extérieur du noyau », a-t-il ajouté. David Weston n'a pas donné de détails sur les travaux de Microsoft et les fournisseurs de logiciels de sécurité.
Bref, le monsieur dit, c'est "un défit technique", on a ni les moyens, ou ni l'envie, et/ou ni la compétence pour régler cela, alors on compte sur la bonne volonté et les bonnes pratique.

Citation Envoyé par Mathis Lucas Voir le message
Source : David Weston, vice-président de la sécurité des entreprises et des systèmes d'exploitation chez Microsoft
Nous voilà rassuré

Citation Envoyé par Mathis Lucas Voir le message
Et vous ?
Citation Envoyé par Mathis Lucas Voir le message
Quel est votre avis sur le sujet ?
Mon avis est que tout celà n'est pas rassurant du tout.

Citation Envoyé par Mathis Lucas Voir le message
Que pensez-vous de l'avis de Microsoft sur la restriction de l'accès au noyau Windows ?
Apparemment, il y aura restriction après la découverte de "mauvaise pratique", en retirant le certificat. Il faudrait inverser l'ordre des choses, c'est à dire au minimum s'assurer AVANT de permettre la diffusion que les "bonnes pratiques" ont été respectées.

Citation Envoyé par Mathis Lucas Voir le message
Que pensez-vous des « pratiques de déploiement sûres » (SDP) mises en avant par Microsoft ?
Que ça n'empêchera pas d'autres pannes de ce genre.

Citation Envoyé par Mathis Lucas Voir le message
Selon vous, en quoi pourraient constituer « ces pratiques de déploiement sûres » ?
C'est à Microsoft qu'il faudrait poser cette question. Je ne suis pas expert du noyau Windows, mais dire que ce serait un "défit technique", pour une société comme Microsoft me laisse sans voie.

Citation Envoyé par Mathis Lucas Voir le message
Cette approche permettrait-elle de garantir la sécurité du noyau Windows et limiter les pannes à l'avenir ?
J'ai des doutes...

BàV et Peace & Love.
2  0 
Avatar de calvaire
Expert éminent https://www.developpez.com
Le 30/10/2024 à 9:30
ce que je repproche a windows ce sont les outils pour réparer l'os completement inexistant.

déja l'outil pour faire des sauvegarde, c'est écrit windows 7 dessus, ms la abandonné sans proposer d'alternative et pour se dédouaner de toute responsabilité sur les autres versions de l'os a mis "windows 7".

ensuite, pour debugger un écran bleu c'est une catastrophe, sous linux on a des logs erreurs bien explicite, pas des core d'erreurs obscure.

ensuite, les outils de réparations de l'os fournie dans le cd d'install, c'est obscure, ca affiche un message tentative de réparation en cours sans rien savoir de ce qu'il fait
meme chose pour le mode sans echec, dans windows xp en mode sans échec il affichait les fichiers qu'il chargeait au moins.

si l'os pouvait dire quels fichiers ont été ajouté pour chaque programme aussi, un peu comme on a avec apt.

le must serait un mode command line minimal comme sous linux avec un microkernel de secours, ca permettrait de manipuler l'os, de supprimer des drivers ou les programmes qui corrompt l'os.
2  0 
Avatar de Tigrou08
Candidat au Club https://www.developpez.com
Le 06/10/2024 à 13:37
Dans un monde DevOPs/SysOps et autre mode de déploiement logiciel, cette société si célèbre semble avoir des trous dans la raquette, pas à la hauteur
1  0 
Avatar de floyer
Membre éclairé https://www.developpez.com
Le 30/10/2024 à 9:44
Oui, Windows n’est pas un OS qui se suffit à lui même. Personnellement j’utilise Macrium Reflect pour les sauvegardes : j’ai une image disque, et une clé USB bootable pour la restauration. C’est assez efficace (déjà utilisé avec un système qui ne démarrait plus suite à une mise à jour).
1  0 
Avatar de PomFritz
Membre confirmé https://www.developpez.com
Le 25/09/2024 à 21:39
4. Déploiements : nos informations sur la configuration de la détection des menaces, connues sous le nom de « Rapid Response Content », sont désormais diffusées progressivement dans le cadre d'anneaux de déploiement de plus en plus nombreux. Cela nous permet de surveiller les problèmes dans un environnement contrôlé et d'annuler de manière proactive les changements si des problèmes sont détectés avant qu'ils n'affectent une population plus large.
Ce qui est à mon avis le plus scandaleux dans ce qu'il s'est passé. Les mecs ont poussé la màj dans la nuit chez eux en se foutant du reste du monde. ça dit tout...
0  0 
Avatar de shenron666
Expert confirmé https://www.developpez.com
Le 05/10/2024 à 17:08
le monde professionnel accorde infiniment trop d'importance à cette société
si elle est capable de provoquer cette paralysie d'une simple mise à jour involontairement défectueuse, imaginez s'il y a délibérément intention de nuire ?

en attendant, ça me parait absurde que l'on en parle comme de la plus grande panne informatique de l’histoire
est-ce que cette panne a provoquée la mort ? j'espère que non car dans ce cas Crowdstrike dvrait être poursuivi pour cela
0  0 
Avatar de xmornard
Membre à l'essai https://www.developpez.com
Le 29/10/2024 à 23:37
Le fait que Microsoft refuse de verrouiller l'accès au PC de chacun en dit long sur la philosophie général qu'ils veulent mettre en place sans l'avouer: ils veulent permettre que toute entreprise prêt à payer l'accès ai le droit de faire ce qu'il veut sur votre poste de travail sans vous demander votre avis (y compris les pirates du coup). Dit d'une autre manière: votre PC ne vous appartient plus. Et ceci depuis l'essor du Web, puisque c'est maintenant vous le produit. Petit exemple: comment se fait-il que les PCs soient de plus en plus au fil du temps même sans ajouter des logiciels? et même si on ajoute des logiciels qui ne se lancent pas au démarrage du PC, pourquoi est-ce qu'ils ralentissent tout le système? A se demander si nos PCs ne sont pas sabotés avec le temps qui passe pour forcer à en racheter un nouveau plus tard...
0  0 
Avatar de Etre_Libre
Membre éprouvé https://www.developpez.com
Le 30/10/2024 à 7:04
A l'époque de Windows Vista, Microsoft voulait blinder le noyau, mais a cédé face aux pressions des éditeurs antivirus et l'Europe :
https://www.clubic.com/actualite-395...ta-accede.html

"Au centre d'une grosse polémique (voir Europe : McAfee rejoint Symantec contre Vista, Symantec et Adobe recrutent l'Europe contre Vista et Kaspersky soutient Microsoft au sujet de Vista), l'accès au noyau de Windows Vista par les logiciels de sécurité devrait finalement être rendu possible. C'est en effet ce que Microsoft a fait savoir la semaine dernière sans donner de plus amples détails (voir l'actu Windows Vista : des modifications pour l'Europe).

Aujourd'hui, on sait Microsoft donnera accès au « Kernel » des versions 64 bits de son système. La firme de Redmond proposera ainsi une nouvelle API (Application Programming Interfaces) qui autorisera effectivement certains développeurs « triés sur le volet » à avoir accès au noyau de Vista. « Nous devons créer une nouvelle API permettant aux développeurs de solutions de sécurité tiers qui proposent un accès au noyau de Windows de façon sécurisée », précise un responsable de la firme à ce sujet."
0  0