En effet, le réseau intradef (l'intranet standard de l'armée française) est entièrement coupé d'internet.Envoyé par Eric80
Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
En effet, le réseau intradef (l'intranet standard de l'armée française) est entièrement coupé d'internet.
ce qui est bien plus pertinent que des solutions tjs connectées.
Le gars ds l interview parle bien des systèmes Microsoft imposés dans les différents ministères, dont la défense. Comme il dit, pour des raisons évidentes de souveraineté, l armée se méfie énormément de Windows et fait tout pour éviter que les infos transitent trop vers MS et la NSA...
Tout le monde devrait d'ailleursD'où l'importance d'utiliser son propre WSUS, ce qui permet de tester les MaJ entrantes dans un environnement de test.
Nous somme bien sur l'article :phil995511
Le 23/07/2024 à 14:25
Part ailleurs il n'y a aucune allusion à Linux dans l'article du 23 juillet 2024 "Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars".
Falcon Sensor de CrowdStrike a également causé des problèmes sur les machines Linux récemment
Les professionnels estiment que la situation n'est pas comparable aux BSoD provoqués sur Windows
Le 22 juillet 2024 à 20:36, par Stéphane le calme
https://securite.developpez.com/actu...s-sur-Windows/
En ce moment , non ?
Ne pas savoir n’est pas une faute si l’on cherche à combler ses lacunes.
"Il n'y a pas d'obstacles infranchissables , il y a des volontés plus ou moins énergiques voilà tous" Jules Vernes
Le PDG de CrowdStrike est appelé à témoigner devant le Congrès
Le PDG de CrowdStrike est appelé à témoigner devant le Congrès sur le rôle déterminant de l’entreprise spécialiste en cybersécurité dans la panne
Qui a affecté de nombreux services à l’échelle mondiale
Les chefs de file de la Chambre des représentants des États-Unis demandent au PDG de CrowdStrike, George Kurtz, de témoigner devant le Congrès sur le rôle de l'entreprise de cybersécurité dans le déclenchement de la panne technologique généralisée qui a cloué des vols au sol, mis hors service des banques et des systèmes hospitaliers et affecté des services dans le monde entier.
La demande des membres de la Chambre des représentants fait suite à une déclaration de CrowdStrike selon laquelle un « nombre significatif » d'ordinateurs se sont bloqués vendredi, provoquant des perturbations à l'échelle mondiale. S’ils sont de nouveau opérationnels, ses clients et les autorités de régulation attendent une explication plus détaillée de ce qui s'est passé.
Les républicains qui dirigent la commission de la sécurité intérieure de la Chambre des représentants ont déclaré il y a peu qu'ils souhaitaient obtenir ces réponses dans de brefs délais. « Nous apprécions la réaction de CrowdStrike et la coordination avec les parties prenantes, mais nous ne pouvons pas ignorer l'ampleur de cet incident, que certains ont qualifié de plus grande panne informatique de l'histoire », indique une lettre adressée à M. Kurtz par les députés Mark E. Green (Tennessee) et Andrew Garbarino (New York).
Le 19 juillet 2024, une panne informatique mondiale a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan. Les écrans bleus de la mort ont perturbé le fonctionnement normal des machines Windows, affichant le message : « Recovery: It looks like Windows didn’t load correctly. »
Plus de 1 000 vols ont été annulés, principalement dans le secteur du transport aérien. Des aéroports tels que Hong Kong International Airport, l’aéroport de Berlin, l’aéroport de Zurich et l’aéroport de Budapest ont été touchés. La compagnie aérienne Ryanair a signalé des problèmes de réservation et d’enregistrement. De plus, les systèmes de réservation de Cathay Pacific, Hong Kong Express et Hong Kong Airlines sont restés indisponibles pendant plusieurs heures, entraînant des retards et des désagréments pour les voyageurs.
L’entreprise de cybersécurité américaine CrowdStrike a reconnu être à l’origine de ces problèmes. Le directeur général de CrowdStrike, George Kurtz, a confirmé dans un message sur X qu'un « défaut » dans une mise à jour de contenu pour les hôtes Windows était à l'origine de la panne, et Kurtz a exclu une cyberattaque. Il a ajouté que l'entreprise était en train de déployer un correctif et que les hôtes Mac et Linux n'étaient pas affectés.
Un message sur les forums d'assistance de CrowdStrike (qui ne sont accessibles qu'avec une connexion) a également reconnu le problème tôt dans la journée de vendredi, indiquant que la société avait reçu des rapports de crashs liés à une mise à jour du contenu. CrowdStrike a déclaré que les rapports de crash étaient « liés à Falcon Sensor » - son service de sécurité basé sur le cloud qu'il décrit comme « une détection des menaces en temps réel, une gestion simplifiée et une chasse aux menaces proactive ».
Sur les réseaux sociaux, il a été noté que l'entreprise était au courant de « rapports généralisés » d'erreurs d'écran bleu sur les appareils Windows dans plusieurs versions de son logiciel. L'entreprise enquête sur la cause de ces erreurs, selon le message.
La panne mondiale des services informatiques souligne l’importance de la vigilance en matière de cybersécurité et de la nécessité de mettre en place des protocoles de gestion des mises à jour. Les entreprises doivent investir dans des solutions de sécurité robustes et communiquer efficacement avec leurs clients pour minimiser les perturbations en cas de défaillance du système. Elle met également en exergue la vulnérabilité des solutions basées sur le cloud, qui peuvent entraîner un effet boule de neige.
Et vous ?
Avez-vous déjà été affecté par une panne informatique majeure ? Peut-être avez-vous vécu des retards de vol ou des problèmes avec des services en ligne lors d’une panne précédente. Partagez votre expérience.
Voir aussi :
Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
Sauf que l'amrée utilisent beaucoup de Microsoft, ils ont eu un gros contrat Microsoft en open bar, cela a fait pas mal scandale.
L'insitution qui a su mettre un stop est la gendarmerie mais en aucun cas l'armée.
Il faudrait intérroger longuement les DSI des grands groupes, des institutions publics qui font les choix des OS. Connaitre la vrai raison de l'usage de tel OS plutot qu'un autre. Je reste persuadé qu'il y a du lobby, et donc on ne peut pas partler de lobby.
Après il ne faut pas allé dans l'exagération de dire qu'il est le buggé. Aller dans les extrèmes n'est jamais bon. Il faut avant tout de la diversité, et ne pas avoir de dés pipés sur le marché des OS..
Microsoft lance un outil de récupération USB pour les entreprises affectées par le BSOD de CrowdStrike
Microsoft annonce que 8,5 millions de systèmes ont été touchés par le BSOD de CrowdStrike et lance un outil de récupération USB
pour les entreprises affectées
Microsoft a déclaré que CrowdStrike a mis au point une solution pour accélérer la correction de son infrastructure Azure. En outre, elle collabore avec Amazon Web Services et Google Cloud Platform pour partager des informations sur les effets à l'échelle de l'industrie.
Microsoft estime qu'environ 8,5 millions de systèmes Windows ont été touchés par le problème ayant entraîné une panne mondiale, qui concerne un fichier .sys bogué qui a été automatiquement envoyé aux PC Windows utilisant le logiciel de sécurité CrowdStrike Falcon. Une fois téléchargée, cette mise à jour provoquait l'affichage du redoutable écran bleu de la mort sur les systèmes Windows et l'entrée dans une boucle de démarrage.
La grande enseigne de la technologie a souligné que moins de 1 % de toutes les machines Windows ont été touchées.
« Alors que les mises à jour de logiciels peuvent occasionnellement causer des perturbations, les incidents importants comme celui de CrowdStrike sont peu fréquents », a écrit David Weston, vice-président de Microsoft chargé de la sécurité des entreprises et des systèmes d'exploitation, dans un billet de blog. « Nous estimons actuellement que la mise à jour de CrowdStrike a affecté 8,5 millions d'appareils Windows, soit moins d'un pour cent de toutes les machines Windows. Bien que le pourcentage soit faible, les impacts économiques et sociétaux importants reflètent l'utilisation de CrowdStrike par des entreprises qui gèrent de nombreux services critiques ».
La solution « facile » documentée à la fois par CrowdStrike (dont c'est la faute directe) et par Microsoft (qui a été largement blâmé dans les rapports grand public, en partie à cause d'une panne d'Azure sans rapport avec le problème, survenue peu avant le 18 juillet) consistait à redémarrer les systèmes concernés à plusieurs reprises dans l'espoir qu'ils téléchargent un nouveau fichier de mise à jour avant qu'ils ne tombent en panne. Pour les systèmes sur lesquels cette méthode n'a pas fonctionné - et Microsoft a recommandé aux clients de redémarrer jusqu'à 15 fois pour donner aux ordinateurs une chance de télécharger la mise à jour - la solution recommandée a été de supprimer manuellement le mauvais fichier .sys. Cela permet au système de démarrer et de télécharger un fichier corrigé, ce qui résout les problèmes sans laisser les machines sans protection.
Pour faciliter ce processus, Microsoft a publié ce week-end un outil de récupération qui permet d'automatiser le processus de réparation sur certains systèmes concernés. Il s'agit de créer un support de démarrage à l'aide d'une clé USB de 1 à 32 Go, de démarrer à partir de cette clé USB et d'utiliser l'une des deux options pour réparer votre système. Pour les appareils qui ne peuvent pas démarrer via USB (cette option est parfois désactivée sur les systèmes d'entreprise pour des raisons de sécurité), Microsoft documente également une option de démarrage PXE pour le démarrage via un réseau.
WinPE à la rescousse
Le disque amorçable utilise l'environnement WinPE, une version légère de Windows, pilotée par ligne de commande, généralement utilisée par les administrateurs informatiques pour appliquer des images Windows et effectuer des opérations de récupération et de maintenance.
Une option de réparation démarre directement dans WinPE et supprime le fichier affecté sans nécessiter de privilèges d'administrateur. Mais si votre disque est protégé par BitLocker ou un autre produit de chiffrement de disque, vous devrez saisir manuellement votre clé de récupération pour que WinPE puisse lire les données sur le disque et supprimer le fichier. Selon la documentation de Microsoft, l'outil devrait automatiquement supprimer la mauvaise mise à jour CrowdStrike sans intervention de l'utilisateur une fois qu'il peut lire le disque.
Si vous utilisez BitLocker, la deuxième option de récupération tente de démarrer Windows en mode sans échec en utilisant la clé de récupération stockée dans le TPM de votre appareil pour déverrouiller automatiquement le disque, comme cela se produit lors d'un démarrage normal. Le mode sans échec charge l'ensemble minimum de pilotes dont Windows a besoin pour démarrer, ce qui vous permet de localiser et de supprimer le fichier du pilote CrowdStrike sans rencontrer le problème du BSOD. Le fichier se trouve dans Windows/System32/Drivers/CrowdStrike/C-00000291*.sys sur les systèmes concernés. Les utilisateurs peuvent également exécuter « repair.cmd » à partir de la clé USB pour automatiser la correction.
Pour sa part, CrowdStrike a mis en place un « centre de remédiation et d'orientation » pour les clients concernés. Dimanche, l'entreprise a déclaré qu'elle « testait une nouvelle technique pour accélérer la correction des systèmes touchés », mais elle n'a pas donné plus de détails à ce jour. Les autres correctifs décrits sur cette page comprennent le redémarrage à plusieurs reprises, la suppression manuelle du fichier concerné ou l'utilisation du support de démarrage de Microsoft pour automatiser le correctif.
Le secteur de l'assurance s'attend à une augmentation des demandes d'indemnisation
Les courtiers en assurance s'attendent à une augmentation des demandes d'indemnisation liées à la panne. Marsh, l'une des principales sociétés de courtage, a confirmé que des clients avaient informé les assureurs de leur intention de déposer des demandes d'indemnisation. « Il s'agit d'un événement qui devrait être couvert par la cyberassurance », a déclaré Meredith Schnur, responsable de la pratique cybernétique de Marsh pour les États-Unis et le Canada.
Southern Cross Travel Insurance (SCTI) a détaillé les dispositions relatives aux demandes d'indemnisation découlant de la panne. « Cette panne a eu des répercussions sur de nombreux services, notamment les compagnies aériennes, les aéroports et d'autres fournisseurs de transport. Si vous avez été affecté par cet événement, nous vous demandons de contacter votre compagnie aérienne ou votre agence de voyage en premier lieu pour prendre d'autres dispositions ». Elle a précisé que les polices souscrites avant 17 heures le 19 juillet peuvent couvrir les frais encourus à la suite de l'incident, sous réserve des conditions générales de la police.
De son côté, l'Agence nationale d'assurance invalidité (NDIA) a indiqué que ses systèmes n'avaient pas été affectés par la panne. Elle a toutefois conseillé aux Australiens de rester vigilants face à d'éventuelles escroqueries profitant de la situation.
Sources : Microsoft, environnement WinPE, Southern Cross Travel Insurance
Et vous ?
Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
Parler de "lobby"? Mais c'est proprement scandaleux comme affirmation
Par contre les petits week-end prolongés pour Monsieur et madame, tout frais payé, débutant le jeudi jusqu'au lundi suivant, dans un hôtel de luxe, dans un pays chaud pour présenter une nouvelle solution à quelques DSI bien choisis, présentation qui dure 1 heure sur toute la durée du week-end, sans qu'une présence soit exigée... ça oui! Mais franchement parler de "lobby"
CrowdStrike accuse un bogue dans le logiciel de test d'avoir mis hors service 8,5 millions de machines Windows
CrowdStrike accuse un bogue dans le logiciel de test d'avoir mis hors service 8,5 millions de machines Windows, car il n'a pas validé correctement la mise à jour du contenu qui a été diffusée sur les machines
CrowdStrike a réagi à l'incident récent au cours duquel une mise à jour défectueuse a perturbé 8,5 millions de machines Windows. L'analyse de l'entreprise après l'incident attribue le problème à un bogue dans son logiciel de test, qui n'a pas réussi à valider correctement une mise à jour de contenu diffusée le vendredi 19 juillet dernier. En promettant d'améliorer les protocoles de test et d'échelonner les déploiements, CrowdStrike entend prévenir des perturbations similaires à l'avenir.
Le 19 juillet 2024, une panne informatique chez Microsoft a touché des entreprises, des aéroports et des médias à travers le monde entier. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan. Les écrans bleus de la mort ont perturbé le fonctionnement normal de millions de machines Windows, affichant le message : “Recovery: It looks like Windows didn’t load correctly.”
CrowdStrike a publié une analyse post incident (PIR) de la mise à jour boguée qu'elle a publiée et qui a entraîné la mise hors service de 8,5 millions de machines Windows la semaine dernière. Le rapport détaillé accuse un bogue dans le logiciel de test qui n'a pas validé correctement la mise à jour de contenu qui a été envoyée à des millions d'ordinateurs vendredi. CrowdStrike promet de tester plus minutieusement ses mises à jour de contenu, d'améliorer sa gestion des erreurs et de mettre en œuvre un déploiement échelonné afin d'éviter que ce désastre ne se reproduise.
L'Analyse préliminaire après incident (PIR) de CrowdStrike est présentée ci-dessous :
Face aux dommages causés, George Kurtz, fondateur et PDG de CrowdStrike, a rédigé une déclaration destinée aux clients et partenaires de la société de cybersécurité.Ceci est l'analyse préliminaire après incident (PIR) de CrowdStrike. Nous détaillerons notre enquête complète dans l'analyse des causes fondamentales qui sera rendue publique. Tout au long de ce PIR, nous avons utilisé une terminologie généralisée pour décrire la plateforme Falcon afin d'améliorer la lisibilité. La terminologie utilisée dans d'autres documents peut être plus spécifique et technique.
Que s'est-il passé ?
Le vendredi 19 juillet 2024 à 04:09 UTC, dans le cadre des opérations régulières, CrowdStrike a publié une mise à jour de la configuration du contenu pour le capteur Windows afin de recueillir des données télémétriques sur d'éventuelles nouvelles techniques de menace.
Ces mises à jour font partie intégrante des mécanismes de protection dynamique de la plateforme Falcon. La mise à jour problématique de la configuration de Rapid Response Content a entraîné un crash du système Windows.
Les systèmes concernés sont les hôtes Windows utilisant la version 7.11 et supérieure du capteur qui étaient en ligne entre le vendredi 19 juillet 2024 04:09 UTC et le vendredi 19 juillet 2024 05:27 UTC et qui ont reçu la mise à jour. Les hôtes Mac et Linux n'ont pas été touchés.
Le défaut dans la mise à jour du contenu a été annulé le vendredi 19 juillet 2024 à 05:27 UTC. Les systèmes mis en ligne après cette heure, ou qui ne se sont pas connectés pendant la fenêtre, n'ont pas été affectés.
Qu'est-ce qui n'a pas fonctionné et pourquoi ?
CrowdStrike fournit des mises à jour de configuration du contenu de sécurité à ses capteurs de deux manières : Sensor Content qui est livré directement avec nos capteurs, et Rapid Response Content qui est conçu pour répondre à l'évolution du paysage des menaces à la vitesse opérationnelle.
Le problème survenu vendredi concernait une mise à jour Rapid Response Content avec une erreur non détectée.
Sensor Content
Sensor Content fournit un large éventail de capacités pour aider à la réponse de l'adversaire. Il fait toujours partie de la publication d'un capteur et n'est pas mis à jour de manière dynamique à partir du cloud. Sensor Content comprend des modèles d'IA et d'apprentissage automatique sur le capteur, et comprend du code écrit expressément pour fournir des capacités réutilisables à plus long terme pour les ingénieurs de CrowdStrike chargés de la détection des menaces.
Ces capacités comprennent des Template Types (types de modèle), qui comportent des champs prédéfinis que les ingénieurs de détection des menaces peuvent exploiter dans le Rapid Response Content Les Template Types sont exprimés en code. Tous les Sensor Content, y compris les Template Types, sont soumis à un processus d'assurance qualité approfondi, qui comprend des tests automatisés, des tests manuels, des étapes de validation et de déploiement.
Le processus de mise à disposition des capteurs commence par des tests automatisés, avant et après l'intégration dans notre base de code. Cela comprend des tests unitaires, des tests d'intégration, des tests de performance et des tests de stress. Cela aboutit à un processus de déploiement du capteur par étapes, qui commence par un test interne chez CrowdStrike, suivi par les utilisateurs précoces. Le capteur est ensuite mis à la disposition des clients. Les clients ont alors la possibilité de sélectionner les parties de leur flotte qui doivent installer la dernière version du capteur (« N »), ou une version plus ancienne (« N-1 ») ou deux versions plus anciennes (« N-2 ») par le biais des politiques de mise à jour des capteurs.
L'événement du vendredi 19 juillet 2024 n'a pas été déclenché par Sensor Content, qui n'est livré qu'avec la sortie d'une mise à jour du capteur Falcon. Les clients ont un contrôle total sur le déploiement du capteur - qui comprend le Sensor Content et les Template Types.
Rapid Response Content
Rapid Response Content est utilisé pour effectuer une variété d'opérations de mise en correspondance de modèles comportementaux sur le capteur à l'aide d'un moteur hautement optimisé. Le Rapid Response Content est une représentation des champs et des valeurs, avec le filtrage associé. Ce Rapid Response Content est stocké dans un fichier binaire propriétaire qui contient des données de configuration. Il ne s'agit pas d'un code ou d'un pilote de noyau.
Le Rapid Response Content est fourni sous la forme de Template Instances (instances de modèles), qui sont des instanciations d'un Template Type donné. Chaque Template Instance correspond à des comportements spécifiques que le capteur doit observer, détecter ou prévenir. Les Template Instances disposent d'un ensemble de champs qui peuvent être configurés pour correspondre au comportement désiré.
En d'autres termes, les Template Types représentent une capacité de capteur qui permet de nouvelles télémétries et détections, et leur comportement en cours d'exécution est configuré dynamiquement par un Template Instance (c'est-à-dire un Rapid Response Content).
Rapid Response Content fournit une visibilité et des détections sur le capteur sans qu'il soit nécessaire de modifier le code du capteur. Cette capacité est utilisée par les ingénieurs chargés de la détection des menaces pour recueillir des données télémétriques, identifier les indicateurs du comportement de l'adversaire et effectuer des détections et des préventions. Rapid Response Content est une heuristique comportementale, séparée et distincte des capacités de prévention et de détection de l'IA sur le capteur de CrowdStrike.
Test et déploiement du Rapid Response Content
Le Rapid Response Content est fourni sous forme de mises à jour de la configuration du contenu au capteur Falcon. Il existe trois systèmes principaux : le Content Configuration System (système de configuration du contenu), le Content Interpreter (interpréteur de contenu) et le Sensor Detection Engine (moteur de détection du capteur).
Le Content Configuration System fait partie de la plateforme Falcon dans le cloud, tandis que le Content Interpreter et le Sensor Detection Engine sont des composants du capteur Falcon. Le Content Configuration System est utilisé pour créer des instances de modèles, qui sont validées et déployées sur le capteur par le biais d'un mécanisme appelé « Channel Files ». Le capteur stocke et met à jour ses données de configuration de contenu par le biais de fichiers de canaux, qui sont écrits sur le disque de l'hôte.
Le Content Interpreter du capteur lit le fichier de canal et interprète le Rapid Response Content, ce qui permet au moteur de détection du capteur d'observer, de détecter ou de prévenir les activités malveillantes, en fonction de la configuration de la politique du client. L'interprète de contenu est conçu pour gérer de manière élégante les exceptions liées à un contenu potentiellement problématique.
Les Template Types nouvellement publiés sont soumis à des tests de résistance sur de nombreux aspects, tels que l'utilisation des ressources, l'impact sur les performances du système et le volume d'événements. Pour chaque Template Types, une Template Instance spécifique est utilisée pour tester le Template Types en le comparant à toutes les valeurs possibles des champs de données associés afin d'identifier les interactions négatives du système.
Les Template Instances sont créées et configurées à l'aide du Content Configuration System, qui comprend le Content Validator qui effectue des contrôles de validation sur le contenu avant qu'il ne soit publié.
Chronologie des événements : Essais et déploiement du Template Type InterProcessCommunication (IPC)
Publication de Sensor Content : Le 28 février 2024, le capteur 7.11 a été mis à la disposition générale des clients, introduisant un nouveau Template Type IPC pour détecter les nouvelles techniques d'attaque qui abusent des Named Pipes. Cette version a suivi toutes les procédures de test du Sensor Content décrites ci-dessus dans la section Sensor Content.
Test de stress du Template Type : Le 05 mars 2024, un test de stress du Template Type IPC a été exécuté dans notre environnement de préparation, qui se compose d'une variété de systèmes d'exploitation et de charges de travail. Le Template Type IPC a réussi le test de stress et a été validé pour l'utilisation.
Publication du Template Instance via le Channel File 291 : Le 5 mars 2024, après la réussite du test de stress, une Template Instance IPC a été mise en production dans le cadre d'une mise à jour de la configuration du contenu. Par la suite, trois autres Template Instances IPC ont été déployées entre le 8 avril 2024 et le 24 avril 2024. Ces Template Instances ont fonctionné comme prévu en production.
Que s'est-il passé le 19 juillet 2024 ?
Le 19 juillet 2024, deux Template Instances IPC supplémentaires ont été déployées. En raison d'un bogue dans le Content Validator, l'une des deux Template Instances a passé la validation bien qu'elle contienne des données de contenu problématiques.
Sur la base des tests effectués avant le déploiement initial du Template Type (le 05 mars 2024), de la confiance dans les vérifications effectuées dans le Content Validator et des précédents déploiements réussis des Template Instances IPC, ces instances ont été déployées en production.
Lorsqu'il a été reçu par le capteur et chargé dans le Content Interpreter, le contenu problématique du Channel File 291 a entraîné une lecture hors limites de la mémoire, ce qui a déclenché une exception. Cette exception inattendue n'a pas pu être gérée de manière élégante, ce qui a entraîné un plantage du système d'exploitation Windows (BSOD).
Comment éviter que cela ne se reproduise ?
Résilience des logiciels et tests
- Améliorer les tests Rapid Response Content en utilisant des types de tests tels que :
- Tests auprès des développeurs locaux
- Mise à jour du contenu et rollback des tests
- Tests de stress, fuzzing et injection de fautes
- Tests de stabilité
- Tests d'interface de contenu
- Ajout de contrôles de validation supplémentaires au Content Validator pour le Rapid Response Content. Un nouveau contrôle est en cours pour éviter que ce type de contenu problématique ne soit déployé à l'avenir.
- Améliorer la gestion des erreurs dans le Content Interpreter.
Déploiement du Rapid Response Content
- Mettre en œuvre une stratégie de déploiement échelonné pour le Rapid Response Content dans laquelle les mises à jour sont progressivement déployées sur des parties plus importantes de la base de capteurs, en commençant par un déploiement Canary.
- Améliorer la surveillance des performances des capteurs et du système, en recueillant des feedbacks pendant le déploiement de Rapid Response Content afin d'orienter un déploiement progressif.
- Offrir aux clients un plus grand contrôle sur la diffusion des mises à jour de Rapid Response Content en permettant une sélection granulaire du moment et de l'endroit où ces mises à jour sont déployées.
- Fournir des détails sur les mises à jour de contenu par le biais de notes de mise à jour, auxquelles les clients peuvent s'abonner.
En plus de cette analyse préliminaire après incident, CrowdStrike s'engage à rendre publique l'analyse complète des causes profondes une fois l'enquête terminée.
État de la classification du dossier
Le fichier de canal responsable des pannes du système le vendredi 19 juillet 2024 à partir de 04:09 UTC a été identifié et déprécié sur les systèmes opérationnels. Lorsqu'il y a dépréciation, un nouveau fichier est déployé, mais l'ancien fichier peut rester dans le répertoire du capteur.
Par excès de prudence, et pour éviter que les systèmes Windows ne subissent d'autres perturbations, la version impactée du fichier de canal a été ajoutée à la liste des erreurs connues de Falcon dans le Cloud de CrowdStrike.
Aucune mise à jour de capteur, aucun nouveau fichier de canal ni aucun code n'a été déployé à partir du Cloud CrowdStrike.
Pour les machines opérationnelles, il s'agit d'une mesure d'hygiène. Pour les systèmes impactés disposant d'une forte connectivité réseau, cette action pourrait également entraîner la récupération automatique des systèmes en boucle de démarrage.
Ceci a été configuré en US-1, US-2, et EU le 23 juillet, 2024 UTC. Les clients de Gov-1 et Gov-2 peuvent demander la classification known-bad du fichier 291 de channel en contactant le support de CrowdStrike.
Source : "Remediation and guidance hub: Falcon content update for Windows hosts" (CrowdStrike)Chers clients et partenaires,
Je tiens à m'excuser sincèrement auprès de vous tous pour la panne. Tout le personnel de CrowdStrike comprend la gravité et l'impact de la situation. Nous avons rapidement identifié le problème et déployé un correctif, ce qui nous a permis de nous concentrer avec diligence sur la restauration des systèmes des clients, qui est notre priorité absolue.
La panne a été causée par un défaut trouvé dans une mise à jour du contenu de Falcon pour les hôtes Windows. Les hôtes Mac et Linux ne sont pas concernés. Il ne s'agit pas d'une cyberattaque.
Nous travaillons en étroite collaboration avec les clients et les partenaires concernés pour veiller à ce que tous les systèmes soient restaurés, afin que vous puissiez fournir les services sur lesquels vos clients comptent.
CrowdStrike fonctionne normalement et ce problème n'affecte pas les systèmes de notre plateforme Falcon. Il n'y a pas d'impact sur la protection si le capteur Falcon est installé. Les services Falcon Complete et Falcon OverWatch ne sont pas perturbés.
Nous fournirons des mises à jour continues via notre portail d'assistance à l'adresse https://supportportal.crowdstrike.com/s/login/.
Nous avons mobilisé l'ensemble de CrowdStrike pour vous aider, vous et vos équipes. Si vous avez des questions ou si vous avez besoin d'une assistance supplémentaire, veuillez contacter votre représentant CrowdStrike ou l'assistance technique.
Nous savons que les adversaires et les mauvais acteurs essaieront d'exploiter des événements comme celui-ci. J'encourage tout le monde à rester vigilant et à s'assurer que vous vous adressez à des représentants officiels de CrowdStrike. Notre blog et notre support technique resteront les canaux officiels pour les dernières mises à jour.
Rien n'est plus important pour moi que la confiance que nos clients et partenaires ont placée en CrowdStrike. Alors que nous résolvons cet incident, je m'engage à vous fournir une transparence totale sur la façon dont cela s'est produit et sur les mesures que nous prenons pour éviter qu'une telle situation ne se reproduise.
George Kurtz
Fondateur et PDG de CrowdStrike
Et vous ?
Voir aussi :
Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités
Les procédures de test ne sont pas testées...
Ce qui est assez drôle mais que ne m'aurait pas fait rire vendredi !
La Malaisie demande à Microsoft et CrowdStrike de couvrir les pertes liées à la panne mondiale
La Malaisie demande à Microsoft et CrowdStrike de couvrir les pertes liées à la panne mondiale, après qu'une mise à jour défectueuse de CrowdStrike ait mis hors service les ordinateurs fonctionnant sous Windows
Le ministre malaisien du numérique a déclaré le mercredi 24 juillet qu'il avait demandé aux entreprises technologiques internationales Microsoft et CrowdStrike d'envisager de dédommager les entreprises qui ont subi des pertes lors de la panne technologique mondiale de la semaine dernière.
Le 19 juillet 2024, une panne informatique mondiale de Microsoft a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan. Les écrans bleus de la mort ont perturbé le fonctionnement normal des machines Windows, affichant le message : “Recovery: It looks like Windows didn’t load correctly.”
Une mise à jour défectueuse du logiciel de sécurité CrowdStrike a mis hors service les ordinateurs fonctionnant sous le système d'exploitation Windows de Microsoft le vendredi 19 juillet, perturbant les services internet dans le monde entier et affectant un large éventail d'industries.
Cinq agences gouvernementales et neuf entreprises actives dans les secteurs de l'aviation, de la banque et des soins de santé figurent parmi les personnes touchées en Malaisie, a déclaré le ministre Gobind Singh Deo à la presse.
Gobind a indiqué qu'il avait rencontré des représentants de Microsoft et de CrowdStrike afin d'obtenir un rapport complet sur l'incident et de demander aux entreprises de prendre des mesures pour éviter qu'une telle panne ne se reproduise.
« S'il y a des dommages ou des pertes, si des parties ont fait des réclamations, je leur ai demandé d'examiner ces réclamations et de voir dans quelle mesure elles peuvent aider à résoudre le problème », a déclaré M. Gobind, ajoutant que le gouvernement apporterait également son aide pour les réclamations dans la mesure du possible.
Mardi 23 juillet, le directeur général de la société malaisienne Capital A, qui exploite la compagnie aérienne à bas prix AirAsia, a déclaré que les compagnies aériennes touchées par la panne informatique méritaient d'être indemnisées pour les pertes subies, ont rapporté les médias.
« Le principe est que si nous faisons quelque chose de mal, nous devons compenser. Nous, d'autres compagnies aériennes et d'autres entreprises avons perdu beaucoup d'argent ».
« Ils devraient nous offrir une compensation, et pour l'instant, nous devons attendre et voir », a déclaré Tony Fernandes, cité par l'agence de presse nationale Bernama.
Source : Le ministre malaisien du numérique
Et vous ?
Voir aussi :
Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités
Je n'ai pas été longtemps à l'école, mais bon, dans leurs procédures de validation, est-ce qu'il ne serait pas judicieux de (en plus) mettre à jour quelque centaines de PC de test contenant des configurations diverses et variées ?
Oui bien sûr mais je penses qu'on ignore bien souvent les aspects IT.
Les entreprises devraient toutes identifier un risque de panne logicielle bloquante.
Qu'elles devraient avoir traiter soit par
- contrat (Je sais que dans mon entreprise nous avons, pour certains logiciels, un contrats qui exigent un taux de disponibilité minimum à assurer.)
- prévention technique
- assurance
- moyen de remplacement (par exemple en cas de panne électrique nous avons des groupes électrogènes qui tiennent le temps nécessaire)
- Processus (les processus rédigés servent entre autres à être capable de travailler manuellement en cas de pépin)
Toute entreprise critique (hôpitaux) par exemple devrait avoir un plan de continuité d'activité qui leur assure des plans de secours pour chaque panne possible.
Inutile de mettre à jour des centaines de serveurs, un échantillon représentatif suffit mais encore faut-il que les tests fonctionnels suivent.
________________________________
La jeunesse emmerde le Front Populaire
CrowdStrike offre une maigre carte-cadeau de 10 $ pour s'excuser de la panne mondiale et suscite un tollé
CrowdStrike offre une maigre carte-cadeau de 10 $ pour s'excuser de la panne mondiale dont les dégâts sont évalués à 5,4 Mds $ pour les seules entreprises du Fortune 500
une compensation qui suscite un tollé
CrowdStrike tente de s'excuser auprès des victimes de la panne informatique mondiale provoquée par sa mise à jour bâclée avec une carte-cadeau de 10 $. Mais l'initiative a été accueillie avec dérision sur les médias sociaux, les victimes ayant trouvé le geste insuffisant, voire humoristique. De plus, certains bénéficiaires ont constaté que leurs cartes-cadeaux ont été annulées et n'étaient plus valables. La panne mondiale du 19 juillet 2024, décrite comme la plus grande panne informatique de l'histoire, a touché environ 8,5 millions d'appareils, pourrait coûter aux seules entreprises du Fortune 500 plus de 5 milliards de dollars en pertes directes.
CrowdStrike : une compensation dérisoire qui suscite tollé et indignation sur la toile
Bien que CrowdStrike ait présenté des excuses officielles, ses efforts pour atténuer la situation sont critiqués, ce qui démontre l'importance d'une réponse sincère et substantielle dans ce type d'incidents. Le géant de la cybersécurité a fait rire les médias sociaux en offrant une maigre carte-cadeau Uber Eats de 10 $ pour apaiser les nerfs des équipes informatiques et des partenaires embourbés dans la panne informatique catastrophique de vendredi dernier. La carte-cadeau indique que CrowdStrike reconnaît "le travail supplémentaire que l'incident du 19 juillet a causé", mais le message semble avoir manqué sa cible.
La carte-cadeau ajoute : « pour cela, nous leur adressons nos remerciements et nos excuses les plus sincères pour la gêne occasionnée. Pour exprimer notre gratitude, votre prochaine tasse de café ou votre prochain en-cas de fin de soirée est à notre charge ! ». Mais de nombreux bénéficiaires de la carte-cadeau y voient de l'humour.lol Crowdstrike crashed millions of computers with a glitch and then sent an apology to partners in the form of a $10 Uber Eats gift card pic.twitter.com/6ZaYdf1TS6
— Sheel Mohnot (@pitdesi) July 24, 2024
Nombre des personnes l'ayant reçu ont partagé une capture d'écran du courriel de CrowdStrike sur les plateformes de médias sociaux tels que X et Reddit. Selon une capture d'écran partagé sur X, au Royaume-Uni, le bon d'achat valait 7,75 livres sterling, soit environ 10 dollars au taux de change actuel.
Le message comprend un code pour la promotion Uber Eats, ou les utilisateurs pouvaient accéder à un code QR. Certains utilisateurs ont indiqué que le message a été signé par Daniel Bernard, directeur commercial de la société. Un critique s'indigne : « c'est bien pire que l'absence de carte-cadeau. C'est une insulte. Une maxime générale : lorsque quelque chose est important, votre réponse doit être plus importante que les plaintes. CrowdStrike dit "nous ne pensons pas que cela ait de l'importance" ».
Un autre a déclaré : « je suppose qu'Uber les a payés pour qu'ils envoient ce message afin de promouvoir Uber Eats. Ils essaient donc de tirer profit de leur échec ». Il est également difficile de savoir la cible réelle des cartes-cadeaux. « Est-ce que CrowdStrike envoie une seule carte-cadeau Uber Eats de 10 $ à "toute une entreprise" qui a vu ses activités disparaître ou est-ce que tous les employés des entreprises concernées reçoivent une carte-cadeau ? », s'est interrogé un utilisateur.Not even enough for a pizza party!
— $0.02timmy (@002timmyNFTs) July 24, 2024
Par ailleurs, mercredi, certaines des personnes qui ont posté au sujet de la carte cadeau ont déclaré que lorsqu'elles ont voulu utiliser l'offre, elles ont reçu un message d'erreur indiquant que le bon avait été annulé. La page d'Uber Eats a affiché un message d'erreur indiquant que "la carte-cadeau a été annulée par la partie émettrice et n'est donc plus valide". Certaines personnes ont cru que la carte-cadeau était un canular de la part des pirates informatiques.
Cependant, un porte-parole de CrowdStrike, Kevin Benacci, a confirmé que l'entreprise a bien envoyé les cartes-cadeaux. « Nous les avons envoyées à nos coéquipiers et partenaires qui ont aidé les clients dans cette situation. Uber a signalé qu'il s'agissait d'une fraude en raison des taux d'utilisation élevés », a déclaré Benacci.
Le coût des dégâts causés par CrowdStrike est évalué à plus de 5 milliards de dollars
Le 19 juillet 2024, CrowdStrike a publié une mise à jour défectueuse qui a mis hors service environ 8,5 millions d'appareils Windows. Cette mise à jour a bloqué les ordinateurs concernés sur le fameux "écran bleu de la mort" (BSOD), un écran d'erreur bleu vif accompagné d'un message qui s'affiche lorsque Windows se bloque ou ne peut pas se charger en raison d'une défaillance logicielle critique. L'évaluation des dégâts liés à l'incident n'est toujours pas terminée à ce jour.
La panne mondiale a entraîné des retards dans les aéroports d'Amsterdam, de Berlin, de Dubaï et de Londres, ainsi qu'aux États-Unis. Elle a également conduit plusieurs hôpitaux à interrompre des opérations chirurgicales et a paralysé d'innombrables entreprises de nombreux secteurs dans le monde entier. Ce qui explique en partie pourquoi la compensation offerte par CrowdStrike a suscité un tel tollé et est largement considérée comme du mépris envers les victimes.
Les assureurs ont commencé à calculer les dommages financiers causés par la panne dévastatrice du logiciel CrowdStrike et le tableau n'est pas beau à voir. D'après une analyse de Parametrix, une société de surveillance et d'assurance du cloud computing, ce qui a été décrit comme la plus grande panne informatique de l'histoire coûtera aux seules entreprises du Fortune 500 plus de 5 milliards de dollars en pertes directes. En d'autres termes, CrowdStrike risque gros.
L'analyse de Parametrix a été publiée mercredi. Cette évaluation préliminaire indique que les secteurs de la santé et de la banque ont été les plus durement touchés par la mésaventure de CrowdStrike, avec des pertes estimées à 1,94 milliard de dollars et 1,15 milliard de dollars, respectivement. Les compagnies aériennes du classement Fortune 500, telles qu'American et United, ont été les plus touchées, avec une perte collective de 860 millions de dollars.
Selon Parametrix, au total, la panne pourrait avoir coûté aux entreprises Fortune 500 jusqu'à 5,4 milliards de dollars de revenus et de bénéfices bruts, sans compter les pertes secondaires qui peuvent être attribuées à la perte de productivité ou à l'atteinte à la réputation. Parametrix affirme que seule une petite partie, de l'ordre de 10 à 20 %, peut être couverte par des polices d'assurance en matière de cybersécurité. Ces chiffres pourraient être revus à la hausse prochainement.
Fitch Ratings, l'une des plus grandes agences de notation américaines, a déclaré lundi que les types d'assurance susceptibles de recevoir le plus grand nombre de demandes d'indemnisation à la suite de la panne comprennent l'assurance contre les pertes d'exploitation, l'assurance voyage et l'assurance annulation d'événements.
« Cet incident met en évidence le risque croissant de points de défaillance uniques », a déclaré Fitch dans un billet de blogue, avertissant que ces points de défaillance uniques sont susceptibles d'augmenter à mesure que les entreprises cherchent à se consolider pour tirer parti de l'échelle et de l'expertise, ce qui se traduit par un nombre réduit de fournisseurs détenant des parts de marché plus importantes. Selon les experts, il est important de tirer des leçons de cet incident.
Les estimations des dommages, qui sont impressionnantes, montrent à quel point une erreur évitable commise par l'une des entreprises de cybersécurité les plus importantes au monde a eu des effets en cascade sur l'économie mondiale, et pourraient susciter de nouvelles demandes pour que CrowdStrike soit tenue pour responsable.
Les excuses de CrowdStrike manquent leur cible et le coût de son action s'effondre
En attendant une évaluation définitive du coût financier de la panne mondiale, les investisseurs en ont déjà fait les frais. L'incident a fait chuter le cours de l'action CrowdStrike, qui s'échangeait à près de 338 $ jeudi dernier. Vendredi, les actions sont tombées à 294 $ et, depuis mardi matin, elles se négocient à environ 264 $. Cela représente une baisse d'environ 22 % et, depuis le début du mois, la capitalisation boursière a diminué d'un tiers. Cette baisse pourrait se poursuivre.
En plus de se faire taper sur les doigts par le marché, CrowdStrike pourrait se voir infliger des amendes et des pénalités par les régulateurs. Étant donné que la panne de CrowdStrike aurait pu, à un certain niveau, impliquer des violations ou des problèmes liés aux données personnelles, elle pourrait se retrouver dans le collimateur des régulateurs européens. Elles peuvent imposer des amendes allant jusqu'à 4 % du chiffre d'affaires annuel aux entreprises qui enfreignent le RGPD.
En outre, CrowdStrike pourrait voir ses clients partir vers des entreprises concurrentes. Là encore, il est difficile d'évaluer le nombre de clients que CrowdStrike pourrait perdre à ce stade, car beaucoup d'entre eux sont sous contrat et pourraient avoir du mal à couper immédiatement les ponts. Certains analystes estiment toutefois qu'environ 5 % de sa clientèle pourrait disparaître, et CrowdStrike devra également faire face à la perte de nouveaux clients potentiels.
Cerise sur le gâteau, CrowdStrike pourrait également avoir à rembourser les clients qui ont subi des pertes ou des interruptions d'activité. Si l'on fait le compte, la panne a déjà coûté des milliards à CrowdStrike et à ses investisseurs, y compris les pertes boursières. Mais avec les litiges et les nombreuses actions en justice qui se profilent à l'horizon, il faut probablement s'attendre à des milliards supplémentaires en amendes, en frais de justice et en pertes de chiffre d'affaires.
Depuis le début de la panne vendredi, CrowdStrike a régulièrement publié des mises à jour sur ses efforts pour comprendre la cause de la panne. Dans une mise à jour publiée mercredi, l'entreprise a indiqué qu'en raison d'un bogue intervenu au cours du processus de vérification de la fiabilité de la mise à jour, "le code défectueux a passé la validation malgré le fait qu'il contenait des données de contenu problématiques". Ce qui a ensuite occasionné un chaos mondial.
Le PDG de CrowdStrike, George Kurtz, s'est excusé, affirmant : « tout le monde chez CrowdStrike comprend la gravité et l'impact de la situation. Rien n'est plus important pour moi que la confiance que nos clients et partenaires ont placée en CrowdStrike. Alors que nous résolvons cet incident, je m'engage à vous fournir une transparence totale sur la façon dont cela s'est produit et sur les mesures que nous prenons pour éviter qu'une telle situation ne se reproduise ».
Le responsable de la sécurité Shawn Henry a déclaré : « cela fait près de 40 ans que je suis dans la vie professionnelle et mon étoile polaire a toujours été de protéger les bonnes personnes des mauvaises choses. Ces deux derniers jours ont été les 48 heures les plus difficiles pour moi en plus de 12 ans. La confiance que nous avons bâtie au compte-gouttes au fil des ans a été perdue par seaux en l'espace de quelques heures, et ce fut un coup de poing dans le dos ».
Source : Fitch Ratings, Parametrix
Et vous ?
Voir aussi
CrowdStrike pourrait être tenue pour responsable des dommages subis en France, sur la base du précédent OVH
CrowdStrike pourrait être tenue pour responsable des dommages subis en France, sur la base du précédent OVH
d'après un ingénieur. Mais son point de vue ne fait pas l'unanimité
La question qui revient souvent est de savoir si CrowdStrike sera responsable des dommages subis. Un professionnel de l'informatique a fait le parallèle avec la situation d'OVH en France pour conclure par la positive, en tout cas en France.
Les détails de l’incident
- Origine du problème : La panne a été causée par un défaut dans le logiciel de test de CrowdStrike. Malgré des données problématiques, une mise à jour a été validée et déployée sur des millions d’ordinateurs Windows. Le résultat ? Une catastrophe mondiale.
- Réaction de CrowdStrike : Face à la crise, CrowdStrike a fourni des explications. L’entreprise a annoncé qu’elle déploierait désormais les mises à jour progressivement pour détecter les problèmes avant qu’ils ne se propagent à grande échelle. Cependant, cette réponse est-elle suffisante pour atténuer les conséquences de l’incident ?
- Responsabilité et précédent OVH : Malgré les pertes subies par les entreprises touchées, CrowdStrike a été considérée comme minimement responsable des dommages causés. Cela soulève des questions importantes sur la responsabilité des entreprises de cybersécurité lorsqu’une mise à jour provoque une panne mondiale. Le précédent OVH, où l’hébergeur français a été tenu partiellement responsable d’un incendie majeur dans son datacenter, pourrait-il influencer la décision concernant CrowdStrike ? Un professionnel répond par l'affirmative.
Les arguments avancés
OVH est un fournisseur français de centres de données et de cloud, prétendument le plus grand fournisseur d'hébergement en Europe. Il est surtout connu pour fournir des serveurs physiques et des machines virtuelles, ainsi qu'une variété de services en nuage. Le 10 mars 2021, un incendie s'est déclaré dans les locaux de la SGB. Il a brûlé deux centres de données SGB1 SGB2 avec peu ou pas de récupération et a rendu deux autres centres de données SGB3 SGB4 inopérants pendant un certain temps.
Ce qui est intéressant, c'est la suite des événements. Plusieurs sites ont été détruits, entraînant une perte irrémédiable de services et de données pour leurs clients. Plusieurs clients les ont poursuivis en justice pour obtenir des dommages et intérêts et ils ont gagné.
J'ai trouvé qu'il y avait quelques points intéressants soulevés et discutés par la cour :
- Il y a eu une perte totale de service pendant et après l'événement.
- Il y a eu une perte totale et irrémédiable de données après l'événement.
- OVH fournissait un service de sauvegarde pour ses machines et ses services.
- Perte totale et irrévocable des sauvegardes après l'événement.
- Il y avait plusieurs centres de données dans des endroits proches, comme c'est la pratique courante pour assurer une certaine résilience : SGB1 SGB2 SGB3 SGB4
- Plusieurs centres de données ont brûlé en même temps.
- Les multiples centres de données se trouvaient en fait au même endroit, à quelques pas l'un de l'autre. Cette situation a été jugée inattendue et non raisonnable par le tribunal.
- Les sauvegardes étaient stockées dans le même centre de données ou dans l'autre centre de données qui pouvait se trouver au même endroit. Cela n'a pas été considéré comme raisonnable par le tribunal.
- OVH a tenté de faire valoir que les clients auraient dû suivre la bonne pratique consistant à disposer de plusieurs sauvegardes dans des lieux distincts. Le tribunal a reconnu qu'il s'agissait d'une bonne pratique.
- Le tribunal a déterminé qu'OVH était le fournisseur de sauvegardes et qu'il lui incombait de fournir des sauvegardes d'un niveau raisonnable et de respecter les bonnes pratiques. Cela inclut le stockage d'une copie de la sauvegarde ailleurs, comme le veut la bonne pratique.
- Le tribunal a jugé que le service de sauvegarde d'OVH n'était pas exploité selon des normes raisonnables et qu'il n'avait pas atteint son objectif.
Je trouve cela intéressant pour les techniciens, la cour jugera votre technologie et ce qui peut vraiment être considéré comme les meilleures pratiques. C'est comme l'ultime examen du code.
Pour résumer comment les choses fonctionnent : préjudice causé + intention de causer un préjudice ou négligence = possibilité de dommages-intérêts.
Un préjudice important a été causé aux clients, car des entreprises entières ont été fermées, souvent pour une durée indéterminée, avec une perte totale de données et sans possibilité de récupération. Il existe de nombreuses occurrences de négligence, d'erreurs ou de pratiques douteuses dans la manière dont OVH exploitait le service, ce qui a conduit au problème. Il s'agit d'un dossier solide. De nombreux clients ont ouvert un dossier contre OVH et ont obtenu gain de cause. Il est possible que d'autres dossiers soient encore en cours de traitement.
Cela nous amène à CrowdStrike. Les similitudes sont frappantes !
À propos de CrowdStrike
CrowdStrike est un logiciel antivirus installé sur les ordinateurs. Il est parfois appelé EDR (Endpoint Detection and Response) de nos jours. Il est principalement installé sur les appareils des grandes entreprises, qui sont tenues de disposer d'une solution de sécurité.
CrowdStrike s'exécute au démarrage de l'ordinateur. Il s'intègre profondément dans le système d'exploitation (Windows ou Linux) au niveau du noyau, pour s'exécuter dès que possible et avant que d'autres choses ne démarrent. Il surveille ce qui s'exécute, il peut bloquer et signaler tout ce qu'il juge suspect.
Le 19 juillet 2024, CrowdStrike a publié une mise à jour de son logiciel. La mise à jour était boguée et faisait planter tous les ordinateurs sur lesquels elle était déployée. Des millions d'ordinateurs ont reçu simultanément la mise à jour à travers le monde et ont été rendus non fonctionnels.
Les clients subissent un préjudice important. Des entreprises ont été partiellement ou totalement fermées, pendant des jours ou des semaines. Il y a eu plusieurs cas de négligence, d'erreurs et de pratiques douteuses dans la manière dont CrowdStrike exploitait le service, ce qui a conduit au problème. Il ne s'agit pas d'un incident isolé, puisque des personnes ont signalé que la même chose s'était produite quelques semaines auparavant, à une moindre échelle.
La responsabilité de CrowdStrike devrait donc être engagée et donner lieu à d'innombrables demandes de dommages-intérêts.
Les points saillants qu'il a utilisé pour parvenir à cette conclusion
Voici quelques éléments qu'il a évoqué :
- D'après les discussions en ligne, les clients des hôpitaux se sont déjà plaints de ce problème et ont demandé à CrowdStrike de permettre un certain contrôle sur les mises à jour. Un client a indiqué qu'il avait reçu un mémo de 50 pages de CrowdStrike disant qu'il refusait de mettre en place quoi que ce soit.
- La mise à jour a fait planter tous les ordinateurs sur lesquels elle a été déployée (BSOD).
- Il ne s'agit pas d'un incident isolé. La même chose s'est produite quelques semaines plus tôt avec l'agent CrowdStrike sur Linux, détruisant le système, et il y a peut-être eu d'autres incidents auparavant.
- Tous les ordinateurs ont été rendus inopérants par CrowdStrike, incapables de démarrer.
- Pour les entreprises concernées, cela signifiait que tous leurs employés se retrouvaient avec un ordinateur mort, incapable de faire quoi que ce soit.
- Les utilisateurs ne pouvaient pas « accéder » à l'ordinateur pour déposer un ticket ou le dépanner.
- Il s'agissait d'une perte totale de service, sans possibilité de récupération.
- L'un des moyens de réparer l'ordinateur consistait à confier l'ordinateur à l'équipe informatique et à le réinstaller complètement (réimage).
- Un autre moyen, découvert plus tard dans la journée, consistait pour un administrateur à accéder physiquement à l'ordinateur ET à essayer de démarrer en mode sans échec ou en mode de récupération, puis à supprimer le fichier du pilote de CrowdStrike.
- Cette correction ne peut être effectuée qu'avec un accès physique à l'ordinateur concerné ET par un administrateur disposant d'un mot de passe spécial (ou d'une clé USB contenant le mot de passe) pour démarrer un ordinateur portable en mode de récupération.
- Il faudra des semaines aux entreprises concernées pour mettre la main sur chaque appareil, ordinateur portable, ordinateur de bureau et serveur. Il peut s'agir de milliers, voire de centaines de milliers d'appareils.
- Cela prendra plus de temps pour les appareils qui sont enfermés ou difficiles d'accès, comme les terminaux d'écran dans un aéroport, les appareils médicaux et les machines dans un hôpital, les panneaux d'ascenseurs.
- Il peut être impossible de restaurer l'appareil s'il est verrouillé d'une manière ou d'une autre (blocage physique ou mot de passe de récupération inconnu).
- Les employés qui ont besoin d'un ordinateur pour travailler ne peuvent pas travailler pendant tout ce temps.
- Il n'est pas possible de fournir un ordinateur de rechange aux utilisateurs concernés, car les ordinateurs de rechange ont également été touchés par le problème.
Les limites de son raisonnement
Cet avis ne fait pas l'unanimité.
Un autre professionnel souligne que la responsabilité d'OVH a été engagée en raison de la perte de données et non de l'interruption du service. La perte de données est quelque chose d'irrémédiable, de permanent, de définitif. Certaines entreprises ont été pratiquement ruinées par cet incident parce qu'elles n'avaient plus de données pour fonctionner. Pour ne rien arranger, elles ont vendu des sauvegardes hors site dans le centre de données situé littéralement à quelques mètres de là. Une interruption de service, eh bien, ça arrive, et c'est géré par des contrats de niveau de service (SLA) que les deux parties acceptent. On ne ruine pas une entreprise (lire : on ne ferme pas une entreprise) pour quelques jours de panne.
Je doute que CrowdStrike soit tenu responsable de beaucoup de choses, du moins de la part des entreprises. Ils ne peuvent pas rembourser les dommages causés, autrement ils seraient poussés à fermer boutique. Le secteur des soins de santé est une autre paire de manche, mais je pense qu'il y aura davantage de réglementations pour les entités critiques.
Source : The HFT Guy
Et vous ?
Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
Faut voir les contrats.
Mais CrowdStrike n'a pas de SLA à respecter.
Il n'y a pas eu de perte de données dans l'histoire, c'est surtout un manque de personnels IT pour rebooter les machines, qui a provoqué le fait d'avoir des pannes pendant des heures.
Il y a un petit détail qui échappe au pseudo-expert qui donne son avis... A l'inverse d'OVH, CrowdStrike n'est pas une société française!!!
CrowdStrike : les pannes causées par la MAJ logicielle révèlent des failles systémique dans la cybersécurité
Incident logiciel de CrowdStrike : les pannes informatiques causées par la MAJ révèlent des failles systémiques dans la cybersécurité
et soulignent l'importance de tests rigoureux avant tout déploiement
Une mise à jour défectueuse du logiciel de cybersécurité de CrowdStrike a provoqué une panne informatique mondiale, affectant de nombreuses entreprises, notamment des banques, des compagnies aériennes et des détaillants. Les utilisateurs ont signalé des erreurs d'écran bleu sur des ordinateurs Windows. Cette panne a touché divers secteurs et entraîné des perturbations importantes, notamment dans les voyages et les systèmes bancaires. La CISA a observé que des acteurs malveillants tentaient de tirer parti de la situation pour des activités de phishing. Les actions de CrowdStrike ont chuté de 11 % suite à cet incident.
Des entreprises à travers le monde signalent des pannes informatiques, notamment des erreurs d'écran bleu sur leurs ordinateurs, constituant l'une des perturbations informatiques les plus répandues de ces dernières années. Cette panne, causée par une mise à jour logicielle de CrowdStrike, a touché des ordinateurs Windows dans divers secteurs, y compris les compagnies aériennes, les banques, les détaillants, les maisons de courtage, les sociétés de médias et les réseaux ferroviaires, avec une forte incidence sur le secteur des voyages.
Le PDG de CrowdStrike, George Kurtz a confirmé dans un message sur X qu'un « défaut » dans une mise à jour de contenu pour les hôtes Windows était responsable de la panne, excluant la possibilité d'une cyberattaque et que les hôtes Mac et Linux n'étaient pas affectés.
« CrowdStrike collabore activement avec les clients concernés par ce défaut dans une mise à jour de contenu pour les hôtes Windows. Les hôtes Mac et Linux ne sont pas touchés », a déclaré Kurtz sur X. « Il ne s'agit pas d'un incident de sécurité ou d'une cyberattaque. Le problème a été identifié, isolé, et un correctif est en cours de déploiement. Nous renvoyons les clients au portail d'assistance pour les dernières mises à jour et continuerons à fournir des informations complètes et continues sur notre site web. Nous recommandons également aux organisations de communiquer avec les représentants de CrowdStrike par les canaux officiels. Notre équipe est entièrement mobilisée pour assurer la sécurité et la stabilité de nos clients », a affirmé Kurtz.
CrowdStrike fournit des mises à jour de configuration du contenu de sécurité à ses capteurs de deux manières : Sensor Content qui est livré directement avec ses capteurs, et Rapid Response Content qui est conçu pour répondre à l'évolution du paysage des menaces à la vitesse opérationnelle. Le problème concernait une mise à jour Rapid Response Content avec une erreur non détectée.CrowdStrike is actively working with customers impacted by a defect found in a single content update for Windows hosts. Mac and Linux hosts are not impacted. This is not a security incident or cyberattack. The issue has been identified, isolated and a fix has been deployed. We…
— George Kurtz (@George_Kurtz) July 19, 2024
Rapid Response Content est utilisé pour effectuer une variété d'opérations de mise en correspondance de modèles comportementaux sur le capteur à l'aide d'un moteur hautement optimisé. Le Rapid Response Content est une représentation des champs et des valeurs, avec le filtrage associé. Ce Rapid Response Content est stocké dans un fichier binaire propriétaire qui contient des données de configuration. Il ne s'agit pas d'un code ou d'un pilote de noyau.
Le Rapid Response Content est fourni sous la forme de Template Instances (instances de modèles), qui sont des instanciations d'un Template Type donné. Chaque Template Instance correspond à des comportements spécifiques que le capteur doit observer, détecter ou prévenir. Les Template Instances disposent d'un ensemble de champs qui peuvent être configurés pour correspondre au comportement désiré. En d'autres termes, les Template Types représentent une capacité de capteur qui permet de nouvelles télémétries et détections, et leur comportement en cours d'exécution est configuré dynamiquement par un Template Instance (c'est-à-dire un Rapid Response Content).
Rapid Response Content fournit une visibilité et des détections sur le capteur sans qu'il soit nécessaire de modifier le code du capteur. Cette capacité est utilisée par les ingénieurs chargés de la détection des menaces pour recueillir des données télémétriques, identifier les indicateurs du comportement de l'adversaire et effectuer des détections et des préventions. Rapid Response Content est une heuristique comportementale, séparée et distincte des capacités de prévention et de détection de l'IA sur le capteur de CrowdStrike.
Plus tard vendredi, la CISA, l'agence américaine de cybercriminalité, a déclaré que même si la panne n'était pas due à une activité suspecte, des acteurs de la menace en profitaient pour mener des activités de phishing et d'autres actions malveillantes. Un message sur les forums d'assistance de CrowdStrike (accessibles uniquement par connexion) a également reconnu le problème tôt vendredi, indiquant que l'entreprise avait reçu des rapports de pannes liées à une mise à jour de contenu. CrowdStrike a précisé que ces rapports de crash étaient « liés à Falcon Sensor », son service de sécurité basé sur le cloud, décrit comme une solution de « détection des menaces en temps réel, de gestion simplifiée et de chasse proactive aux menaces ».
Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars
Dans un message publié sur les réseaux sociaux, CrowdStrike a indiqué qu'un « nombre important » des 8,5 millions d'appareils affectés étaient de nouveau opérationnels et s'est excusée pour la perturbation. L'entreprise a souligné qu'elle se concentrait sur la restauration rapide de tous les systèmes et a mis en place un système d'opt-in pour une nouvelle technique de restauration en collaboration avec ses clients. CrowdStrike a exprimé sa gratitude envers ses clients et partenaires pour leur travail acharné et leur patience pendant cette crise.
Les experts estiment qu'il est trop tôt pour évaluer avec précision le coût de la panne mondiale survenue vendredi, mais selon Patrick Anderson, PDG d'Anderson Economic Group, ces coûts pourraient facilement dépasser le milliard de dollars. Anderson a rappelé que la récente cyberattaque contre CDK Global, une société de logiciels pour concessionnaires automobiles, avait également coûté environ un milliard de dollars. La panne actuelle touche un plus grand nombre de consommateurs et d'entreprises, engendrant des coûts importants, notamment pour les compagnies aériennes en raison des vols annulés et des retards, entraînant des pertes de revenus et des coûts supplémentaires de main-d'œuvre et de carburant.
Malgré la position dominante de CrowdStrike dans le domaine de la cybersécurité et un chiffre d'affaires annuel légèrement inférieur à 4 milliards de dollars, l'entreprise pourrait bénéficier de protections juridiques stipulées dans ses contrats. James Lewis, chercheur au Center for Strategic and International Studies, a suggéré que les contrats de CrowdStrike pourraient les protéger contre toute responsabilité. Par ailleurs, Mark Friedlander, porte-parole de l'Insurance Information Institute, a souligné que les entreprises touchées par la panne pourraient découvrir que l'assurance traditionnelle contre les pertes d'exploitation ne les couvrira pas, car ces polices exigent généralement des dommages physiques pour les biens de l'entreprise. Les polices d'interruption du réseau d'entreprise pourraient couvrir ces pertes, mais souvent seulement en cas de piratages malveillants, excluant des incidents non malveillants comme celui-ci.
Le PDG de CrowdStrike est convoqué à témoigner devant le Congrès sur la panne majeure
Les dirigeants de la Chambre des représentants des États-Unis ont demandé à George Kurtz, PDG de CrowdStrike, de témoigner devant le Congrès concernant le rôle de son entreprise dans la panne technologique généralisée. Cette panne a cloué des vols au sol, mis hors service des banques et des systèmes hospitaliers, et affecté des services dans le monde entier.
Cette demande fait suite à une déclaration de CrowdStrike indiquant qu'un « nombre significatif » d'ordinateurs s'étaient bloqués vendredi, causant des perturbations mondiales. Bien que de nombreux systèmes soient de nouveau opérationnels, les clients et les régulateurs attendent des explications détaillées sur les événements. Les républicains à la tête de la commission de la sécurité intérieure de la Chambre des représentants ont exprimé leur souhait d'obtenir des réponses rapidement. « Nous apprécions la réaction de CrowdStrike et la coordination avec les parties prenantes, mais nous ne pouvons pas ignorer l'ampleur de cet incident, que certains ont qualifié de plus grande panne informatique de l'histoire », ont écrit les députés Mark E. Green (Tennessee) et Andrew Garbarino (New York) dans une lettre adressée à Kurtz.
La solution « facile » documentée à la fois par CrowdStrike (dont c'est la faute directe) et par Microsoft (qui a été largement blâmé dans les rapports grand public, en partie à cause d'une panne d'Azure sans rapport avec le problème, survenue peu avant le 18 juillet) consistait à redémarrer les systèmes concernés à plusieurs reprises dans l'espoir qu'ils téléchargent un nouveau fichier de mise à jour avant qu'ils ne tombent en panne. Pour les systèmes sur lesquels cette méthode n'a pas fonctionné - et Microsoft a recommandé aux clients de redémarrer jusqu'à 15 fois pour donner aux ordinateurs une chance de télécharger la mise à jour - la solution recommandée a été de supprimer manuellement le mauvais fichier .sys. Cela permet au système de démarrer et de télécharger un fichier corrigé, ce qui résout les problèmes sans laisser les machines sans protection.
Pour faciliter ce processus, Microsoft a publié ce week-end un outil de récupération qui permet d'automatiser le processus de réparation sur certains systèmes concernés. Il s'agit de créer un support de démarrage à l'aide d'une clé USB de 1 à 32 Go, de démarrer à partir de cette clé USB et d'utiliser l'une des deux options pour réparer votre système. Pour les appareils qui ne peuvent pas démarrer via USB (cette option est parfois désactivée sur les systèmes d'entreprise pour des raisons de sécurité), Microsoft documente également une option de démarrage PXE pour le démarrage via un réseau.
La dépendance des entreprises aux logiciels de sécurité exposée
La panne informatique mondiale causée par une mise à jour défectueuse du logiciel de cybersécurité de CrowdStrike soulève plusieurs questions importantes concernant la fiabilité et la robustesse des solutions de cybersécurité. Tout d'abord, cette situation met en évidence la dépendance critique des entreprises à l'égard des logiciels de sécurité et la vulnérabilité potentielle qu'une simple mise à jour défectueuse peut engendrer.
Malgré les assurances de George Kurtz, PDG de CrowdStrike, que cette panne n'était pas une cyberattaque, l'ampleur des perturbations, en particulier dans des secteurs vitaux comme les voyages et les systèmes bancaires, souligne l'importance de tests rigoureux avant le déploiement de mises à jour logicielles. La nécessité de mesures de sauvegarde et de plans de contingence devient évidente pour prévenir des interruptions de cette ampleur.
La réponse rapide de la CISA, qui a noté l'exploitation de la situation par des acteurs malveillants pour mener des activités de phishing, ajoute une couche de complexité et montre que les incidents techniques peuvent rapidement devenir des opportunités pour des attaques plus ciblées. Enfin, la chute de 11 % des actions de CrowdStrike met en lumière l'impact financier immédiat que de tels incidents peuvent avoir sur une entreprise, affectant non seulement sa réputation mais aussi sa valeur marchande. Cette situation doit servir de leçon pour renforcer les processus de mise à jour et de déploiement dans le secteur de la cybersécurité afin de minimiser les risques de perturbations futures.
Source : Crowdstrike
Et vous ?
Voir aussi :
Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager