Discussion :

[Jade Emy]

Microsoft accuse les règles de l'UE d'avoir permis la plus grande panne informatique au monde : l'accord européen a empêché Microsoft d'apporter des modifications bloquant la mise à jour de CrowdStrike.

Microsoft accuse l'UE d'être à l'origine de la panne mondiale. Un accord conclu en 2009 avec l'Europe est la raison pour laquelle Microsoft ne peut pas verrouiller davantage son système d'exploitation pour en renforcer la sécurité, d'après Microsoft.

Le 19 juillet 2024, une panne informatique mondiale a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan. Les écrans bleus de la mort ont perturbé le fonctionnement normal des machines Windows, affichant le message : “Recovery: It looks like Windows didn’t load correctly.”

L’entreprise de cybersécurité américaine CrowdStrike a reconnu être à l’origine de ces problèmes. Le directeur général de CrowdStrike, George Kurtz, a confirmé qu'un « défaut » dans une mise à jour de contenu pour les hôtes Windows était à l'origine de la panne, et Kurtz a exclu une cyberattaque. Il a ajouté que l'entreprise était en train de déployer un correctif et que les hôtes Mac et Linux n'étaient pas affectés.

De son côté, Microsoft pointe du doigt l'UE pour son incapacité à verrouiller Windows. Un article publié par le Wall Street Journal se termine par un point intéressant soulevé par un porte-parole de Microsoft concernant la sécurité du système d'exploitation Windows. Le porte-parole, qui n'est pas cité mot pour mot, aurait déclaré qu'un accord conclu en 2009 avec la Commission européenne est la raison pour laquelle Microsoft ne peut pas verrouiller davantage son système d'exploitation afin d'en renforcer la sécurité.

À la suite d'une plainte, a déclaré le porte-parole, Microsoft a convenu en 2009 avec la Commission européenne d'accorder aux fabricants de logiciels de sécurité le même niveau d'accès à Windows que celui dont bénéficie Microsoft. Cette décision signifie que les éditeurs de logiciels de sécurité ont une plus grande capacité à perturber les systèmes, comme l'a fait CrowdStrike en paralysant 8,5 millions de PC Windows dans le monde. Microsoft est depuis venu à la rescousse avec un outil de correction automatique pour les utilisateurs concernés.

Le document décrivant l'accord entre Microsoft et la Commission européenne est disponible sous la forme d'un fichier Doc sur le site web de Microsoft. Ce document indique que Microsoft est tenu de mettre à la disposition des fabricants tiers de logiciels de sécurité les API de ses systèmes d'exploitation Windows Client et Serveur qui sont utilisées par ses produits de sécurité. Le document précise que Microsoft doit également documenter les API sur le Microsoft Developer Network, sauf lorsqu'elles créent des risques pour la sécurité.

Permettre aux éditeurs de logiciels de sécurité d'accéder à ces API est certes une bonne chose pour assurer des conditions de concurrence équitables, ce qui était la préoccupation de l'UE, mais ce n'est pas une bonne chose pour la sécurité, comme lorsque CrowdStrike a mis hors service des machines très importantes, provoquant le chaos dans le monde entier.

Paradoxalement, alors que l'UE cherche à rendre les choses équitables, Apple et Google, qui fabriquent macOS et ChromeOS, ne sont pas soumis aux mêmes restrictions... pour l'instant. Selon le WSJ, Apple a annoncé aux développeurs en 2020 que son système d'exploitation ne leur donnerait plus accès au niveau du noyau. Si ce changement a obligé les développeurs à modifier leurs logiciels, il a également permis de réduire les risques d'erreur.

Ces dernières années, l'Union européenne a renforcé les mesures visant à lutter contre les comportements anticoncurrentiels des grandes entreprises technologiques. Il est donc peu probable qu'elle permette à Microsoft de verrouiller davantage Windows, malgré les avantages qu'elle en tirerait.

Sources : The Wall Street Journal, Accord de 2009 entre l'UE et Microsoft

Et vous ?

Quel est votre avis sur le sujet ?
Pensez-vous que la position de Microsoft soit crédible ou pertinente ?

Voir aussi :

Les services de Microsoft étaient également hors service au moment de la panne provoquée par CrowdStrike provoquant la confusion quant à la responsabilité de chaque panne : Microsoft, CrowdStrike, ou les deux?

Pour réparer l'écran bleu de la mort provoqué par la mise à jour défectueuse de CrowdStrike, il suffit de redémarrer 15 fois d'affilée, selon Microsoft

[Anthony]

Panne Microsoft/CrowdStrike : à l'avenir, l'adoption de l'environnement d'exécution sécurisé du noyau eBPF évitera-t-elle les pannes à cause de mauvaises mises à jour logicielles, y compris le code du noyau ?

Dans un article récent, des experts d'Intel, d'Isovalent et de Google expliquent comment l'eBPF, un environnement d'exécution sécurisé du noyau, pourrait empêcher de futures pannes mondiales comme celle qui a touché les utilisateurs de Microsoft et de CrowdStrike. Les auteurs affirment que les contrôles de sécurité et les capacités de sandboxing de l'eBPF l'immunisent contre les pannes du noyau causées par de mauvaises mises à jour logicielles. L'adoption croissante de l'eBPF dans les systèmes Linux et Windows promet de révolutionner la sécurité et la stabilité des ordinateurs dans divers secteurs.

Le 19 juillet 2024, une panne informatique mondiale de Microsoft a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan.

L'eBPF est une technologie qui permet d'exécuter des programmes dans un contexte privilégié tel que le noyau du système d'exploitation. Il succède au mécanisme de filtrage Berkeley Packet Filter (BPF, le « e » signifiant à l'origine « étendu ») dans Linux et est également utilisé dans les parties du noyau Linux qui ne concernent pas les réseaux. L'eBPF est utilisé pour étendre de manière sûre et efficace les capacités du noyau au moment de l'exécution sans nécessiter de modifications du code source du noyau ou de chargement de modules du noyau. La sécurité est assurée par un vérificateur intégré au noyau qui effectue une analyse statique du code et rejette les programmes qui se plantent, se bloquent ou interfèrent négativement avec le noyau.

À l'avenir, les ordinateurs ne tomberont pas en panne à cause de mauvaises mises à jour logicielles, même celles qui concernent le code du noyau. À l'avenir, ces mises à jour pousseront le code eBPF.

Le vendredi 19 juillet a fourni un exemple sans précédent des dangers inhérents à la programmation du noyau, et a été qualifié de plus grande panne de l'histoire des technologies de l'information. Les ordinateurs Windows du monde entier ont connu des écrans bleus de la mort et des boucles de démarrage, provoquant des pannes dans les hôpitaux, les compagnies aériennes, les banques, les épiceries, les diffuseurs de médias et bien d'autres encore. Cette situation a été provoquée par une mise à jour de configuration effectuée par une société de sécurité pour son produit largement utilisé, qui incluait un pilote de noyau sur les systèmes Windows. La mise à jour a amené le pilote du noyau à essayer de lire une mémoire non valide, un type d'erreur qui fait planter le noyau.

Pour les systèmes Linux, l'entreprise à l'origine de cette panne était déjà en train d'adopter eBPF, qui est immunisé contre de telles pannes. Une fois que la prise en charge de l'eBPF par Microsoft pour Windows sera prête pour la production, les logiciels de sécurité Windows pourront également être portés sur l'eBPF. Ces agents de sécurité seront alors sûrs et incapables de provoquer une panne du noyau Windows.

eBPF (qui n'est plus un acronyme) est un environnement d'exécution sécurisé du noyau, similaire au moteur d'exécution JavaScript sécurisé intégré dans les navigateurs web. Si vous utilisez Linux, vous disposez probablement déjà d'eBPF sur vos systèmes, que vous le sachiez ou non, car il a été inclus dans le noyau il y a plusieurs années. Les programmes eBPF ne peuvent pas faire planter l'ensemble du système parce qu'ils sont contrôlés par un vérificateur de logiciels et sont effectivement exécutés dans un bac à sable. Si le vérificateur trouve un code dangereux, le programme est rejeté et n'est pas exécuté. Le vérificateur est rigoureux - l'implémentation Linux compte plus de 20 000 lignes de code - et bénéficie de contributions de l'industrie (Meta, Isovalent, Google) et du monde universitaire (Rutgers University, University of Washington). La sécurité qu'elle procure est un avantage clé de l'eBPF, au même titre que la sécurité accrue et l'utilisation réduite des ressources.

Certaines start-ups de sécurité basées sur eBPF (par exemple, Oligo, Uptycs) ont fait leurs propres déclarations sur la récente panne et sur les avantages de la migration vers eBPF. Les grandes entreprises technologiques adoptent également l'eBPF pour la sécurité. Par exemple, Cisco a acquis la start-up Isovalent, spécialisée dans l'eBPF, et a annoncé un nouveau produit de sécurité eBPF : Cisco Hypershield, une structure pour l'application et la surveillance de la sécurité. Google et Meta font déjà confiance à l'eBPF pour détecter et arrêter les mauvais acteurs dans leur flotte, grâce à la vitesse, à la visibilité approfondie et aux garanties de sécurité de l'eBPF. Au-delà de la sécurité, l'eBPF est également utilisé pour la mise en réseau et l'observabilité.

La pire chose qu'un programme eBPF puisse faire est de consommer plus de ressources qu'il n'est souhaitable, comme les cycles de l'unité centrale et la mémoire. eBPF ne peut pas empêcher les développeurs d'écrire du mauvais code - du code gaspillé - mais il empêchera les problèmes graves qui causent un crash du système. Cela dit, en tant que nouvelle technologie, l'eBPF a connu quelques bogues dans son code de gestion, notamment une panique du noyau Linux découverte par la même société de sécurité qui fait l'actualité aujourd'hui. Cela ne signifie pas que l'eBPF n'a rien résolu, remplaçant le bogue d'un fournisseur par le sien. La correction de ces bogues dans eBPF signifie la correction de ces bogues pour tous les fournisseurs d'eBPF, et l'amélioration plus rapide de la sécurité de tous.

Il existe d'autres moyens de réduire les risques lors du déploiement d'un logiciel : les tests canaris, les déploiements échelonnés et l'« ingénierie de la résilience » en général. Ce qui est important dans la méthode eBPF, c'est qu'il s'agit d'une solution logicielle qui sera disponible par défaut dans les noyaux Linux et Windows, et qui a déjà été adoptée pour ce cas d'utilisation.

Si votre entreprise paie pour un logiciel commercial qui comprend des pilotes ou des modules de noyau, vous pouvez faire de l'eBPF une exigence. C'est possible pour Linux aujourd'hui, et pour Windows bientôt. Si certains éditeurs ont déjà adopté l'eBPF de manière proactive, d'autres pourraient avoir besoin d'un peu d'encouragement de la part de leurs clients payants.

Sources : Brendan Gregg d'Intel ; Daniel Borkmann et Joe Stringer d'Isovalent ; KP Singh de Google

Et vous ?

Quel est votre avis sur le sujet ?
Pensez-vous que l'adoption de l'eBPF permettra à l'avenir de prévenir les pannes d'ordinateurs similaires à celle de Microsoft/CrowdStrike ?

Voir aussi :

Une panne chez Microsoft provoquée par une mise à jour logicielle de CrowdStrike a des répercussions mondiales, touchant divers secteurs tels que les compagnies aériennes, les banques, les organismes de santé

Microsoft adopte l'outil révolutionnaire eBPF du noyau Linux et veut l'étendre pour Windows en exploitant les projets open source existants, comme IOVisor uBPF et PREVAIL

[sevyc64]

1./ Y'a-t-il quelqu'un qui sait pourquoi il faut redémarrer 15x (et non pas 7x ou 26x, ou mieux, 1 seule fois) ?

A priori ça serait le temps que la mise à jour puisse être complètement téléchargée et installée avant le plantage.
Les machines peu puissantes, machines virutelles, etc, seraient à priori corrigée plus rapidement car mettant plus de temps à complètement démarrer, le correctif aurait plus de temps pour arriver à se charger avant que le système ne plante.

2./Y'a-t-il quelqu'un qui sait pourquoi il faut tant de temps pour que le driver responsable soit corrigé et disponible ? J'ai bien entendu dire qu'il s'agissait d'un bug, donc c'est que ce bug a été identifié, et donc pourquoi cela prend-t-il autant de temps pour corriger ou du moins contourner le soucis ?

Le correctif a été apparemment publier dans les minutes qui ont suivies l'identification du problème

3./ Une fois le driver corrigé, comment devra-t-il être installé ? Via une mise à jour ou en repassant par le mode sans échec ?

Par le même canal que la mise à jour foireuse. Ce n'est pas le driver qui est incriminé, mais un fichier de signature (au sens anti-virus) qui faisait planté le driver. Le fichier a été retiré et dans les minutes qui ont suivis l'identification du problème dans ce fichier, un nouveau fichier corrigé a été publié.

5./ On parle le 8.5 millions de machines impactées, comment ont-elles été identifiées ?

Très certainement par la télémétrie automatique de Windows, qui remonte en permanence un certain nombre d'infos de chaque machine à Microsoft

6./ Le mode sans échec permet de ne pas charger les drivers. Microsoft peut-il faire une mise à jour qui empêche en mode normal que ce driver bien particulier de se charger ?

Sans doute, mais encore faut-il que le système fonctionne suffisamment longtemps sans planter pour avoir le temps de télécharger une mise à jour. Et puis Microsoft n'a même pas besoin d'agir puisque dans ce cas, la correction du fichier foireux aura été téléchargée directement par le logiciel de CrowdStrike

[TotoParis]

J'avais lu ailleurs qu'il fallait redémarrer un mode sans échec et virer :
1️⃣ Boot Windows in safe mode
2️⃣ Navigate to the directory C:\Windows\System32\drivers\CrowdStrike
3️⃣ Delete the files that follow the pattern “C-00000291*.sys”
4️⃣ Restart normally

[OuftiBoy]

À la suite d'une plainte, a déclaré le porte-parole, Microsoft a convenu en 2009 avec la Commission européenne d'accorder aux fabricants de logiciels de sécurité le même niveau d'accès à Windows que celui dont bénéficie Microsoft. Cette décision signifie que les éditeurs de logiciels de sécurité ont une plus grande capacité à perturber les systèmes, comme l'a fait CrowdStrike en paralysant 8,5 millions de PC Windows dans le monde. Microsoft est depuis venu à la rescousse avec un outil de correction automatique pour les utilisateurs concernés.

Le document décrivant l'accord entre Microsoft et la Commission européenne est disponible sous la forme d'un fichier Doc sur le site web de Microsoft. Ce document indique que Microsoft est tenu de mettre à la disposition des fabricants tiers de logiciels de sécurité les API de ses systèmes d'exploitation Windows Client et Serveur qui sont utilisées par ses produits de sécurité. Le document précise que Microsoft doit également documenter les API sur le Microsoft Developer Network, sauf lorsqu'elles créent des risques pour la sécurité.

Permettre aux éditeurs de logiciels de sécurité d'accéder à ces API est certes une bonne chose pour assurer des conditions de concurrence équitables, ce qui était la préoccupation de l'UE, mais ce n'est pas une bonne chose pour la sécurité, comme lorsque CrowdStrike a mis hors service des machines très importantes, provoquant le chaos dans le monde entier.

Il semble donc que pour des raisons de sécurité, Microsoft voulait adopter la bonne solution, mais que nos éminences grise européenne, sachant tout mieux que tout le monde, n'a pas autorisé Microsoft à sécuriser son OS comme cela aurait dû être le cas, ce qui était exactement ma position.

Cependant, le sauf lorsqu'elles créent des risques pour la sécurité. aurait dû permettre à Microsoft de d'écarter le "driver" de CrowdStrike en question de son OS. Pourquoi ne l'ont-ils pas fait ? Mystère. De plus, il n'y a pas que l'Europe qui a été touchée. Je ne comprend pas trop ce flou. Il y a certainement d'autres détails qui sortiront dans les jours qui viennent.

Il y avait donc bien des possibilités techniques pour qu'un problème de la sorte ne se produise pas.

Si on suis le raisonnement de notre bien aimée Europe, on finira par accepter qu'un plombier lambda aille resserrer quelques boulons dans un réacteur nucléaire :-)

[TotoParis]

Il y a l'explication technique ici : https://macbidouille.com/news/2024/0...0-adresse-0x9c



CrowdStrike: une lecture mémoire via un pointeur visant la page 0 (adresse 0x9c)

Par Philippe - Dimanche 21 juillet, 14:09 - Catégorie : PC

Il y a eu plusieurs hypothèses qui ont été relayées y-compris ici-même et par votre serviteur, dont une erreur dans les règles ou patterns de détection de virus, qui auraient alors mis en quarantaine des fichiers indispensables à Windows.
Cela ne collait pas avec le fix rapide consistant à éliminer un fichier .sys, puisqu'il aurait alors fallu aussi ramener le ou les fichiers en quarantaine dans leurs emplacements d'origine.
Ça aurait du attirer mon attention. Mais les informations reçues étaient contradictoires.
Grâce à Zach Vorhies on a une piste très crédible.
Non un "Null Pointer" (Pointeur nul valant 0) comme il l'indique, pas un "

" (déréférencement mémoire d'un pointeur valant 0), mais une lecture indirecte de la page 0 via un pointeur non-null (à l'adresse 0x9c précisément).
La page 0 est protégée des accès en lecture et en écriture par le Kernel de Window justement pour provoquer une exception lors de ceux-ci car c'est une erreur courante en assembleur, en C et dans tous les langages où le programmeur gère lui-même les pointeurs via son code.
On ne peut pas protéger matériellement uniquement l'adresse 0, c'est donc toute la page qui est protégée.
L'accès à cette page, que ça soit en lecture ou en écriture, déclenche une Exception de type Violation d'Accès, et généralement l'arrêt du programme si en mode utilisateur.
En mode Kernel, comme c'est le cas ici, cette Exception déclenche le crash du Kernel et donc de Windows!
C'est le jeu de données utilisé "Channel 291" du produit Sensor de CrowdStrike, destiné aux versions sous Windows 7.11 et suivant qui a généré une erreur de logique, expliquant que le problème ne se produise pas sous macOS ou Linux.
Les cause-racines sont une non-validation des données lues par le code (un grand classique), d'avoir poussé une MàJ non validée, d'avoir mis des données corrompues dans une MàJ, et de ne pas avoir procédé à des tests corrects.
CrowdStrike va vraiment avoir des réponses à apporter...

[Stéphane le calme]

Falcon Sensor de CrowdStrike a également causé des problèmes sur les machines Linux récemment,
les professionnels estiment que la situation n'est pas comparable aux BSoD provoquées sur Windows

Le désormais célèbre logiciel Falcon Sensor de CrowdStrike, qui a provoqué la semaine dernière des pannes généralisées d'ordinateurs fonctionnant sous Windows, a également provoqué des pannes sur des machines Linux.

C'est en tout cas ce que ce sont empressés de rapportés les médias.

L'un d'eux note par exemple :

« En juin, Red Hat a averti ses clients d'un problème décrit comme "Kernel panic observed after booting 5.14.0-427.13.1.el9_4.x86_64 by falcon-sensor process" (panique du noyau observée après le démarrage de 5.14.0-427.13.1.el9_4.x86_64 par le processus falcon-sensor) qui a affecté certains utilisateurs de Red Hat Enterprise Linux 9.4 après (comme le suggère l'avertissement) avoir démarré sur la version 5.14.0-427.13.1.el9_4.x86_64 du noyau.

« Un second problème intitulé "System crashed at cshook_network_ops_inet6_sockraw_release+0x171a9" conseille aux utilisateurs "d'obtenir de l'aide pour résoudre les problèmes potentiels liés au module noyau falcon_lsm_serviceable fourni par la suite logicielle de sécurité CrowdStrike Falcon Sensor/Agent". Red Hat a également indiqué que "la désactivation de la suite logicielle CrowdStrike Falcon Sensor/Agent ... atténuera les pannes et apportera une stabilité temporaire au système en question pendant que le problème est étudié". Le problème a été "observé mais n'est pas limité aux versions 6 et 7".

« Nous avons également repéré des rapports selon lesquels CrowdStrike est soupçonné de causer des problèmes sous Debian et Rocky Linux ».

Toutefois, des professionnels ce sont empressés de noter que les problèmes liés à Linux sont très différents des problèmes de BSOD de Windows :

« Les paniques du noyau redhat ont été causées par un bug dans l'implémentation ebpf du noyau, probablement une régression introduite par un patch spécifique à rhel. Blâmer crowdstrike pour cela est stupide (tout comme blâmer Microsoft pour le BSOD de Crowdstrike est stupide).

« Pour la petite histoire, je travaille également sur un produit utilisant des eBPF, et j'ai eu des mises à jour du noyau qui ont causé des paniques dans mes sondes eBPF.

« Dans mon cas, la panique s'est produite parce que le noyau a décidé de modifier une interface de hook LSM, en ajoutant un nouvel argument devant les autres. Lorsque la sonde est chargée, le noyau ne vérifie pas le type des arguments, et ne réalise donc pas que la sonde n'est pas compatible avec le nouveau noyau. Lorsque la sonde s'exécute, il se passe des choses bizarres et vous vous retrouvez avec une panique du noyau.

« Les sondes eBPF qui provoquent des paniques du noyau indiquent presque toujours un bogue du noyau, et non un bogue du fournisseur ebpf. Il y a bien sûr des exceptions (comme un ebpf qui refuse l'accès à une ressource et fait planter pid1). Mais elles sont très rares ».

Pour mémoire, eBPF est une technologie issue du noyau Linux qui peut exécuter des programmes dans un environnement confiné, mais avec les privilèges du noyau du système d'exploitation. eBPF est utilisé pour étendre de façon sûre et efficace les capacités du noyau, sans qu'il soit nécessaire de modifier le code source du noyau ou de charger des modules.

Mais ce genre d'avis ne fait pas l'unanimité. Un professionnel de l'informatique rétorque :

« Il n'est pas évident pour moi qu'ils soient si différents, mais peut-être ne suis-je pas "suffisamment intelligent".

« Pour moi, il s'agit d'une question compliquée - les organisations Linux et Windows sont toutes deux très performantes en matière d'ingénierie de la fiabilité du noyau, même si les structures organisationnelles et les approches d'ingénierie sont très différentes.

« Oui, "on a fait confiance aux mauvaises personnes", mais je ne vois pas comment l'ingénierie peut résoudre complètement ce problème ».

Un internaute a partagé son expérience :

« Crowdstrike a fait cela à notre flotte Linux de production le 19 avril dernier, et je meurs d'envie d'en parler.

« La version courte est la suivante : nous sommes un laboratoire de technologie civique, nous avons donc un tas de sites web de production différents créés à des moments différents sur des infrastructures différentes. Nous utilisons Crowdstrike, fourni par notre entreprise. Crowdstrike a publié une mise à jour un vendredi soir qui était incompatible avec la version stable de Debian. Nous avons donc patché Debian comme d'habitude, tout s'est bien passé pendant une semaine, puis tous nos serveurs à travers de multiples sites web et hôtes sur le cloud ont subi simultanément un crash dur et ont refusé de démarrer.

« Lorsque nous avons connecté l'un des disques à une nouvelle machine et vérifié les journaux, Crowdstrike semblait être le coupable, nous l'avons donc supprimé manuellement, la machine a démarré, nous avons essayé de le réinstaller et la machine s'est immédiatement effondrée à nouveau. OK, déposons un ticket d'assistance et cherchons à entrer en contact avec un ingénieur en ligne.

« Crowdstrike a pris un jour pour répondre, et a ensuite demandé un tas de preuves supplémentaires (en plus de ce qui précède) qui indiqueraient que c'était leur faute. Ils ont reconnu le bogue un jour plus tard, et quelques semaines plus tard, ils ont effectué une analyse des causes profondes pour expliquer qu'ils n'avaient pas pris en compte notre scénario (Debian stable fonctionnant avec la version n-1, je crois, qui est une configuration prise en charge) dans leur matrice de test. Dans notre propre post mortem, il n'y avait pas de réelle capacité à empêcher la même chose de se reproduire - "nous poussons un logiciel sur vos machines quand nous le voulons, que ce soit urgent ou non, sans le tester" semble être au cœur du modèle, en particulier si vous êtes un petit service informatique d'une grande entreprise ».

En attendant le consensus, les utilisateurs sur Linux jubilent...

Si Falcon Sensor de CrowdStrike est également disponible sur Linux, les utilisateurs n'ont pas été impactés. Aussi, ils en ont profité pour prendre leur revanche sur les réseaux sociaux et se moquer, à leur tour, des utilisateurs sur Windows.

Waking up as a Linux user today #Crowdstrike pic.twitter.com/rkC4hGQhLY

— It's FOSS (@itsfoss2) July 19, 2024

Linux users 😎💪💪#Microsoft #Windows #crowdstrike #Infosys pic.twitter.com/l1Elt8DO1z

— Secular Chad (@SachabhartiyaRW) July 19, 2024

Elon Musk n’a pas manqué de réagir à la panne. Il a ainsi partagé un montage photo d’une foule hagarde avec des visages remplacés par des écrans bleus Windows. Un peu plus tard dans la soirée, il a également assuré avoir supprimé CrowdStrike de ses systèmes. « Nous venons de supprimer CrowdStrike de tous nos systèmes », a-t-il indiqué. Et de poursuivre : « Malheureusement, beaucoup de nos fournisseurs et de nos sociétés de logistique l’utilisent », en réponse à des utilisateurs qui l’interpellaient sur le sujet.

We just deleted Crowdstrike from all our systems, so no rollouts at all

— Elon Musk (@elonmusk) July 19, 2024

Les utilisateurs sur mac ont fait pareil

Here’s a FIX for the Blue Screen of Death for both Windows and Mac users! #BSOD $CRWD

Windows:
1. Boot into safe mode
2. Go to C:\Windows\System32\drivers\Crowdstrike directory
3. Delete C-00000291*.sys
4. Restart (credit @MacPaw)

Mac:
1. Don’t worry. You’re not impacted 😂💯🖥️ pic.twitter.com/8arDIViLUi

— Vadim Yuryev (@VadimYuryev) July 19, 2024

« Permettez-moi d’être le premier à dire qu’en tant qu’utilisateur Apple, je ne suis presque jamais affecté par des pannes nationales ou mondiales. Les trucs de Bill Gates sont vraiment nuls », avance un internaute.

« Belle matinée à vous, ami utilisateurs de Mac et non affectés », lance un autre, comme s’il s’agissait de la série post-apocalyptique The last of US et que les utilisateurs de Windows étaient devenus les zombies affectés par le champignon parasite.

GOOD MORNING, FELLOW UNAFFECTED MAC USERS! #Crowdstrike pic.twitter.com/e1348lkVYA

— ᴺᴼᵀ Jony Ive (@JonyIveParody) July 19, 2024

Différents montages photo circulent également. L’un des plus populaire représente deux manchots, flanqués du logo à la pomme et de celui de Linux, qui mettent au pas trois autres de leurs congénères, tous utilisateurs de Microsoft. Un autre montre une maison dévorée par les flammes tandis qu'un enfant s'amuse sur une balançoire.

Mac and Linux users today#CrowdStrike pic.twitter.com/fstUZUdVSm

— Henrique Alves (@hnqso) July 19, 2024

« Pour une fois que ça sert à quelque chose d’avoir un Mac », ironise même le compte officiel de la chaîne de restauration Burger King, envoyant, du même coup, une pique à son concurrent McDonald’s et son célèbre Big Mac.

Pour une fois que c'est mieux d'avoir un Mac. https://t.co/6JMDnIXRgM

— Burger King France (@BurgerKingFR) July 19, 2024

Sources : RedHat (1, 2), RockyLinux, Debian

Et vous ?

Pensez-vous que les pannes sur les machines Linux provoquées par Falcon Sensor fin juin sont comparables à celles sur Windows ? Dans quelle mesure ?
Quelles boutades trouvez vous plus originales ?

[Leruas]

Maintenant qu'on connait la raison du bug (et que cela arrive dans 100% des cas avec ce patch), comment cela se fait qu'ils n'aient pas vu ce problème sur leurs machines de test en QA ?

[Mat.M]

comment cela se fait qu'ils n'aient pas vu ce problème sur leurs machines de test en QA ?

j'y vois deux explications
*soit il n'y a pas de service Q & A chez Crowdstrike donc les développements sont faits à l'arrache pour respecter les deadlines ( Scrum quand tu nous tiens )
*soit les développements logiciels sont sous-traités en Inde

faudrait que je retrouve cette info mais à ce que je sais Google ou AWS ils ont viré une bonne partie des équipes travaillant sur le coeur de métier pour faire sous-traiter au Mexique et en Inde.

Non un "Null Pointer" (Pointeur nul valant 0) comme il l'indique, pas un (déréférencement mémoire d'un pointeur valant 0), mais une lecture indirecte de la page 0 via un pointeur non-null (à l'adresse 0x9c précisément).

ça signifie simplement que le programmeur a oublié de faire un new ou malloc ( ce dont je doute) ou bien que le noyau de l'OS ne permet pas d'allouer un pointeur.

[OuftiBoy]

J'ai l'impression que plus on a de détails sur cette affaire, moins on comprend comment cela a pu se produire...

On a vraiment l'impression d'avoir affaire à une bande d'amateur, qu'il n'y a aucune procédure claire pour faire une mise à jour,
qu'il n'a pas de test qualité même basique.

C'est assez effrayant et effarant que des entreprises se comportent de la sorte.

Mais en même temp (comme dirait votre bien aimé "Président-Roi Soleil" ), plus rien ne m'étonne. Triste époque...

BàV et Peace & Love.

[Zefling]

Quand je vois comment ça se passe, j'ai l'impression que les clients sont les beta-testeurs maintenant.
Nous, pour réduire au maximum les coûts, on va de plus en plus vers les zéro QA.
Il faut tout faire avec des tests, sauf qu'un développeur ne teste pas la même chose qu'un QA. Et je me rends bien compte avec les temps que c'est 2 domaines biens différents.

[denisys]

Mat.M
Le 22/07/2024 à 21:02
*soit les développements logiciels sont sous-traités en Inde

Je trouve un peut rugueux, ton jugement envers les sous traitances logiciels en provenance de l’inde.
De toute façons. Comme tu l’indiques une ligne plus haut.
Si il y a un service Q & A chez Crowdstrike .
Celui-ci aurait du tester le produit, même en en provenance de l’inde !

[Stéphane le calme]

Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars,
mais il est plus difficile de savoir qui paiera la facture

Le monde a rapidement appris que la société de cybersécurité CrowdStrike était à l’origine d’une panne technologique mondiale dévastatrice vendredi dernier. Cependant, déterminer qui paiera les dommages pourrait prendre beaucoup plus de temps.

Ce qui semble être la « plus grande panne informatique de l’histoire », causée par quelques lignes de mauvais code de CrowdStrike lors d’une « mise à jour de contenu » logicielle, a entraîné l’annulation de plus de 5 000 vols commerciaux dans le monde entier et perturbé des secteurs allant des ventes au détail aux livraisons de colis et aux procédures hospitalières. Les coûts en termes de revenus perdus et de temps de travail du personnel sont considérables.

Le problème a été causé par quelques bouts de mauvais code de CrowdStrike dans une « mise à jour du contenu » du logiciel. Malheureusement, il a fallu beaucoup plus de temps pour réparer l'erreur que pour la provoquer, et il pourrait s'écouler plusieurs jours avant que tous les systèmes ne reviennent à la normale.

Dans un message publié sur les réseaux sociaux dimanche en fin de journée, CrowdStrike a déclaré qu'un « nombre important » des quelque 8,5 millions d'appareils concernés étaient de nouveau en ligne et opérationnels. L'entreprise s'est excusée pour la perturbation :

« CrowdStrike continue de se concentrer sur la restauration de tous les systèmes dès que possible. Sur les quelque 8,5 millions d'appareils Windows qui ont été touchés, un grand nombre sont de nouveau en ligne et opérationnels.

« En collaboration avec nos clients, nous avons testé une nouvelle technique pour accélérer la restauration des systèmes touchés. Nous sommes en train de mettre en place un système d'opt-in pour cette technique. Nous progressons de minute en minute.

« Nous sommes conscients de l'impact profond que cette situation a eu sur tout le monde. Nous savons que nos clients, nos partenaires et leurs équipes informatiques travaillent sans relâche et nous leur en sommes profondément reconnaissants. Nous nous excusons pour les perturbations que cela a engendrées. Notre objectif est clair : restaurer chaque système dès que possible ».

CrowdStrike a présenté ses excuses, mais n'a pas indiqué s'il avait l'intention de dédommager les clients concernés. Interrogée par les médias, la société n'a pas répondu à la question de savoir si elle prévoyait d'indemniser ses clients.

Les experts disent qu'ils s'attendent à ce qu'il y ait des demandes de rémunération et très probablement des poursuites judiciaires. « Si vous êtes un avocat de CrowdStrike, vous n'allez probablement pas profiter du reste de votre été », a déclaré Dan Ives, analyste technologique chez Wedbush Securities

Des coûts qui pourraient « facilement dépasser le milliard de dollars »

Les experts s'accordent à dire qu'il est trop tôt pour évaluer avec précision le coût de la panne mondiale d'Internet survenue vendredi. Mais ces coûts pourraient facilement dépasser le milliard de dollars, selon Patrick Anderson, PDG d'Anderson Economic Group, un cabinet de recherche du Michigan spécialisé dans l'estimation du coût économique d'événements tels que les grèves et autres interruptions d'activité.

Son entreprise estime que le récent piratage de CDK Global, une société de logiciels au service des concessionnaires automobiles américains, a atteint la barre du milliard de dollars. Si cette panne a duré beaucoup plus longtemps, environ trois semaines, elle s'est limitée à un secteur d'activité restreint.

« Cette panne affecte beaucoup plus de consommateurs et d'entreprises, allant du désagrément à de graves perturbations et entraînant des coûts qu'ils ne pourront pas récupérer facilement », a-t-il déclaré. Anderson a ajouté que les coûts pourraient être particulièrement importants pour les compagnies aériennes, en raison du manque à gagner lié aux vols annulés et des coûts supplémentaires de main-d'œuvre et de carburant pour les avions qui ont volé, mais qui ont subi des retards importants.

Malgré la position dominante de CrowdStrike dans le domaine de la cybersécurité, son chiffre d'affaires annuel est légèrement inférieur à 4 milliards de dollars.

Selon un expert, CrowdStrike pourrait toutefois bénéficier de protections juridiques dans les contrats conclus avec ses clients afin de se prémunir contre toute responsabilité. « Je suppose que les contrats les protègent », a déclaré James Lewis, chercheur au Center for Strategic and International Studies.

Lewis renvoie à une affaire jugée jeudi en faveur de SolarWinds, une autre société de logiciels. Un juge a rejeté les accusations de la Securities and Exchange Commission contre SolarWinds liées à un piratage russe d'agences du gouvernement fédéral à la fin de l'année 2020. Lewis a déclaré que dans cette affaire, SolarWinds était uniquement accusé de ne pas avoir divulgué les vulnérabilités de son système face à un piratage extérieur, et non d'avoir causé des dommages par ses propres actions. La société a néanmoins obtenu un non-lieu.

Selon Mark Friedlander, porte-parole de l'Insurance Information Institute, les entreprises touchées par la panne risquent de découvrir que l'assurance traditionnelle contre les pertes d'exploitation ne les couvrira pas. En effet, ces polices exigent généralement que les biens de l'entreprise aient subi des dommages physiques pour que les demandes d'indemnisation soient prises en compte. Il existe un type de police distinct pour les pannes informatiques, connu sous le nom de police d'interruption du réseau d'entreprise, en vertu de laquelle les demandes d'indemnisation peuvent être payées. Mais ces polices ne couvrent parfois que les piratages malveillants et excluent les problèmes informatiques non malveillants comme celui-ci.

Qu'en est-il des clients ? Vont-ils rester dans le navire ?

On ne sait pas non plus combien de clients CrowdStrike pourrait perdre à cause de la journée de vendredi. Ives, de Wedbush Securities, estime que moins de 5 % de ses clients pourraient aller voir ailleurs. « Il s'agit d'un acteur tellement bien implanté que s'éloigner de CrowdStrike serait un pari », a-t-il déclaré.

Il sera difficile, et non sans coûts supplémentaires, pour de nombreux clients de passer de CrowdStrike à un concurrent. Mais le véritable coup dur pour CrowdStrike pourrait être une atteinte à sa réputation qui rendrait difficile la conquête de nouveaux clients. « Aujourd'hui, CrowdStrike devient un nom familier, mais pas dans le bon sens, et cela prendra du temps pour se calmer », a déclaré Ives.

Le PDG de CrowdStrike, George Kurtz, a déclaré dans une interview accordée vendredi matin à CNBC que l'entreprise s'était concentrée sur la résolution des problèmes persistants et que, jusqu'à présent, il pensait que la plupart des clients avaient été compréhensifs. « Mon objectif actuel est de m'assurer que tous les clients sont de nouveau opérationnels », a-t-il déclaré. « Je pense que la plupart des clients comprennent qu'il s'agit d'un environnement complexe et que ces mises à jour de contenu sont nécessaires pour garder une longueur d'avance sur les malfaiteurs.

Mais même si les clients sont compréhensifs, il est probable que les rivaux de CrowdStrike chercheront à utiliser les événements de vendredi pour tenter de les attirer.

« C'est un secteur très concurrentiel. Il y aura des vendeurs de toutes les autres entreprises, ... (qui) interviendront et diront : « Cela ne nous est jamais arrivé » », a déclaré Eric O'Neill, expert en cybersécurité et ancien agent de contre-espionnage du FBI. « C'est une excellente entreprise qui fait un travail important. J'espère qu'elle y survivra. Sinon, les seuls gagnants seront les cybercriminels ».

Source : CrowdStrike

Et vous ?

Qui devrait être tenu responsable des dommages causés par cette panne ? Devrait-il incomber à CrowdStrike, aux compagnies aériennes, aux entreprises touchées ou à une combinaison de ces acteurs ?
Comment les entreprises peuvent-elles se protéger contre de telles pannes à l’avenir ? Quelles mesures de sécurité supplémentaires devraient-elles prendre pour éviter des erreurs similaires ?
Quelles sont les implications pour la confiance des consommateurs ? La panne mondiale pourrait-elle affecter la confiance des utilisateurs dans les services en ligne et les entreprises technologiques ?
Devrions-nous revoir notre dépendance à l’égard de quelques grandes entreprises technologiques ? Comment pouvons-nous diversifier nos solutions pour éviter de futures pannes massives ?
Quelles leçons pouvons-nous tirer de cette situation pour améliorer la cybersécurité à l’échelle mondiale ?

[phil995511]

Qu'attendent-ils pour passer sous Linux ?

[emixam16]

Plusieurs articles ici évoquent eBPF et on entend souvent parler d'eBPF comme une "solution miracle" pour faire tout et n'importe quoi.

Mais il faut rappeler qu'eBPF est un langage extrêmement limité: pas de boucles "infinies", pas d’arithmétique de pointeur, pas d'accès direct aux structures noyau (sauf exceptions), peu de helpers.

Soyons clairs, cBPF/eBPF a des usages légitimes et efficaces:
- Filtrage réseau (1 ordre de grandeur plus rapide qu'avec un iptables classique)
- Cache efficace
- BPF probes
- BPF LSM (anciennement KRSI)
- ...

Mais au vu des limitations très strictes d'eBPF, ce langage ne remplacera jamais un driver, ou un programme complexe et arbitraire.

Par ailleurs, même si des gens avaient tenté de pousser dans ce sens, et au vu des nombreuses failles qui ont été trouvé à travers le temps dans le vérifieur, il devient clair qu'eBPF non-privilégié ne sera jamais activé par défaut pour des raisons de sécurité.

Donc, oui eBPF a des applications intéressantes, mais non eBPF ne permettra jamais d'éviter des pannes géantes comme celle de crowdstrike, ça serait trop simple.

[weed]

Qu'attendent-ils pour passer sous Linux ?

En effet si il y a avait plus de diversité des systèmes et pas que du Windows, il y aurait moins d'ampleur. Chaque système, chciaque logiciel ne peut pas être parfait. Il ne faut pas mettre tout sous Linux mais avoir des réseaux hétérogènes.

En général, il est conseiller de ne pas mettre tous ses oeufs dans le même panier.

Fabrice Epelboin, ensaignant de cybersécurté en parle bien lors d'un interview :

Et pour l'adoption de Linux en entreprise, il faudrait demander aux DSI des grands groupes, s'ils osent au moins de le dire ..


Quand une société comme Microsoft fait parmi des 3 premières plus entreprises capitalisées de la bourse dans le monde, elle a les moyens financiers face à la concurrence pour faire adopter ses solutions. Microsoft a tout intéret à ce que tout le monde utilise sa solution et que les utilisateurs n'aient peu de visibilité sur la concurrence.
Une certaines pression est mise à l'éducation national pour l'utilisation de son système. L'ile de France avait offert des PC ultra vérouillé Microsoft. Je ne serais pas surpris que MS ait financé une partie en faisant des offres bons marchés. Malheureusement, c'est très tabou, donc peu d'info sur le net.
Et malheureusement cela créé un cercle vicieux, les entreprises trouvent peu de personnes qualifiés sachant utiliser du Unix, faisant monter les prix des salaires.
Les solutions autres étant peu utilisées par les entreprises sont peu financées par les entreprises et la boucle est bouclée

[denisys]

phil995511
Le 23/07/2024 à 11:21
Qu'attendent-ils pour passer sous Linux ?

Avec une bonne paire de lunette.
En relisant le titre de l’article.
L’article parle de Linux !!

[Eric80]

interview :

assez lunaire cette interview! Les intervenants se congratulent que les systèmes public français n'ont pas été touchés. L'un suggère grâce peut-être à une meilleure vérification des MAJ que dans les boites privées. Théorie mieux fumeuse: il est bcp plus probable que les services publics français ne soient simplement PAS clients de la suite Falcon de CrowdStrike! D'ailleurs, qd il est question des militaires, c est bien le discours du ministre: le système CrowdStrike n'est PAS utilisé dans l'armée.

On peut dire que c'est une bonne nouvelle pour avoir évité ce bug.

Mais est ce que les services publics ont une protections aussi bonne voire meilleures que les boites privées?
J'ai un sérieux doute... Je pense que le privé a + de moyens et de compétences que de nombreux services publics pour s'occuper de la sécurité des systèmes informatiques...

[phil995511]

Avec une bonne paire de lunette.
En relisant le titre de l’article.
L’article parle de Linux !!

On ne vous a semble-t-il ni appris la courtoisie, ni le respect des autres ;-(

Part ailleurs il n'y a aucune allusion à Linux dans l'article du 23 juillet 2024 "Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars".

[phil995511]

En effet si il y a avait plus de diversité des systèmes et pas que du Windows, il y aurait moins d'ampleur. Chaque système, chciaque logiciel ne peut pas être parfait. Il ne faut pas mettre tout sous Linux mais avoir des réseaux hétérogènes.

En général, il est conseiller de ne pas mettre tous ses oeufs dans le même panier.

Et pour l'adoption de Linux en entreprise, il faudrait demander aux DSI des grands groupes, s'ils osent au moins de le dire ..

Quand une société comme Microsoft fait parmi des 3 premières plus entreprises capitalisées de la bourse dans le monde, elle a les moyens financiers face à la concurrence pour faire adopter ses solutions. Microsoft a tout intéret à ce que tout le monde utilise sa solution et que les utilisateurs n'aient peu de visibilité sur la concurrence.
Une certaines pression est mise à l'éducation national pour l'utilisation de son système. L'ile de France avait offert des PC ultra vérouillé Microsoft. Je ne serais pas surpris que MS ait financé une partie en faisant des offres bons marchés. Malheureusement, c'est très tabou, donc peu d'info sur le net.
Et malheureusement cela créé un cercle vicieux, les entreprises trouvent peu de personnes qualifiés sachant utiliser du Unix, faisant monter les prix des salaires.
Les solutions autres étant peu utilisées par les entreprises sont peu financées par les entreprises et la boucle est bouclée

En plus de Windows ou Linux il y a aussi Unix et Mac OS me semble-t-il... mettre tous ses oeufs dans le même panier peut en effet être potentiellement risqué mais faire confiance à l'OS le plus buggé et le plus piraté de l'histoire est à mes yeux encore plus risqué...