Discussion :

[OuftiBoy]

Réforme de l’accès au noyau Windows : Microsoft cherche à renforcer la sécurité après l’incident avec CrowdStrike,
Windows deviendra-t-il un système plus fermé, à l’instar de macOS d’Apple ?

La semaine dernière, une panne causée par une mise à jour défectueuse de CrowdStrike a touché environ 8,5 millions d’appareils Windows. En réponse à cet incident, Microsoft souhaite renforcer la résilience de son système d’exploitation en limitant l’accès des tiers au noyau Windows. Pour éviter une nouvelle panne de type CrowdStrike, Windows deviendra-t-il un système d'exploitation plus fermé, comme macOS d'Apple ?

Ce n'est que du bon sens.

[B][SIZE=4]Microsoft continue d'aider CrowdStrike à réparer les dégâts causés il y a une semaine, lorsque 8,5 millions d'ordinateurs ont été mis hors service à cause d'une mise à jour boguée de CrowdStrike. Aujourd'hui, le géant du logiciel appelle à des modifications de Windows et laisse entendre subtilement que sa priorité est de rendre Windows plus résistant et qu'il est prêt à empêcher les fournisseurs de solutions de sécurité comme CrowdStrike d'accéder au noyau de Windows.

Bien que CrowdStrike ait attribué sa mise à jour ratée à un bogue dans son logiciel de test, son logiciel fonctionne au niveau du noyau - la partie centrale d'un système d'exploitation qui a un accès illimité à la mémoire du système et au matériel. Cela signifie que si quelque chose ne va pas avec l'application de CrowdStrike, elle peut faire tomber les machines Windows avec un écran bleu de la mort.

Que l'OS soit ouvert pour les applications classiques, c'est tout a fait normal. Pour ce qui est critique, ils doivent protèger leur OS.

[B][SIZE=4]Le logiciel Falcon de CrowdStrike utilise un pilote spécial qui lui permet de fonctionner à un niveau inférieur à celui de la plupart des applications, de sorte qu'il peut détecter les menaces sur l'ensemble d'un système Windows. En 2006, Microsoft a tenté d'empêcher les tiers d'accéder au noyau de Windows Vista, mais s'est heurté au refus des fournisseurs de cybersécurité et des autorités de réglementation de l'UE. Toutefois, Apple a réussi à verrouiller son système d'exploitation macOS en 2020 afin que les développeurs ne puissent plus accéder au noyau.

C'est dommage, cela aurait rendu windows plus stable.

[B][SIZE=4]Aujourd'hui, il semble que Microsoft veuille rouvrir le débat sur la restriction de l'accès au niveau du noyau dans Windows.

Pièce jointe 657589

Que peut faire Microsoft ?

Bien qu'il ne soit pas directement impliqué, Microsoft contrôle toujours l'expérience Windows, et il y a beaucoup de place pour l'amélioration dans la façon dont Windows gère des problèmes comme celui-ci.

Au minimum, Windows pourrait désactiver les pilotes défectueux. Si Windows détermine qu'un pilote fait planter le système au démarrage et le force à passer en mode de récupération, Microsoft pourrait intégrer une logique plus intelligente permettant à un système de démarrer sans le pilote défectueux après plusieurs échecs de démarrage.

Ce serait un bon début.

[B][SIZE=4]Mais le changement le plus important consisterait à verrouiller l'accès au noyau de Windows afin d'empêcher les pilotes tiers de faire planter un PC entier. Ironiquement, Microsoft a essayé de faire exactement cela avec Windows Vista, mais s'est heurté à la résistance des fournisseurs de cybersécurité et des régulateurs de l'UE.

En 2006, Microsoft a tenté de mettre en œuvre une fonction connue à l'époque sous le nom de PatchGuard dans Windows Vista, en empêchant les tiers d'accéder au noyau. McAfee et Symantec, les deux plus grands éditeurs d'antivirus de l'époque, se sont opposés aux changements de Microsoft, et Symantec s'est même plaint auprès de la Commission européenne. Microsoft a finalement fait marche arrière, autorisant à nouveau les fournisseurs de solutions de sécurité à accéder au noyau à des fins de contrôle de la sécurité.

Apple a fini par prendre la même mesure, en verrouillant son système d'exploitation macOS en 2020 afin que les développeurs ne puissent plus accéder au noyau. « C'était certainement la bonne décision de la part d'Apple de rendre obsolètes les extensions tierces du noyau », déclare Patrick Wardle, PDG de DoubleYou et fondateur de Objective-See Foundation. « Mais le chemin à parcourir pour y parvenir a été semé d'embûches. Apple a connu quelques bogues de noyau où les outils de sécurité fonctionnant en mode utilisateur pouvaient encore déclencher un crash (panique du noyau), et Wardle dit qu'Apple « a également introduit quelques vulnérabilités d'exécution de privilèges, et il y a encore d'autres bogues qui pourraient permettre aux outils de sécurité sur Mac d'être déchargés par des logiciels malveillants ».

Il est possible que des pressions réglementaires empêchent encore Microsoft d'agir dans ce domaine. Le Wall Street Journal a rapporté ce week-end « qu'un porte-parole de Microsoft a déclaré que la société ne pouvait pas légalement cloisonner son système d'exploitation de la même manière qu'Apple, en raison d'un accord conclu avec la Commission européenne à la suite d'une plainte ». Le Journal paraphrase le porte-parole anonyme et mentionne également un accord de 2009 visant à fournir aux éditeurs de solutions de sécurité le même niveau d'accès à Windows que Microsoft.

En 2009, Microsoft a conclu un accord d'interopérabilité avec la Commission européenne. Il s'agissait d'un « engagement public » visant à permettre aux développeurs d'accéder à la documentation technique nécessaire à la création d'applications au-dessus de Windows. L'accord comprenait la mise en œuvre d'un écran de choix du navigateur dans Windows et l'offre de versions spéciales de Windows sans Internet Explorer intégré dans le système d'exploitation.

Un navigateur n'est pas un logiciel "critique" (du moins, il ne devrait pas l'être). Que l'Europe oblige microsoft à laisser le choix d'autres navigateur, c'est normal.

[B][SIZE=4]Dans quelle direction l'entreprise a-t-elle décidé d'évoluer ?

« Cet incident montre clairement que Windows doit donner la priorité au changement et à l'innovation dans le domaine de la résilience de bout en bout », déclare John Cable, vice-président de la gestion des programmes pour le service et la livraison de Windows, dans un billet de blog intitulé « Résilience de Windows : Les meilleures pratiques et la voie à suivre ». Cable appelle à une coopération plus étroite entre Microsoft et ses partenaires « qui se soucient également beaucoup de la sécurité de l'écosystème Windows » afin d'apporter des améliorations en matière de sécurité.

Microsoft a attribué une partie de la panne de CrowdStrike à l'accord antitrust de l'Union européenne de 2009 qui oblige Redmond à ouvrir l'accès au niveau du noyau aux fournisseurs de logiciels tiers. En revanche, Apple a commencé à supprimer progressivement les extensions du noyau dans macOS en 2020 et a incité les éditeurs de logiciels à utiliser le « framework d'extension du système », en citant les avantages en termes de fiabilité et de sécurité.

Cable ne demande pas à Microsoft de couper complètement l'accès au noyau Windows. Il propose plutôt des alternatives, telles que « les enclaves VBS récemment annoncées, qui fournissent un environnement informatique isolé qui ne nécessite pas que les pilotes du mode noyau soient résistants aux manipulations ».



L'industrie des solutions de cybersécurité suit l'évolution de la situation avec attention

Malgré cela, le billet de Cable soulève la question de savoir si les efforts déployés par Microsoft pour sécuriser l'accès au noyau pourraient nuire aux éditeurs de logiciels tiers. Par exemple, les logiciels antivirus peuvent utiliser l'accès au niveau du noyau pour surveiller les changements malveillants apportés au système d'exploitation Windows dès les premières étapes.

« Sans les privilèges du mode noyau, [les antivirus et les systèmes de détection et de réponse des points d'extrémité] sont extrêmement limités dans ce qu'ils peuvent faire. Cependant, nous ne pensons pas que Microsoft va vraiment révoquer l'accès au mode noyau pour les fournisseurs de sécurité », a tweeté le service de suivi des logiciels malveillants VX-Underground.

Bad. Without kernel mode privileges, AVs and EDRs are extremely restricted in what they can do. However, we don't believe Microsoft will truly revoke kernel mode access to security vendors.

— vx-underground (@vxunderground) July 26, 2024

Pour sa part, Matthew Prince, PDG de Cloudflare, a déjà mis en garde contre les effets d'un verrouillage plus poussé de Windows par Microsoft, qui devra donc prendre soigneusement en compte les besoins des fournisseurs de solutions de sécurité s'il souhaite opérer un véritable changement.

Here’s the scary thing that’s likely to happen based on the facts of the day if we don’t pay attention. Microsoft, who competes with @CrowdStrike, will argue that they should lock all third-party security vendors out of their OS. “It’s the only way we can be safe,” they’ll…

— Matthew Prince 🌥 (@eastdakota) July 20, 2024

Conclusion

Microsoft cherche à éviter les pannes similaires à celle de CrowdStrike en renforçant la sécurité tout en préservant l’accès nécessaire aux éditeurs tiers. L’avenir de Windows sera-t-il plus fermé ? L’entreprise devra trouver un équilibre entre sécurité et flexibilité0

Sources : Microsoft (1, 2) Apple

Et vous ?

Quelle est votre opinion sur l’accès au noyau Windows ? Pensez-vous que Microsoft devrait restreindre davantage l’accès des tiers pour améliorer la sécurité, ou est-ce une atteinte à la liberté des développeurs ?
Quelles alternatives à l’accès au noyau Windows sont envisageables ? À part les “enclaves VBS”, existe-t-il d’autres moyens de garantir la sécurité sans compromettre la flexibilité ?
Comment évaluez-vous la réaction de Microsoft suite à l’incident avec CrowdStrike ? Trouvez-vous qu’ils ont agi rapidement et de manière appropriée ?
Quelles sont les implications pour les utilisateurs et les entreprises ? Comment cette réforme pourrait-elle affecter les performances, la compatibilité des logiciels tiers et la confiance des utilisateurs envers Windows ?

BàV et Peace & Love.

[Stéphane le calme]

Au-delà de CrowdStrike : l'entreprise n'est pas la seule à être vulnérable, mais tout le secteur de la cybersécurité,
les solutions technologiques sur lesquelles nous comptons sont souvent moins abouties qu'il n'y paraît

L’incident de panne chez CrowdStrike a mis en lumière la vulnérabilité du secteur de la cybersécurité. Une mise à jour défectueuse du logiciel Falcon Sensor de CrowdStrike a entraîné des plantages massifs d’ordinateurs Windows dans le monde entier. Cela souligne les problèmes majeurs de notre infrastructure informatique. D’autres entreprises du même modèle commercial pourraient également être touchées.

Il faut en moyenne 62 minutes à des adversaires malveillants pour faire tomber votre entreprise, avertit le site web de CrowdStrike. En l'occurrence, l'entreprise de cybersécurité chargée de protéger de dizaines milliers de clients contre les pirates informatiques a réussi à faire tomber une grande partie des entreprises mondiales. Le coupable n'était autre qu'une seule mise à jour de contenu défectueuse qu'elle a diffusée sur son produit Falcon Sensor auprès des utilisateurs de Microsoft dans le monde entier.

En effet, CrowdStrike a déclaré dans un communiqué qu'il avait « identifié et isolé la faille et qu'un correctif avait été déployé ».

Microsoft a indiqué que 8,5 millions d'utilisateurs ont été impactés. Le phénomène a eu une répercussion mondiale, des entreprises d'Asie, d'Europe et des États-Unis ayant signalé des problèmes. Les retombées se sont étendues à de larges pans de l'économie mondiale, affectant les compagnies aériennes, les trains, les banques, les radiodiffuseurs et presque tout le reste. Les entreprises concernées affirment avoir mis en place un correctif. Mais les premiers rapports suggèrent que le processus est à la fois manuel et complexe, ce qui signifie que la remise en service des PC endommagés pourrait être un processus laborieux.

Les entreprises concernées en subiront évidemment les conséquences. Un échec aussi généralisé soulèvera, à tout le moins, de sérieuses questions sur le contrôle de la qualité et les processus de test internes. Cela devrait effrayer les clients. L'action semble également vulnérable. CrowdStrike a connu une croissance rapide, sa capitalisation boursière ayant plus que doublé au cours des 12 derniers mois pour atteindre 83,5 milliards de dollars. Cependant, le jour de la médiatisation de ces incidents, les actions de la société ont chuté.

D'autres entreprises, fonctionnant selon un modèle commercial similaire, pourraient également être touchées. Les clients seront conscients du risque que représente l'externalisation de ces fonctions critiques à des tiers, en particulier ceux qui sont en mesure d'envoyer automatiquement des mises à jour aux systèmes des clients. L'une des conséquences pourrait bien être l'expansion des équipes informatiques internes. Une autre conséquence devrait être la recherche d'un plus grand nombre de fournisseurs de logiciels et d'autres applications de sécurité.

Des leçons à retenir de cet incident ?

L'incident va exacerber les inquiétudes concernant le risque de concentration dans le secteur de la cybersécurité. Selon SecurityScorecard, 15 entreprises seulement dans le monde représentent 62 % du marché des produits et services de cybersécurité. Dans le domaine de la sécurité des terminaux modernes, qui consiste à sécuriser les PC, les ordinateurs portables et d'autres appareils, le problème est pire : trois entreprises, dont Microsoft et CrowdStrike sont de loin les plus importantes, contrôlaient la moitié du marché l'année dernière, selon IDC.

Nous sommes aujourd'hui confrontés à une prise de conscience importante et terrifiante : De nombreuses personnes en charge de nos systèmes numériques mondiaux dépendent d'un seul fournisseur de logiciels comme point de défaillance (une estimation suggère que CrowdStrike représente 24 % du marché de la sécurité), et lorsque ce fournisseur lui-même commet une erreur, nous sommes tous amenés à en subir les conséquences.

Alors que le Cyber Safety Review Board américain dissèque les cyberattaques de grande ampleur pour en tirer des enseignements, il n'existe pas d'organisme évident chargé d'analyser ces défaillances techniques afin d'améliorer la résilience de l'infrastructure technologique mondiale, a déclaré Ciaran Martin, ancien directeur du National Cyber Security Centre du Royaume-Uni.

La panne qui a frappé le monde devrait inciter les clients - et peut-être même les gouvernements et les régulateurs - à réfléchir davantage à la manière d'intégrer la diversification et la redondance dans leurs systèmes.

Peu probable que cela arrive

« Ce qui est unique dans cet incident, c'est l'échelle à laquelle il s'est produit, qui a probablement fait perdre des milliards à l'économie mondiale en raison des temps d'arrêt généralisés », a déclaré Neatsun Ziv, PDG d'OX Security, une société de cybersécurité. Elle a également fait perdre des milliards au bilan de CrowdStrike, dont le cours de l'action a chuté au début de la journée de l'incident.

Ce n'est pourtant pas le premier exemple de défaillance d'une seule entreprise affectant d'immenses réseaux mondiaux. Nous avons assisté à des dizaines de pannes massives de l'internet à la suite de défaillances de la part d'hébergeurs de sites sur le cloud et d'autres fournisseurs de systèmes. Le monde aurait dû tirer les leçons de l'un ou l'autre de ces incidents, qu'il s'agisse de la panne du logiciel Microsoft 365 en septembre 2020, de la panne de téléphone cellulaire à l'échelle nationale en février 2024 ou même de l'attaque des services publics américains en avril de cette année.

« Il est important de tirer les leçons de l'incident [de CrowdStrike] afin de réduire la probabilité qu'il se reproduise », déclare Simon Newman, cofondateur de Cyber London et membre du conseil consultatif de la Cyber Expo internationale. « J'encourage toutes les organisations à revoir régulièrement la résilience de leur chaîne d'approvisionnement ».

Cependant, nous ne l'avons pas fait, et nous ne le ferons probablement pas cette fois-ci non plus. Les solutions technologiques de pointe dont nous dépendons au quotidien sont souvent moins sophistiquées qu'il n'y paraît. Bien qu'elles semblent avoir été développées et codées avec soin, et qu'elles soient, à des fins de marketing, sans visage, elles sont le résultat d'un travail humain acharné qui a codé chaque ligne et vérifié chaque élément de ces solutions. Et les humains font des erreurs.

Le fait que cela se produise - et continue de se produire - devrait contribuer à mettre fin à l'idée que ces systèmes sont en quelque sorte infaillibles et que rien ne peut jamais leur arriver de mal. Dans un monde parfait, nous pourrions planifier des jeux autour de ces inévitabilités et créer des sécurités appropriées. Mais ce n'est pas le monde dans lequel nous vivons.

Microsoft cherche à renforcer la sécurité après l'incident avec CrowdStrike

« Cet incident montre clairement que Windows doit donner la priorité au changement et à l'innovation dans le domaine de la résilience de bout en bout », déclare John Cable, vice-président de la gestion des programmes pour le service et la livraison de Windows, dans un billet de blog intitulé « Résilience de Windows : Les meilleures pratiques et la voie à suivre ». Cable appelle à une coopération plus étroite entre Microsoft et ses partenaires « qui se soucient également beaucoup de la sécurité de l'écosystème Windows » afin d'apporter des améliorations en matière de sécurité.

Microsoft a attribué une partie de la panne de CrowdStrike à l'accord antitrust de l'Union européenne de 2009 qui oblige Redmond à ouvrir l'accès au niveau du noyau aux fournisseurs de logiciels tiers. En revanche, Apple a commencé à supprimer progressivement les extensions du noyau dans macOS en 2020 et a incité les éditeurs de logiciels à utiliser le « framework d'extension du système », en citant les avantages en termes de fiabilité et de sécurité.

Cable ne demande pas à Microsoft de couper complètement l'accès au noyau Windows. Il propose plutôt des alternatives, telles que « les enclaves VBS récemment annoncées, qui fournissent un environnement informatique isolé qui ne nécessite pas que les pilotes du mode noyau soient résistants aux manipulations ».

Malgré cela, le billet de Cable soulève la question de savoir si les efforts déployés par Microsoft pour sécuriser l'accès au noyau pourraient nuire aux éditeurs de logiciels tiers. Par exemple, les logiciels antivirus peuvent utiliser l'accès au niveau du noyau pour surveiller les changements malveillants apportés au système d'exploitation Windows dès les premières étapes.

« Sans les privilèges du mode noyau, [les antivirus et les systèmes de détection et de réponse des points d'extrémité] sont extrêmement limités dans ce qu'ils peuvent faire. Cependant, nous ne pensons pas que Microsoft va vraiment révoquer l'accès au mode noyau pour les fournisseurs de sécurité », a tweeté le service de suivi des logiciels malveillants VX-Underground.

Pour sa part, Matthew Prince, PDG de Cloudflare, a déjà mis en garde contre les effets d'un verrouillage plus poussé de Windows par Microsoft, qui devra donc prendre soigneusement en compte les besoins des fournisseurs de solutions de sécurité s'il souhaite opérer un véritable changement.

Sources : parts de marché de CrowdStrike, Microsoft (1, 2)

Et vous ?

Faut-il repenser notre confiance envers les entreprises de cybersécurité après l’incident chez CrowdStrike ? Dans quelle mesure ?
CrowdStrike : un avertissement pour les autres entreprises de cybersécurité ?

[Stéphane le calme]

La panne de Crowdstrike prouve-t-elle les dangers d'une société sans argent comptant ?
Plusieurs entreprises, qui dépendent fortement des systèmes de paiements numériques, n'étaient plus en mesure de traiter les paiements

L’incident mondial de panne informatique a entraîné des perturbations significatives dans divers secteurs, en particulier pour les entreprises qui dépendent fortement des systèmes de paiement numériques et sans argent comptant. L’Alliance pour le Choix des Paiements (PCA) soutient que l’incident de Crowdstrike devrait servir d’avertissement contre les changements majeurs dans la gestion de l’argent et des paiements dans la société moderne

Les supermarchés, les banques, les pubs, les cafés, les gares et les aéroports ont tous été touchés par la défaillance des systèmes Microsoft; de sorte que nombre d'entre eux n'ont pas pu accepter les paiements électroniques. L'impact a été particulièrement sévère pour les entreprises qui n'acceptent plus de paiement en liquide.

Waitrose a annoncé à ses clients qu'il n'était pas en mesure de traiter les paiements sans contact, tandis que la panne informatique mondiale semait le chaos au Royaume-Uni. Le supermarché de classe moyenne ne pouvait traiter que les paiements par carte à puce ou accepter des espèces dans les magasins, avant de confirmer que ses systèmes étaient de nouveau opérationnels. Les clients ont été informés qu'ils devaient retirer de l'argent aux distributeurs de cartes situés à proximité pour payer leurs achats.

Un panneau dans un Waitrose de Petersfield a été photographié indiquant que le magasin n'acceptait que les paiements en espèces car tous les « lecteurs de cartes étaient en panne », avec des excuses pour la gêne occasionnée. Une station de radio locale a rapporté que des files d'attente s'étaient formées à un guichet automatique au coin de la rue, les clients essayant de mettre la main sur des billets de banque.

Petersfield @waitrose is among the stores unable to process card payments this morning. It's linked to the global IT outage. People have been queuing at nearby Santander for cash. pic.twitter.com/kg7v9rZwp4

— Petersfield's Shine Radio (@shineradio) July 19, 2024

Les paiements en espèces ne sont pas obsolètes

La Payment Choice Alliance (PCA), qui fait campagne contre l'évolution vers une société sans numéraire, a énuméré 23 entreprises et groupes dont au moins une partie des points de vente n'acceptent que les cartes de crédit ou de débit. « Il y aura toujours des pannes », a déclaré Ron Delnevo, président de la PCA. « Mais s'il n'y a pas d'alternative, tout peut s'effondrer autour de vous ».

Selon UK Finance, qui représente les banques, les paiements en espèces ont augmenté l'année dernière pour la première fois depuis dix ans. Le nombre de personnes qui n'utilisent jamais de paiement en espèces, ou qui l'utilisent moins d'une fois par mois, a atteint 23,1 millions en 2021, mais est retombé à 21,6 millions l'année dernière. UK Finance a déclaré qu'il y avait « certainement encore une place » pour le paiement en espèces. « C'est à chaque entreprise de décider, mais nous pensons qu'il est bon de laisser le choix aux gens. La plupart des entreprises proposent encore des paiements en espèces ».

Le syndicat GMB a déclaré que cette panne confirmait ce qu'il disait depuis des années, à savoir que « l'argent en espèces est un élément essentiel du fonctionnement de nos communautés ». « Lorsque l'argent en espèces est retiré du système, les gens n'ont plus rien sur lequel s'appuyer, ce qui a un impact sur la façon dont ils s'acquittent de leurs tâches quotidiennes ».

Dennis Reed, directeur du groupe de campagne Silver Voices, qui représente les personnes âgées, a déclaré :

« C'est extrêmement inquiétant. Cela devrait constituer un avertissement important pour le gouvernement. Il est évident que les personnes âgées ont été particulièrement touchées, non seulement par l'aspect financier, mais aussi par les rendez-vous chez le médecin généraliste et tout le reste. Si les gens ne peuvent pas payer parce qu'ils ne peuvent pas utiliser leur téléphone, lorsque les systèmes tombent en panne - et c'est toujours le cas - les gens ne pourront pas accéder aux services vitaux, à la nourriture et aux choses essentielles de la vie.

« Avec cette société de plus en plus numérique, nous sommes tributaires de son bon fonctionnement. Mais nous n'avons aucun contrôle là-dessus. Nous mettons tous nos œufs dans le même panier. La sécurité future de la nation est en danger ».

Martin Quinn, directeur de campagne à la Payment Choice Alliance, a déclaré : « Avec les pannes informatiques qui se produisent maintenant avec une régularité alarmante, les entreprises devraient être attentives à n'accepter que les paiements par carte ».

Pourtant, de nombreux supermarchés préfèrent mettre en place des caisses en libre-service n'acceptant que les cartes, ce qui donne aux utilisateurs d'argent en espèces l'impression d'être des citoyens de seconde zone.

La Grande-Bretagne est en train de devenir une société sans argent en espèces, avec environ 25 millions de personnes âgées de plus de 16 ans, soit 45 % des Britanniques, qui déclarent ne pas emporter leur portefeuille lorsqu'ils sortent, selon le Daily Mail. Il est également devenu plus difficile de retirer de l'argent, et 23 000 distributeurs automatiques de billets devraient fermer d'ici à 2030.

Plusieurs pannes moins importantes et sans rapport avec le problème avaient déjà affecté les détaillants cette année

En mars, McDonald's, Tesco, Sainsbury's et Gregg's ont connu des problèmes avec leurs systèmes de paiement. Tous ces points de vente acceptent également les espèces.

En Chine et aux États-Unis, les autorités ont infligé des amendes aux commerces qui n'acceptaient pas les paiements en espèces. Delnevo a déclaré que le Royaume-Uni devrait adopter une loi obligeant tous les commerces à accepter les espèces.

Martin Quinn, directeur de campagne de la PCA, a déclaré que l'utilisation d'argent liquide permettait l'anonymat. « Je ne veux pas que mes données soient vendues et je ne veux pas que les banques, les sociétés de cartes de crédit et même les détaillants en ligne connaissent toutes les facettes de ma vie », a-t-il déclaré. Pour certains, il est également plus facile d'établir un budget en utilisant de l'argent en espèces ».

« Si je sors pour une soirée et que je décide de dépenser 50 livres sterling, je risque de me réveiller avec des éclats d'obus dans les poches. Mais si je suis au pub et que je me contente de taper, taper, taper, le lendemain matin, je me réveillerai et je découvrirai que j'ai dépassé mon découvert ».

Link a déclaré que, dans l'ensemble, ses distributeurs automatiques de billets étaient à des niveaux normaux, mais qu'ils étaient plus fréquentés aux abords des supermarchés.

Les avantages et les inconvénients d’une société sans argent en liquide

Avantages

• Efficacité et commodité : Les paiements numériques offrent une rapidité et une commodité inégalées. Plus besoin de transporter des espèces, de faire la queue aux guichets automatiques ou de compter des pièces de monnaie.
• Traçabilité : Les transactions numériques laissent des traces, ce qui peut être utile pour la lutte contre la fraude et le blanchiment d’argent.
• Réduction des coûts : Les paiements numériques sont souvent moins coûteux à gérer pour les entreprises et les gouvernements.

Les inconvénients et les risques

• Dépendance technologique : L’incident de Crowdstrike a montré à quel point nous sommes vulnérables aux pannes informatiques. Si les systèmes de paiement numériques échouent, cela pourrait paralyser l’économie.
• Perte d’anonymat : L’utilisation d’argent liquide permet de préserver l’anonymat des transactions. Avec les paiements numériques, chaque achat peut être suivi et analysé.
• Exclusion financière : Tout le monde n’a pas accès à des services bancaires ou à Internet. Une société sans argent liquide pourrait marginaliser davantage les populations défavorisées.

Conclusion

L’incident de Crowdstrike soulève des questions importantes sur la dépendance croissante aux paiements numériques et les risques potentiels d’une société sans argent en espèces. Il est essentiel de trouver un équilibre entre les avantages de la technologie et la nécessité de préserver l’anonymat, la résilience et la simplicité que l’argent liquide offre encore à de nombreuses personnes

Source : Payment Choice Alliance

Et vous ?

Quels sont les avantages et les inconvénients d’une société sans cash ? Explorez les aspects positifs et négatifs de la transition vers des paiements numériques exclusivement.
Comment pouvons-nous garantir la sécurité et la résilience des systèmes de paiement numériques ? Abordez la nécessité de protéger les infrastructures numériques contre les pannes et les cyberattaques.
Quelles alternatives au cash pourraient être envisagées pour préserver l’anonymat et la simplicité ? Une réflexion sur d’autres moyens de paiement qui pourraient offrir des avantages similaires au cash.
Quel rôle les gouvernements et les entreprises devraient-ils jouer dans la promotion ou la limitation de l’utilisation du cash ? Explorez les responsabilités des différentes parties prenantes dans la transition vers une société sans cash.
Comment pouvons-nous éduquer le public sur les risques et les avantages des paiements numériques ? Une discussion sur la sensibilisation et l’éducation des consommateurs concernant les choix de paiement.

[Jade Emy]

Microsoft analyse techniquement l'incident CrowdStrike, tout en étant aussi diplomatique que possible, il s'agit d'une gifle pour CrowdStrike qui a causé des pannes graves à d'autres systèmes d'exploitation.

Dans un billet de blog, Microsoft examine la récente panne de CrowdStrike et fournit un aperçu technique de la cause première. Tout en étant aussi diplomatique que possible, Microsoft explique comment les clients et les fournisseurs de solutions de sécurité peuvent mieux exploiter les capacités de sécurité intégrées de Windows pour améliorer la sécurité et la fiabilité. Pour CrowdStrike, il s'agit certainement d'une gifle, surtout après que Crowdstrike ait tué un système d'exploitation tous les mois.

Le 19 juillet 2024, une panne informatique mondiale a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan. Les écrans bleus de la mort ont perturbé le fonctionnement normal des machines Windows, affichant le message : “Recovery: It looks like Windows didn’t load correctly.”

Plus de 1 000 vols ont été annulés, principalement dans le secteur du transport aérien. Des aéroports tels que Hong Kong International Airport, l’aéroport de Berlin, l’aéroport de Zurich et l’aéroport de Budapest ont été touchés. La compagnie aérienne Ryanair a signalé des problèmes de réservation et d’enregistrement. De plus, les systèmes de réservation de Cathay Pacific, Hong Kong Express et Hong Kong Airlines sont restés indisponibles pendant plusieurs heures, entraînant des retards et des désagréments pour les voyageurs.

L’entreprise de cybersécurité américaine CrowdStrike a reconnu être à l’origine de ces problèmes. Le directeur général de CrowdStrike, George Kurtz, a confirmé qu'un « défaut » dans une mise à jour de contenu pour les hôtes Windows était à l'origine de la panne, et Kurtz a exclu une cyberattaque. Il a ajouté que l'entreprise était en train de déployer un correctif et que les hôtes Mac et Linux n'étaient pas affectés.

Voici l'analyse technique de Microsoft de cet incident, tout en étant partageant les meilleures pratiques en matière de sécurité Windows :

Rapport d'incident : Les meilleures pratiques en matière de sécurité Windows pour l'intégration et la gestion des outils de sécurité

Windows est une plateforme ouverte et flexible utilisée par de nombreuses entreprises parmi les plus importantes au monde pour des cas d'utilisation à haute disponibilité où la sécurité et la disponibilité ne sont pas négociables.

Pour répondre à ces besoins :

1. Windows offre une gamme de modes d'exploitation parmi lesquels les clients peuvent choisir. Il est notamment possible de limiter l'exécution aux seuls logiciels et pilotes approuvés. Cela permet d'améliorer la sécurité et la fiabilité en faisant fonctionner Windows dans un mode plus proche des téléphones mobiles ou des appareils.
   
2. Les clients peuvent opter pour les fonctions intégrées de surveillance et de détection de la sécurité qui sont incluses dans Windows. Ils peuvent également choisir de remplacer ou de compléter cette sécurité par un large éventail de choix provenant d'un écosystème ouvert et dynamique de fournisseurs.

Dans ce billet de blog, nous examinons la récente panne de CrowdStrike et fournissons un aperçu technique de la cause première. Nous expliquons également pourquoi les produits de sécurité utilisent aujourd'hui des pilotes en mode noyau et les mesures de sécurité que Windows offre aux solutions tierces. En outre, nous expliquons comment les clients et les fournisseurs de solutions de sécurité peuvent mieux exploiter les capacités de sécurité intégrées de Windows pour améliorer la sécurité et la fiabilité. Enfin, nous donnons un aperçu de la manière dont Windows améliorera l'extensibilité des futurs produits de sécurité.

CrowdStrike a récemment publié une analyse préliminaire de la panne. Dans son billet de blog, CrowdStrike décrit la cause première comme un problème de sécurité de la mémoire, en particulier une violation d'accès hors limites en lecture dans le pilote CSagent. Nous utilisons le débogueur de noyau Microsoft WinDBG et plusieurs extensions qui sont disponibles gratuitement pour tout le monde afin d'effectuer cette analyse. Les clients qui disposent de fichiers de crash peuvent reproduire nos étapes à l'aide de ces outils.

Sur la base de l'analyse par Microsoft des fichiers de crash du noyau Windows Error Reporting (WER) relatifs à l'incident, nous observons des schémas de crash globaux qui reflètent ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
FAULTING_THREAD:  ffffe402fe868040
 
READ_ADDRESS:  ffff840500000074 Paged pool
 
MM_INTERNAL_CODE:  2
 
IMAGE_NAME:  csagent.sys
 
MODULE_NAME: csagent
 
FAULTING_MODULE: fffff80671430000 csagent
 
PROCESS_NAME:  System
 
TRAP_FRAME:  ffff94058305ec20 -- (.trap 0xffff94058305ec20)
.trap 0xffff94058305ec20
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=ffff94058305f200 rbx=0000000000000000 rcx=0000000000000003
rdx=ffff94058305f1d0 rsi=0000000000000000 rdi=0000000000000000
rip=fffff806715114ed rsp=ffff94058305edb0 rbp=ffff94058305eeb0
 r8=ffff840500000074  r9=0000000000000000 r10=0000000000000000
r11=0000000000000014 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0         nv up ei ng nz na po nc
csagent+0xe14ed:
fffff806`715114ed 458b08          mov     r9d,dword ptr [r8] ds:ffff8405`00000074=????????
.trap
Resetting default scope
 
STACK_TEXT:  
ffff9405`8305e9f8 fffff806`5388c1e4     : 00000000`00000050 ffff8405`00000074 00000000`00000000 ffff9405`8305ec20 : nt!KeBugCheckEx 
ffff9405`8305ea00 fffff806`53662d8c     : 00000000`00000000 00000000`00000000 00000000`00000000 ffff8405`00000074 : nt!MiSystemFault+0x1fcf94  
ffff9405`8305eb00 fffff806`53827529     : ffffffff`00000030 ffff8405`af8351a2 ffff9405`8305f020 ffff9405`8305f020 : nt!MmAccessFault+0x29c 
ffff9405`8305ec20 fffff806`715114ed     : 00000000`00000000 ffff9405`8305eeb0 ffff8405`b0bcd00c ffff8405`b0bc505c : nt!KiPageFault+0x369 
ffff9405`8305edb0 fffff806`714e709e     : 00000000`00000000 00000000`e01f008d ffff9405`8305f102 fffff806`716baaf8 : csagent+0xe14ed
ffff9405`8305ef50 fffff806`714e8335     : 00000000`00000000 00000000`00000010 00000000`00000002 ffff8405`b0bc501c : csagent+0xb709e
ffff9405`8305f080 fffff806`717220c7     : 00000000`00000000 00000000`00000000 ffff9405`8305f382 00000000`00000000 : csagent+0xb8335
ffff9405`8305f1b0 fffff806`7171ec44     : ffff9405`8305f668 fffff806`53eac2b0 ffff8405`afad4ac0 00000000`00000003 : csagent+0x2f20c7
ffff9405`8305f430 fffff806`71497a31     : 00000000`0000303b ffff9405`8305f6f0 ffff8405`afb1d140 ffffe402`ff251098 : csagent+0x2eec44
ffff9405`8305f5f0 fffff806`71496aee     : ffff8405`afb1d140 fffff806`71541e7e 00000000`000067a0 fffff806`7168f8f0 : csagent+0x67a31
ffff9405`8305f760 fffff806`7149685b     : ffff9405`8305f9d8 ffff8405`afb1d230 ffff8405`afb1d140 ffffe402`fe8644f8 : csagent+0x66aee
ffff9405`8305f7d0 fffff806`715399ea     : 00000000`4a8415aa ffff8eee`1c68ca4f 00000000`00000000 ffff8405`9e95fc30 : csagent+0x6685b
ffff9405`8305f850 fffff806`7148efbb     : 00000000`00000000 ffff9405`8305fa59 ffffe402`fe864050 ffffe402`fede62c0 : csagent+0x1099ea
ffff9405`8305f980 fffff806`7148edd7     : ffffffff`ffffffa1 fffff806`7152e5c1 ffffe402`fe864050 00000000`00000001 : csagent+0x5efbb
ffff9405`8305fac0 fffff806`7152e681     : 00000000`00000000 fffff806`53789272 00000000`00000002 ffffe402`fede62c0 : csagent+0x5edd7
ffff9405`8305faf0 fffff806`53707287     : ffffe402`fe868040 00000000`00000080 fffff806`7152e510 006fe47f`b19bbdff : csagent+0xfe681
ffff9405`8305fb30 fffff806`5381b8e4     : ffff9680`37651180 ffffe402`fe868040 fffff806`53707230 00000000`00000000 : nt!PspSystemThreadStartup+0x57 
ffff9405`8305fb80 00000000`00000000     : ffff9405`83060000 ffff9405`83059000 00000000`00000000 00000000`00000000 : nt!KiStartSystemThread+0x34

En creusant davantage dans ce crash dump, nous pouvons restaurer le stack frame au moment de la violation d'accès afin d'en savoir plus sur son origine. Malheureusement, avec les données WER, nous ne recevons qu'une version compressée de l'état et nous ne pouvons donc pas désassembler à l'envers pour voir un ensemble plus large d'instructions avant le crash, mais nous pouvons voir dans le désassemblage qu'il y a une vérification de NULL avant d'effectuer une lecture à l'adresse spécifiée dans le registre R8 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
6: kd> .trap 0xffff94058305ec20
.trap 0xffff94058305ec20
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=ffff94058305f200 rbx=0000000000000000 rcx=0000000000000003
rdx=ffff94058305f1d0 rsi=0000000000000000 rdi=0000000000000000
rip=fffff806715114ed rsp=ffff94058305edb0 rbp=ffff94058305eeb0
 r8=ffff840500000074  r9=0000000000000000 r10=0000000000000000
r11=0000000000000014 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=000000000000
000
iopl=0         nv up ei ng nz na po nc
csagent+0xe14ed:
fffff806`715114ed 458b08          mov     r9d,dword ptr [r8] ds:ffff8405`00000074=????????
6: kd> !pte ffff840500000074
!pte ffff840500000074
                                           VA ffff840500000074
PXE at FFFFABD5EAF57840    PPE at FFFFABD5EAF080A0    PDE at FFFFABD5E1014000    PTE at FFFFABC202800000
contains 0A00000277200863  contains 0000000000000000
pfn 277200    ---DA--KWEV  contains 0000000000000000
not valid
 
6: kd> ub fffff806`715114ed
ub fffff806`715114ed
csagent+0xe14d9:
fffff806`715114d9 04d8            add     al,0D8h
fffff806`715114db 750b            jne     csagent+0xe14e8 (fffff806`715114e8)
fffff806`715114dd 4d85c0          test    r8,r8
fffff806`715114e0 7412            je      csagent+0xe14f4 (fffff806`715114f4)
fffff806`715114e2 450fb708        movzx   r9d,word ptr [r8]
fffff806`715114e6 eb08            jmp     csagent+0xe14f0 (fffff806`715114f0)
fffff806`715114e8 4d85c0          test    r8,r8
fffff806`715114eb 7407            je      csagent+0xe14f4 (fffff806`715114f4)
6: kd> ub fffff806`715114d9
ub fffff806`715114d9
                          ^ Unable to find valid previous instruction for 'ub fffff806`715114d9'
6: kd> u fffff806`715114eb
u fffff806`715114eb
csagent+0xe14eb:
fffff806`715114eb 7407            je      csagent+0xe14f4 (fffff806`715114f4)
fffff806`715114ed 458b08          mov     r9d,dword ptr [r8]
fffff806`715114f0 4d8b5008        mov     r10,qword ptr [r8+8]
fffff806`715114f4 4d8bc2          mov     r8,r10
fffff806`715114f7 488d4d90        lea     rcx,[rbp-70h]
fffff806`715114fb 488bd6          mov     rdx,rsi
fffff806`715114fe e8212c0000      call    csagent+0xe4124 (fffff806`71514124)
fffff806`71511503 4533d2          xor     r10d,r10d
 
6: kd> db ffff840500000074
db ffff840500000074
ffff8405`00000074  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
ffff8405`00000084  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
ffff8405`00000094  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
ffff8405`000000a4  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
ffff8405`000000b4  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
ffff8405`000000c4  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
ffff8405`000000d4  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
ffff8405`000000e4  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????

Nos observations confirment l'analyse de CrowdStrike selon laquelle il s'agit d'une erreur de sécurité de lecture hors limites dans le pilote CSagent.sys développé par CrowdStrike.

Nous pouvons également constater que le module csagent.sys est enregistré en tant que pilote de filtre de système de fichiers couramment utilisé par les agents anti-malware pour recevoir des notifications sur les opérations de fichiers telles que la création ou la modification d'un fichier. Les produits de sécurité s'en servent souvent pour analyser tout nouveau fichier enregistré sur le disque, comme le téléchargement d'un fichier via le navigateur.

Les filtres de système de fichiers peuvent également être utilisés comme un signal pour les solutions de sécurité qui tentent de surveiller le comportement du système. CrowdStrike a indiqué sur son blog qu'une partie de la mise à jour du contenu consistait à modifier la logique du capteur en ce qui concerne les données relatives à la création de tuyaux nommés. L'API du pilote de filtrage du système de fichiers permet au pilote de recevoir un appel lorsque l'activité d'un tuyau nommé (par exemple, la création d'un tuyau nommé) se produit sur le système et pourrait permettre la détection d'un comportement malveillant. La fonction générale du pilote correspond aux informations communiquées par CrowdStrike.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
6: kd>!reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csagent
 
Hive         ffff84059ca7b000
KeyNode      ffff8405a6f67f9c
 
[SubKeyAddr]         [SubKeyName]
ffff8405a6f683ac     Instances
ffff8405a6f6854c     Sim
 
 Use '!reg keyinfo ffff84059ca7b000 <SubKeyAddr>' to dump the subkey details
 
[ValueType]         [ValueName]                   [ValueData]
REG_DWORD           Type                          2
REG_DWORD           Start                         1
REG_DWORD           ErrorControl                  1
REG_EXPAND_SZ       ImagePath                     \??\C:\Windows\system32\drivers\CrowdStrike\csagent.sys
REG_SZ              DisplayName                   CrowdStrike Falcon
REG_SZ              Group                         FSFilter Activity Monitor
REG_MULTI_SZ        DependOnService               FltMgr\0
REG_SZ              CNFG                          Config.sys
REG_DWORD           SupportedFeatures             f

Nous pouvons voir que la version 291 du fichier du canal de contrôle spécifiée dans l'analyse de CrowdStrike est également présente dans le crash, ce qui indique que le fichier a été lu.

Déterminer la corrélation entre le fichier lui-même et la violation d'accès observée dans le crash dump nécessiterait un débogage supplémentaire du pilote à l'aide de ces outils, mais n'entre pas dans le cadre de ce billet de blog.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
!ca ffffde8a870a8290
 
ControlArea  @ ffffde8a870a8290
  Segment      ffff880ce0689c10  Flink      ffffde8a87267718  Blink        ffffde8a870a7d98
  Section Ref                 0  Pfn Ref                   b  Mapped Views                0
  User Ref                    0  WaitForDel                0  Flush Count                 0
  File Object  ffffde8a879b29a0  ModWriteCount             0  System Views                0
  WritableRefs                0  PartitionId                0  
  Flags (8008080) File WasPurged OnUnusedList 
 
      \Windows\System32\drivers\CrowdStrike\C-00000291-00000000-00000032.sys
 
1: kd> !ntfskd.ccb ffff880ce06f6970
!ntfskd.ccb ffff880ce06f6970
 
   Ccb: ffff880c`e06f6970
 Flags: 00008003 Cleanup OpenAsFile IgnoreCase
Flags2: 00000841 OpenComplete AccessAffectsOplocks SegmentObjectReferenced
  Type: UserFileOpen
FileObj: ffffde8a879b29a0
 
(018)  ffff880c`db937370  FullFileName [\Windows\System32\drivers\CrowdStrike\C-00000291-00000000-00000032.sys]
(020) 000000000000004C  LastFileNameOffset 
(022) 0000000000000000  EaModificationCount 
(024) 0000000000000000  NextEaOffset 
(048) FFFF880CE06F69F8  Lcb 
(058) 0000000000000002  TypeOfOpen

Nous pouvons exploiter le crash dump pour déterminer si d'autres pilotes fournis par CrowdStrike peuvent exister sur le système en cours d'exécution lors du crash.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
6: kd> lmDvmCSFirmwareAnalysis
lmDvmCSFirmwareAnalysis
Browse full module list
start             end                 module name
fffff806`58920000 fffff806`5893c000   CSFirmwareAnalysis   (deferred)             
    Image path: \SystemRoot\system32\DRIVERS\CSFirmwareAnalysis.sys
    Image name: CSFirmwareAnalysis.sys
    Browse all global symbols  functions  data  Symbol Reload
    Timestamp:        Mon Mar 18 11:32:14 2024 (65F888AE)
    CheckSum:         0002020E
    ImageSize:        0001C000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4
    Information from resource tables:
6: kd> lmDvmcspcm4
lmDvmcspcm4
Browse full module list
start             end                 module name
fffff806`71870000 fffff806`7187d000   cspcm4     (deferred)             
    Image path: \??\C:\Windows\system32\drivers\CrowdStrike\cspcm4.sys
    Image name: cspcm4.sys
    Browse all global symbols  functions  data  Symbol Reload
    Timestamp:        Mon Jul  8 18:33:22 2024 (668C9362)
    CheckSum:         00012F69
    ImageSize:        0000D000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4
    Information from resource tables:
6: kd> lmDvmcsboot.sys
lmDvmcsboot.sys
Browse full module list
start             end                 module name
 
Unloaded modules:
fffff806`587d0000 fffff806`587dc000   CSBoot.sys
    Timestamp: unavailable (00000000)
    Checksum:  00000000
    ImageSize:  0000C000
 
6: kd> !reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csboot
!reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csboot
 
Hive         ffff84059ca7b000
KeyNode      ffff8405a6f68924
 
[ValueType]         [ValueName]                   [ValueData]
REG_DWORD           Type                          1
REG_DWORD           Start                         0
REG_DWORD           ErrorControl                  1
REG_EXPAND_SZ       ImagePath                     system32\drivers\CrowdStrike\CSBoot.sys
REG_SZ              DisplayName                   CrowdStrike Falcon Sensor Boot Driver
REG_SZ              Group                         Early-Launch
6: kd> !reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csdevicecontrol
!reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csdevicecontrol
 
Hive         ffff84059ca7b000
KeyNode      ffff8405a6f694ac
 
[SubKeyAddr]         [VolatileSubKeyName]
ffff84059ce196c4     Enum
 
 Use '!reg keyinfo ffff84059ca7b000 <SubKeyAddr>' to dump the subkey details
 
[ValueType]         [ValueName]                   [ValueData]
REG_DWORD           Type                          1
REG_DWORD           Start                         3
REG_DWORD           ErrorControl                  1
REG_DWORD           Tag                           1f
REG_EXPAND_SZ       ImagePath                     \SystemRoot\System32\drivers\CSDeviceControl.sys
REG_SZ              DisplayName                   @oem40.inf,%DeviceControl.SVCDESC%;CrowdStrike Device Control Service
REG_SZ              Group                         Base
REG_MULTI_SZ        Owners                        oem40.inf\0!csdevicecontrol.inf_amd64_b6725a84d4688d5a\0!csdevicecontrol.inf_amd64_016e965488e83578\0
REG_DWORD           BootFlags                     14
6: kd> !reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csagent
!reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csagent
 
Hive         ffff84059ca7b000
KeyNode      ffff8405a6f67f9c
 
[SubKeyAddr]         [SubKeyName]
ffff8405a6f683ac     Instances
ffff8405a6f6854c     Sim
 
 Use '!reg keyinfo ffff84059ca7b000 <SubKeyAddr>' to dump the subkey details
 
[ValueType]         [ValueName]                   [ValueData]
REG_DWORD           Type                          2
REG_DWORD           Start                         1
REG_DWORD           ErrorControl                  1
REG_EXPAND_SZ       ImagePath                     \??\C:\Windows\system32\drivers\CrowdStrike\csagent.sys
REG_SZ              DisplayName                   CrowdStrike Falcon
REG_SZ              Group                         FSFilter Activity Monitor
REG_MULTI_SZ        DependOnService               FltMgr\0
REG_SZ              CNFG                          Config.sys
REG_DWORD           SupportedFeatures             f
 
6: kd> lmDvmCSFirmwareAnalysis
lmDvmCSFirmwareAnalysis
Browse full module list
start             end                 module name
fffff806`58920000 fffff806`5893c000   CSFirmwareAnalysis   (deferred)             
    Image path: \SystemRoot\system32\DRIVERS\CSFirmwareAnalysis.sys
    Image name: CSFirmwareAnalysis.sys
    Browse all global symbols  functions  data  Symbol Reload
    Timestamp:        Mon Mar 18 11:32:14 2024 (65F888AE)
    CheckSum:         0002020E
    ImageSize:        0001C000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4
    Information from resource tables:
6: kd> !reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csfirmwareanalysis
!reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csfirmwareanalysis
 
Hive         ffff84059ca7b000
KeyNode      ffff8405a6f69d9c
 
[SubKeyAddr]         [VolatileSubKeyName]
ffff84059ce197cc     Enum
 
 Use '!reg keyinfo ffff84059ca7b000 <SubKeyAddr>' to dump the subkey details
 
[ValueType]         [ValueName]                   [ValueData]
REG_DWORD           Type                          1
REG_DWORD           Start                         0
REG_DWORD           ErrorControl                  1
REG_DWORD           Tag                           6
REG_EXPAND_SZ       ImagePath                     system32\DRIVERS\CSFirmwareAnalysis.sys
REG_SZ              DisplayName                   @oem43.inf,%FirmwareAnalysis.SVCDESC%;CrowdStrike Firmware Analysis Service
REG_SZ              Group                         Boot Bus Extender
REG_MULTI_SZ        Owners                        oem43.inf\0!csfirmwareanalysis.inf_amd64_12861fc608fb1440\0
6: kd> !reg querykey \REGISTRY\MACHINE\system\Controlset001\control\earlylaunch
!reg querykey \REGISTRY\MACHINE\system\Controlset001\control\earlylaunch

Comme le montre l'analyse ci-dessus, CrowdStrike charge quatre modules de pilote. L'un de ces modules reçoit un contrôle dynamique et des mises à jour de contenu fréquemment basées sur la chronologie de l'examen préliminaire post-incident de CrowdStrike.

Nous pouvons exploiter la pile unique et les attributs de ce crash pour identifier les rapports de crash Windows générés par cette erreur de programmation spécifique de CrowdStrike. Il convient de noter que le nombre d'appareils ayant généré des rapports de crash est un sous-ensemble du nombre d'appareils impactés précédemment partagé par Microsoft dans notre article de blog, car les rapports de crash sont échantillonnés et collectés uniquement auprès des clients qui choisissent de télécharger leurs crashs à Microsoft. Les clients qui choisissent d'activer le partage des rapports de panne aident les fournisseurs de pilotes et Microsoft à identifier les problèmes de qualité et les pannes et à y remédier.

Nous mettons ces informations à la disposition des propriétaires de pilotes afin qu'ils puissent évaluer leur propre fiabilité via le tableau de bord analytique du Hardware Dev Center. Comme nous pouvons le voir ci-dessus, tout problème de fiabilité tel que ce problème d'accès invalide à la mémoire peut entraîner des problèmes de disponibilité généralisés s'il n'est pas associé à des pratiques de déploiement sûres. Voyons pourquoi les solutions de sécurité s'appuient sur les pilotes du noyau sous Windows.

Pourquoi les solutions de sécurité s'appuient-elles sur les pilotes du noyau ?

De nombreux fournisseurs de solutions de sécurité, tels que CrowdStrike et Microsoft, s'appuient sur une architecture de pilotes de noyau, et ce pour plusieurs raisons.

• Visibilité et application des événements liés à la sécurité
  
  Les pilotes de noyau permettent une visibilité à l'échelle du système et la capacité de charger en début de démarrage pour détecter les menaces telles que les kits de démarrage et les kits racine qui peuvent se charger avant les applications en mode utilisateur. En outre, Microsoft fournit un ensemble riche de fonctionnalités telles que les rappels d'événements système pour la création de processus et de threads et les pilotes de filtre qui peuvent surveiller des événements tels que la création, la suppression ou la modification de fichiers. L'activité du noyau peut également déclencher des rappels pour que les pilotes décident quand bloquer des activités telles que la création de fichiers ou de processus. De nombreux fournisseurs utilisent également des pilotes pour collecter diverses informations réseau dans le noyau à l'aide de la classe de pilotes NDIS.
  
  
• Performances
  
  Les pilotes du noyau sont souvent utilisés par les fournisseurs de solutions de sécurité pour leurs avantages potentiels en termes de performances. Par exemple, l'analyse ou la collecte de données pour une activité réseau à haut débit peut bénéficier d'un pilote de noyau. Il existe de nombreux scénarios dans lesquels la collecte et l'analyse de données peuvent être optimisées pour un fonctionnement en dehors du mode noyau et Microsoft continue de s'associer à l'écosystème pour améliorer les performances et fournir les meilleures pratiques pour atteindre la parité en dehors du mode noyau.
  
  
• Résistance à la falsification
  
  Un deuxième avantage du chargement en mode noyau est la résistance à la falsification. Les produits de sécurité veulent s'assurer que leurs logiciels ne peuvent pas être désactivés par des logiciels malveillants, des attaques ciblées ou des personnes internes malveillantes, même lorsque ces attaquants ont des privilèges de niveau administrateur. Ils veulent également s'assurer que leurs pilotes se chargent le plus tôt possible afin de pouvoir observer les événements du système le plus tôt possible. C'est pour cette raison que Windows fournit un mécanisme permettant de lancer les pilotes marqués comme Early Launch Antimalware (ELAM) au début du processus de démarrage. CrowdStrike marque le pilote CSboot ci-dessus comme ELAM, ce qui lui permet de se charger au début de la séquence de démarrage.
  
  Dans le cas général, il existe un compromis que les fournisseurs de sécurité doivent rationaliser lorsqu'il s'agit de pilotes de noyau. Les pilotes de noyau offrent les propriétés susmentionnées au détriment de la résilience. Étant donné que les pilotes de noyau s'exécutent au niveau le plus fiable de Windows, où les capacités de confinement et de récupération sont par nature limitées, les fournisseurs de sécurité doivent soigneusement équilibrer des besoins tels que la visibilité et la résistance à la falsification avec le risque d'opérer en mode noyau.
  
  Tout code fonctionnant au niveau du noyau nécessite une validation approfondie parce qu'il ne peut pas tomber en panne et redémarrer comme une application utilisateur normale. Ce principe est universel dans tous les systèmes d'exploitation. En interne, chez Microsoft, nous avons investi dans le transfert de services Windows complexes du mode noyau vers le mode utilisateur, comme l'analyse des fichiers de police.
  
  Il est aujourd'hui possible pour les outils de sécurité d'équilibrer la sécurité et la fiabilité. Par exemple, les fournisseurs d'outils de sécurité peuvent utiliser des capteurs minimaux fonctionnant en mode noyau pour la collecte de données et la mise en œuvre, ce qui limite l'exposition aux problèmes de disponibilité. Le reste des fonctionnalités clés du produit, notamment la gestion des mises à jour, l'analyse du contenu et d'autres opérations, peuvent être effectuées de manière isolée en mode utilisateur, où la récupération est possible. Cela démontre la meilleure pratique qui consiste à minimiser l'utilisation du noyau tout en maintenant une posture de sécurité robuste et une forte visibilité.
  
  
  
  
  Windows propose plusieurs approches de protection en mode utilisateur pour lutter contre la falsification, comme les Enclaves de sécurité basées sur la virtualisation (VBS) et les Processus protégés que les fournisseurs peuvent utiliser pour protéger leurs processus de sécurité clés. Windows fournit également des événements ETW et des interfaces en mode utilisateur telles que l'interface d'analyse antimalware pour la visibilité des événements. Ces mécanismes robustes peuvent être utilisés pour réduire la quantité de code du noyau nécessaire pour créer une solution de sécurité, ce qui permet d'équilibrer la sécurité et la robustesse.

Comment Windows contribue-t-il à garantir la qualité des produits tiers liés à la sécurité ?

Microsoft collabore avec des fournisseurs de sécurité tiers dans le cadre d'un forum industriel appelé Microsoft Virus Initiative (MVI). Ce groupe, composé de Microsoft et de l'industrie de la sécurité, a été créé pour établir un dialogue et une collaboration au sein de l'écosystème de sécurité Windows afin d'améliorer la robustesse de l'utilisation de la plateforme par les produits de sécurité. Avec MVI, Microsoft et les fournisseurs collaborent sur la plateforme Windows pour définir des points d'extension fiables et des améliorations de la plateforme, ainsi que pour partager des informations sur la meilleure façon de protéger nos clients.

Microsoft travaille avec les membres du MVI pour assurer la compatibilité avec les mises à jour de Windows, améliorer les performances et résoudre les problèmes de fiabilité. Les partenaires MVI qui participent activement au programme contribuent à rendre l'écosystème plus résilient et bénéficient d'avantages tels que des briefings techniques, des boucles de retour d'information avec les équipes Produits de Microsoft et l'accès à des fonctionnalités de la plateforme antimalware telles que ELAM et Protected Processes. Microsoft fournit également une protection en cours d'exécution, telle que Patch Guard, afin d'éviter tout comportement perturbateur de la part des types de pilotes du noyau, tels que les logiciels anti-malveillants.

En outre, tous les pilotes signés par le Microsoft Windows Hardware Quality Labs (WHQL) doivent subir une série de tests et attester d'un certain nombre de contrôles de qualité, notamment l'utilisation de fuzzers, l'exécution d'une analyse statique du code et la vérification du pilote en cours d'exécution, entre autres techniques. Ces tests ont été mis au point pour garantir le respect des meilleures pratiques en matière de sécurité et de fiabilité. Microsoft inclut tous ces outils dans le kit de pilote Windows utilisé par tous les développeurs de pilotes. Une liste des ressources et des outils est disponible ici.

Tous les pilotes signés WHQL sont soumis aux contrôles d'ingestion et aux analyses de logiciels malveillants de Microsoft et doivent passer avec succès avant d'être approuvés pour la signature. En outre, si un fournisseur tiers choisit de distribuer son pilote via Windows Update (WU), le pilote passe également par les processus de pilotage et de déploiement progressif de Microsoft afin d'observer la qualité et de s'assurer que le pilote répond aux critères de qualité nécessaires pour une diffusion à grande échelle.

Les clients peuvent-ils déployer Windows dans un mode de sécurité plus élevé afin d'accroître la fiabilité ?

Windows est un système d'exploitation ouvert et polyvalent, et il peut facilement être verrouillé pour une sécurité accrue à l'aide d'outils intégrés. En outre, Windows augmente constamment les paramètres de sécurité par défaut, y compris des dizaines de nouvelles fonctions de sécurité activées par défaut dans Windows 11.

Windows a intégré des fonctions de sécurité pour se défendre. Il s'agit notamment de fonctions anti-programmes malveillants clés activées par défaut, telles que :

1. Secure Boot, qui aide à prévenir les logiciels malveillants de démarrage précoce et les rootkits en appliquant la signature de manière cohérente à tous les démarrages de Windows.
   
2. Measured Boot, qui fournit des mesures cryptographiques matérielles basées sur le TPM sur les propriétés de démarrage disponibles par le biais de services d'attestation intégrés tels que Device Health Attestation.
   
3. Intégrité de la mémoire(également connue sous le nom d'intégrité du code protégé par l'hyperviseur ou HVCI), qui empêche la génération de code dynamique au cours de l'exécution dans le noyau et contribue à garantir l'intégrité du flux de contrôle.
   
4. La liste de blocage des pilotes vulnérables, qui est activée par défaut, intégrée au système d'exploitation et gérée par Microsoft. Elle complète la liste de blocage des pilotes malveillants.
   
5. L'autorité de sécurité locale protégée est activée par défaut dans Windows 11 pour protéger une série d'informations d'identification. La protection des informations d'identification basée sur le matériel est activée par défaut pour les versions d'entreprise de Windows.
   
6. Microsoft Defender Antivirus est activé par défaut dans Windows et offre des fonctionnalités anti-malware dans l'ensemble du système d'exploitation.

Ces fonctions de sécurité fournissent des couches de protection contre les logiciels malveillants et les tentatives d'exploitation dans les versions modernes de Windows. De nombreux clients Windows ont tiré parti de notre base de sécurité et des technologies de sécurité Windows pour renforcer leurs systèmes, et ces capacités ont collectivement réduit la surface d'attaque de manière significative.

L'utilisation des fonctions de sécurité intégrées de Windows pour prévenir les attaques adverses telles que celles présentées dans le framework ATT&CK® de MITRE renforce la sécurité tout en réduisant les coûts et la complexité. Il s'appuie sur les meilleures pratiques pour atteindre une sécurité et une fiabilité maximales. Ces meilleures pratiques sont les suivantes :

1. Grâce à App Control for Business (anciennement Windows Defender Application Control), vous pouvez élaborer une politique de sécurité qui n'autorise que les applications de confiance et/ou critiques pour l'entreprise. Cette politique peut être conçue pour empêcher de manière déterministe et durable la quasi-totalité des logiciels malveillants et des attaques du type « vivre aux crochets de l'entreprise ». Elle peut également spécifier quels pilotes de noyau sont autorisés par votre organisation afin de garantir durablement que seuls ces pilotes se chargeront sur les terminaux gérés.
   
2. Utilisez l'intégrité de la mémoire avec une politique de liste d'autorisations spécifique pour protéger davantage le noyau Windows à l'aide de la sécurité basée sur la virtualisation (VBS). Associée à App Control for Business, l'intégrité de la mémoire peut réduire la surface d'attaque des logiciels malveillants ou des kits de démarrage du noyau. Elle peut également être utilisée pour limiter les pilotes susceptibles d'avoir un impact sur la fiabilité des systèmes.
   
3. Exécution en tant qu'utilisateur standard et élévation uniquement si nécessaire. Les entreprises qui suivent les meilleures pratiques en matière d'exécution en tant qu'utilisateur standard et de réduction des privilèges atténuent bon nombre des techniques ATT&CK® de MITRE.
   
4. Utiliser Device Health Attestation (DHA) pour surveiller les appareils afin d'appliquer la bonne politique de sécurité, y compris les mesures matérielles de la posture de sécurité de l'appareil. Il s'agit d'une approche moderne et exceptionnellement durable pour garantir la sécurité dans les scénarios de haute disponibilité et utiliser l'architecture Zero Trust de Microsoft.

Que se passera-t-il ensuite ?

Windows est un système d'exploitation autoprotégé qui a produit des dizaines de nouvelles fonctionnalités de sécurité et de changements architecturaux dans les versions récentes. Nous prévoyons de collaborer avec l'écosystème de lutte contre les logiciels malveillants afin de tirer parti de ces fonctions intégrées pour moderniser leur approche, en contribuant à soutenir et même à renforcer la sécurité et la fiabilité.

Il s'agit notamment d'aider l'écosystème en

1. fournissant des conseils, des meilleures pratiques et des technologies pour un déploiement sûr afin de rendre plus sûre la mise à jour des produits de sécurité.
2. réduisant le besoin de pilotes de noyau pour accéder à d'importantes données de sécurité
3. améliorant les capacités d'isolation et de lutte contre la falsification grâce à des technologies telles que les enclaves VBS récemment annoncées
4. permettant des approches de confiance zéro comme l'attestation d'intégrité élevée qui fournit une méthode pour déterminer l'état de sécurité de la machine sur la base de l'état des fonctions de sécurité natives de Windows.

Windows continue d'innover et d'offrir aux outils de sécurité de nouveaux moyens de détecter les menaces émergentes et d'y répondre en toute sécurité. Windows a annoncé un engagement autour du langage de programmation Rust dans le cadre de la Secure Future Initiative (SFI) de Microsoft et a récemment étendu le noyau Windows pour prendre en charge Rust.

Les informations contenues dans ce billet de blog sont fournies dans le cadre de notre engagement à communiquer les enseignements et les prochaines étapes après l'incident CrowdStrike. Nous continuerons à partager des conseils sur les meilleures pratiques de sécurité pour Windows et à travailler avec notre large écosystème de clients et de partenaires pour développer de nouvelles capacités de sécurité sur la base de vos commentaires.

CrowdStrike face aux incidents de panne graves

CrowdStrike a été à l'origine d'une panne informatique mondiale majeure en 2024 affectant Windows. Des problèmes similaires affectant certaines distributions Linux dans le passé ont ensuite été révélés sur des forums Internet. Il s'agissait parfois de problèmes relativement isolés, affectant une application spécifique ou un système d'exploitation qui n'est pas aussi largement déployé que d'autres.

• Avril 2024 : Un utilisateur de Hacker News a affirmé que dans la soirée du vendredi 19 avril 2024, Crowdstrike a publié une mise à jour logicielle défectueuse qui a fait planter les ordinateurs fonctionnant sous Debian Linux et les a empêchés de redémarrer normalement. L'utilisateur affirme également que CrowdStrike a reconnu le bogue un jour plus tard et en a déterminé la cause quelques semaines plus tard.
  
• Mai 2024 : Le 13 mai 2024, il a été signalé sur les forums de Rocky Linux que les serveurs équipés du logiciel CrowdStrike pouvaient se figer après une mise à niveau vers Rocky Linux 9.4. CrowdStrike a déclaré qu'ils étaient au courant du problème car il s'agissait du même problème dû à un capteur Linux en mode utilisateur combiné à des versions spécifiques du noyau 6.x.
  
• Juin 2024, incident chez Red Hat : Le 4 juin 2024, Red Hat a publié un article de solution relatif aux paniques du noyau et au processus du capteur Falcon qui a eu un impact sur Red Hat Enterprise Linux 9.4 utilisant le noyau 5.14.0 et un capteur Falcon de Crowdstrike.

Et récemment, il y a eu l'incident avec Microsoft Windows. Le 19 juillet 2024, CrowdStrike a publié une mise à jour logicielle du scanner de vulnérabilités Falcon Sensor. Des failles dans cette mise à jour ont provoqué des écrans bleus de la mort sur les machines Microsoft Windows, perturbant des millions d'ordinateurs Windows dans le monde entier. Les machines affectées ont été forcées de démarrer en boucle, ce qui les a rendues inutilisables.

Ce phénomène est dû à la mise à jour d'un fichier de configuration, le Channel File 291, qui, selon CrowdStrike, a déclenché une erreur de logique et provoqué le plantage du système d'exploitation. Bien que CrowdStrike ait publié un correctif pour corriger l'erreur, les ordinateurs bloqués dans une boucle de démarrage n'ont pas pu se connecter à Internet pour télécharger le correctif avant que Falcon ne se charge et ne fasse à nouveau planter l'appareil.

La solution recommandée par CrowdStrike consistait à démarrer en mode sans échec ou en mode de récupération Windows et à supprimer manuellement le fichier Channel 291, ce qui nécessite un accès administrateur local et, si l'appareil est chiffré par BitLocker, une clé de récupération. Microsoft a signalé que certains clients ont pu remédier au problème en redémarrant les appareils concernés jusqu'à 15 fois.

Le 22 juillet 2024, les actions de CrowdStrike ont clôturé la journée au prix de 263,91 $, avec une perte de 41,05 $ ou 13,46 %. Le 24 juillet 2024, CrowdStrike aurait contacté les clients concernés avec des courriels d'excuses contenant des cartes-cadeaux Uber Eats d'une valeur de 10 $. CrowdStrike a remporté les 2024 Pwnie Awards pour l'échec le plus épique.

Source : Microsoft

Et vous ?

Pensez-vous que cette analyse technique de Microsoft est crédible ou pertinente ?
Selon vous, quelles seront les impacts de ces différents incidents sur CrowdStrike ?

Voir aussi :

Une panne chez Microsoft provoquée par une mise à jour logicielle de CrowdStrike a des répercussions mondiales, touchant divers secteurs tels que les compagnies aériennes, les banques, les organismes de santé

Réforme de l'accès au noyau Windows : Microsoft cherche à renforcer la sécurité après l'incident avec CrowdStrike. Windows deviendra-t-il un système plus fermé, à l'instar de macOS d'Apple ?

Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars, mais il est plus difficile de savoir qui paiera la facture

[Fagus]

Mais le changement le plus important consisterait à verrouiller l'accès au noyau de Windows afin d'empêcher les pilotes tiers de faire planter un PC entier. Ironiquement, Microsoft a essayé de faire exactement cela avec Windows Vista, mais s'est heurté à la résistance des fournisseurs de cybersécurité et des régulateurs de l'UE.

ça ressemble à de la com' de mauvaise foi de microsoft.

J'ai vite fait balayé du regard cet accord. Je ne sais pas ce qu'en diraient les juristes, mais le législateur peut imposer des objectifs mais (en principe) pas des solutions techniques.
En gros l'accord dit que microsoft doit documenter ses API et les ouvrir aux concurrents comme à ses propres produits. Il n'est pas dit que microsoft doit donner les privilèges kernel à quiconque le demande, ni que le noyaux doit planter s'il n'arrive pas à charger un pilote.

[Eric80]

Si Windows détermine qu'un pilote fait planter le système au démarrage et le force à passer en mode de récupération, Microsoft pourrait intégrer une logique plus intelligente permettant à un système de démarrer sans le pilote défectueux après plusieurs échecs de démarrage.

je ne comprends pas pourquoi c est pas déjà implémenté: cela me semble assez basique pour atteindre un peu plus de robustesse!

[bmayesky]

Bla, bla, bla, nous n'avons rien testé parce que c'est trop cher et c'est long et ça demande de faire confiance à des gens, tout ce dont nous ne voulons pas dans notre société (ça coûte de l'argent et ça oblige à mettre des vraies personnes qui réfléchissent et risque de nous contredire), bla, bla, bla, c'est pas nous, c'est le logiciel de test, croyez-nous et achetez nos produits pareil qu'avant, bla, bla, bla, même Microsoft disent que c'est pas eux, c'est l'UE, alors croyez-les et achetez, bla, bla, bla,

Comme si une décision d'interopérabilité des années avant pouvait prédire un crash qui n'avait pas été ni écrit ni voulu par qui que ce soit à l'époque ou maintenant. Et qu'un logiciel de test empêche de faire le test de base que fait tout informaticien, même idiot: un test réel. Et il est clair qu'un PC sous windows n'est pas vraiment difficile et cher à trouver pour le faire (sans compter qu'on peut le réutiliser). Franchement on nous prend pour des c**s.

En fait c'est la défense classique en cas de crise lorsque vous vous êtes fait prendre la main dans le sac:
- Nier, nier même l'évidence, ça prendra pour un 50-50 ceux qui ne sont pas attentifs à votre cas au lieu d'un 100 à 0 en votre défaveur.
- Reporter la faute ailleurs, même si c'est capillotracté, c'est ce que fait Crowdstrike avec son logiciel de test et Microsoft avec l'UE; c'est de leur faute entière mais, là encore il y a une frange qui fera du 50-50 au lieu du 100-0 qui les desserts.
- Accepter, bien après la vague médiatique, que c'était peut-être éventuellement un peu de votre faute mais seulement pour montrer tout ce que vous avez fait (et prouver que vous avez fait) pour que cela ne puisse pas se reproduire. Mentir est une option possible si vous vous assurer que personne ne puisse vous contredire. Ça c'est que pour les fainéants qui voudrait reprendre affaire avec vous et vos commerciaux puissent balayer les suspicieux qui rappelleraient l'incident et continuer le business as usual.

En fait, tout ces articles avec de vrais ou de faux coupables masquent très bien quelque chose de plus important à mon avis: l'échec structurel des systèmes propriétaires à livrer du logiciel fiable.

Effectivement, l'utilisation de logiciels propriétaires demande à faire confiance au propriétaire et aucune garantie n'est possible que cela soit vrai et dure dans le temps. Et plus vous multipliez le nombre de logiciels propriétaires nécessaires à votre solution informatique, plus elle est fragile parce que vous multipliez les points de fragilités et ils se combinent et diminuent d'autant la fiabilité de votre solution.

Alors pourquoi prendre cet angle du logiciel propriétaire ? Parce que le logiciel libre fonctionne sur des principes différents qui augmentent la qualité de manière drastique. Le "c'est prêt quand c'est prêt" n'est pas très amis avec les projets de lancement et autres actions planifiées mais très fiable et d'une qualité logicielle très supérieure. Le fait que l'ensemble des couches logicielles soient connues évite radicalement les erreurs de conceptions qui font planter les autres couches logicielles proches. Et évidemment, les process de boot et autres n'ayant aucun besoin d'être cachés sont beaucoup plus souples et laissent beaucoup plus de moyens d'agir.

Cela m'étonne toujours que ce plantage mondial ne soit pas abordé par l'angle du process de construction du logiciel alors que c'est manifestement là qu'il y a eu un problème et qu'une analyse sur la façon de construire le logiciel avec un esprit ouvert permet de trouver une solution à ce type de problèmes.

[bmayesky]

Il n'y a pas de réduction des coûts: les banques prélèvent de l'argent sur chaque paiement fait en carte. Ce qui se retrouve directement dans la facture de tout ceux qui achètent parce que les commerçants doivent répercuter les frais bancaires sans compter les frais d'abonnement et d'entretien des terminaux. Le paiement par carte est tout sauf gratuit.
C'est à comparer avec le service de la monnaie de l'état qui ne produit aucun frais d'aucune sorte lors de transaction avec des commerçants pas plus qu'entre personnes. Comment allez vous faire pour donner de l'argent à vos enfants ? Ah oui, vous allez leur ouvrir un compte ... payant pour vous.

Il n'y a rien de gratuit dans le paiement par carte, même votre carte est soumise à abonnement et vous payez cet abonnement.

Imaginer un monde sans liquide c' est imaginer un monde où les banques auraient le monopole de l'argent et alors que nous payons déjà, ils auraient un intérêt de classe à faire encore augmenter les prix.

Mais contentons nous de constater les frais actuels pour demander une correction de l'article parce que le paiement par carte coûte à tout le monde et n'est en aucun cas gratuit !

[Jade Emy]

Après la panne de Crowdstrike, la FSF affirme qu'il y a une meilleure façon d'avancer, tout en questionnant "comment il est sage pour tant de services critiques de se reposer sur une seule distribution".

Une panne chez Microsoft provoquée par une mise à jour logicielle de CrowdStrike a eu des répercussions mondiales. Suite à cet incident, la Free Software Foundation (FSF) affirme qu'il y a une meilleure façon d'avancer : les logiciels libres. Passer à des logiciels libres, qui fonctionnent sur l'ordinateur de l'utilisateur, permettrait d'éviter ce genre de cas à l'avenir. La FSF conclut que « Plus une institution est publique, plus il est vital qu'elle utilise des logiciels libres ».

Le 19 juillet 2024, une panne informatique mondiale a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan. Les écrans bleus de la mort ont perturbé le fonctionnement normal des machines Windows, affichant le message : “Recovery: It looks like Windows didn’t load correctly.”

L’entreprise de cybersécurité américaine CrowdStrike a reconnu être à l’origine de ces problèmes. Le directeur général de CrowdStrike, George Kurtz, a confirmé qu'un "défaut" dans une mise à jour de contenu pour les hôtes Windows était à l'origine de la panne, et Kurtz a exclu une cyberattaque. Il a ajouté que l'entreprise était en train de déployer un correctif et que les hôtes Mac et Linux n'étaient pas affectés.

Cette panne mondiale des services informatiques souligne l’importance de la vigilance en matière de cybersécurité et de la nécessité de mettre en place des protocoles de gestion des mises à jour. Les entreprises doivent investir dans des solutions de sécurité robustes et communiquer efficacement avec leurs clients pour minimiser les perturbations en cas de défaillance du système. Elle met également en exergue la vulnérabilité des solutions basées sur le cloud, qui peuvent entraîner un effet boule de neige.

La Free Software Foundation (FSF) a réagi à l'incident CrowdStrike. Elle indique dans son message « qu'on peut se demander s'il est judicieux pour tant de services critiques dans le monde de miser sur une seule distribution d'un seul système d'exploitation monopolistique ». La FSF affirme qu'avec des logiciels libres, ce genre d'incident aurait pu être corriger rapidement, voire éviter la panne mondiale.

Pour rappel, la FSF est une organisation à but non lucratif pour soutenir le mouvement du logiciel libre. L'organisation préfère notamment que les logiciels soient distribués sous des conditions de copyleft (« partager de la même manière »), comme avec sa propre licence publique générale GNU. Conformément à ses objectifs, la FSF vise à n'utiliser que des logiciels libres sur ses propres ordinateurs.

Voici le message de la Free Software Foundation (FSF) :

Ne célébrons pas CrowdStrike - proposons une meilleure solution

Si vous avez lu les nouvelles, êtes allé au travail ou avez pris l'avion ces derniers jours, vous avez sans doute rencontré des articles sur l'incident CrowdStrike, au cours duquel des mises à jour automatiques d'un pilote de noyau Windows, proposées par une société de sécurité tierce, ont fait planter d'innombrables machines dans le monde entier. Pour la première fois depuis des années, la presse grand public utilise des mots comme « noyau » et d'autres mots qu'elle évite habituellement et qui pourraient donner l'impression qu'il se passe quelque chose derrière les couleurs flashy de Windows 10. En tant qu'activistes du logiciel libre, nous devrions profiter de l'occasion pour examiner la situation et voir comment les choses auraient pu se passer différemment.

Soyons clairs : en principe, il n'y a rien de répréhensible d'un point de vue éthique dans les mises à jour automatiques, tant que l'utilisateur a choisi de les recevoir en connaissance de cause. Par exemple, il est parfaitement compréhensible qu'une bibliothèque publique ne veuille pas se plonger dans le journal des modifications du noyau ; elle veut simplement recevoir la mise à jour et poursuivre son travail. Dans le même temps, les bogues logiciels existent. Les développeurs de logiciels libres le savent mieux que quiconque. Le noyau Linux(-libre) ne bénéficie pas d'une immunité mystique. Ce que notre communauté possède, c'est une structure sociale qui, très probablement, aurait rectifié la situation rapidement.

Ce que le logiciel libre offre, c'est une diversité de choix. Bien que nous puissions comprendre comment la situation s'est développée, on peut se demander s'il est judicieux pour tant de services critiques dans le monde de miser sur une seule distribution d'un seul système d'exploitation fabriqué par un seul stupéfiant prédateur monopole à Redmond, dans l'État de Washington. Au lieu de cela, nous pouvons imaginer une structure plus horizontale, où cette compagnie aérienne et cette bibliothèque publique utilisent différentes versions de GNU/Linux, chacune avec ses propres équipes de sécurité et sur des versions différentes du noyau Linux(-libre). Par exemple, une bibliothèque au Vietnam ne dépendrait pas nécessairement d'un éditeur de logiciels américain pour son travail quotidien.

À l'heure où nous écrivons ces lignes, nous n'avons pas été en mesure de déterminer l'étendue de l'accès au code source du noyau Windows que Microsoft a accordé aux ingénieurs de CrowdStrike. (Par ailleurs, la cause première du problème semble être une erreur dans un fichier de configuration). Mais comme il s'agit du mouvement du logiciel libre, nous pourrions garantir que tous les ingénieurs en sécurité et toutes les parties prenantes auraient un accès égal au code source, ce qui prouverait le vieil adage selon lequel « avec suffisamment d'yeux, tous les bogues sont superficiels ». Il n'y a aucune raison valable de cacher un code au public, en particulier un code qui fait partie intégrante du fonctionnement quotidien d'un grand nombre d'institutions et d'entreprises publiques.

Dans une astucieuse opération de relations publiques, il semble que Microsoft ait commencé à imputer l'incident à l'accès d'entreprises tierces aux sources et à la documentation du noyau. Traduit du Redmond-ese, le point qu'ils essaient de faire revient à « si seulement nous avions été autorisés à être plus secrets, cela ne serait pas arrivé ! » Toute personne ayant un minimum de compréhension du développement de logiciels peut voir que cet argument ne tient pas la route, tout comme toute personne ayant un minimum de compréhension de la rhétorique peut apprécier l'ironie du fait que la même société qui développe Copilot se plaint de la nécessité de garder le code secret pour les autres. En ce moment même, Copilot ingère des logiciels libres sur la plateforme propriétaire de Microsoft, GitHub, avec peu de respect pour la licence de chaque programme.

Nous devons également comprendre qu'appeler à une diversité de fournisseurs de logiciels non libres qui ne sont que des frontaux pour les logiciels "cloud" ne résout pas le problème. Pour le corriger complètement, il faut passer à des logiciels libres qui fonctionnent sur l'ordinateur de l'utilisateur.

La Free Software Foundation est souvent accusée d'être utopiste, mais nous sommes bien conscients que faire passer les compagnies aériennes, les bibliothèques et toutes les autres institutions touchées par la panne de CrowdStrike aux logiciels libres est une entreprise colossale. Compte tenu de l'avantage éthique indéniable du logiciel libre, sans parler du contrôle embarrassant des dommages en cours de la part de Microsoft et de CrowdStrike, nous pensons que ce changement est nécessaire. Plus une institution est publique, plus il est vital qu'elle utilise des logiciels libres.

Pour ce que cela vaut, il est également essentiel de vérifier la syntaxe de vos fichiers de configuration. Les ingénieurs de CrowdStrike feraient bien de s'en souvenir la prochaine fois.

Source : "Let's not celebrate CrowdStrike -- let's point to a better way" (FSF)

Et vous ?

Pensez-vous que ce message de la FSF est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

Une panne chez Microsoft provoquée par une mise à jour logicielle de CrowdStrike a des répercussions mondiales, touchant divers secteurs tels que les compagnies aériennes, les banques, les organismes de santé

Quarante ans du système d'exploitation GNU et du mouvement du logiciel libre, par la Free Software Foundation (FSF)

Microsoft analyse techniquement mais diplomatiquement l'incident CrowdStrike, cependant il s'agit d'une gifle pour CrowdStrike, qui a déjà causé des pannes graves à d'autres systèmes d'exploitation

[Jade Emy]

Delta Air Lines a engagé un cabinet d'avocats pour demander une indemnisation à Microsoft et CrowdStrike à la suite d'une panne informatique mondiale et de l'annulation de plus de 6 000 vols jusqu'à présent.

Delta Air Lines a engagé un cabinet d'avocats pour demander une indemnisation à Microsoft et CrowdStrike à la suite d'une panne informatique mondiale et de l'annulation de plus de 6 000 vols jusqu'à présent. Le ministère américain des transports a annoncé qu'il ouvrirait une enquête sur Delta à la suite des annulations de vols provoquées par la panne.


Le 19 juillet 2024, une panne informatique mondiale a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan.

Plus de 1 000 vols ont été annulés. Des aéroports tels que Hong Kong International Airport, l’aéroport de Berlin, l’aéroport de Zurich et l’aéroport de Budapest ont été touchés. La compagnie aérienne Ryanair a signalé des problèmes de réservation et d’enregistrement. De plus, les systèmes de réservation de Cathay Pacific, Hong Kong Express et Hong Kong Airlines sont restés indisponibles pendant plusieurs heures, entraînant des retards et des désagréments pour les voyageurs.

Delta Air Lines a engagé un cabinet d'avocats et va demander une compensation à Microsoft et CrowdStrike pour la panne informatique mondiale qui a perturbé les vols dans le monde entier. La compagnie aérienne basée à Atlanta a été la plus lente des grandes compagnies américaines à se remettre de la panne technologique qui a entraîné l'annulation de plus de 2 200 vols le 19 juillet.

Delta a annulé plus de 6 000 vols jusqu'à présent, laissant des centaines de milliers de voyageurs bloqués. Les analystes estiment que l'impact sur ses résultats pourrait se chiffrer en centaines de millions de dollars. .

« Nous sommes au courant de l'information, mais nous n'avons pas connaissance d'un procès et n'avons pas d'autre commentaire à faire », a déclaré un porte-parole de CrowdStrike. Le ministère américain des transports a annoncé qu'il ouvrirait une enquête sur Delta à la suite des annulations de vols provoquées par la panne.

Et vous ?

Pensez-vous qu'un tel procès est crédible ou pertinent ?
Quel est votre avis sur cette affaire ?

Voir aussi :

Panne provoquée par Crowdstrike : les compagnies aériennes subissent un troisième jour d'annulation de plus de 1 000 vols, uniquement aux USA, tandis qu'elles poursuivent le rétablissement de leurs systèmes

Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars, mais il est plus difficile de savoir qui paiera la facture

L'action CrowdStrike s'effondre de 15 %, sa plus forte baisse quotidienne depuis novembre 2022. Les investisseurs semblent avoir été effrayés par les récents incidents de sécurité très médiatisés

[kain_tn]

Tout en étant aussi diplomatique que possible, Microsoft explique comment les clients et les fournisseurs de solutions de sécurité peuvent mieux exploiter les capacités de sécurité intégrées de Windows pour améliorer la sécurité et la fiabilité.

Ils ont tout intérêt à faire une réponse diplomatique: une partie de Azure était par terre pendant les soucis CrowdStrike, d'ailleurs, rebelote, apparemment cet après-midi.

Plus sérieusement, on voit clairement la limite du tout connecté ET tout centralisé.

[ext_3125]

Quand je vois comment ça se passe, j'ai l'impression que les clients sont les beta-testeurs maintenant.

Cela fait des années que Microsoft se sert déjà de nous comme des bêta-testeurs (cf. Windows Millenium).

Nous, pour réduire au maximum les coûts, on va de plus en plus vers les zéro QA.

J'ai déjà vu cela à beaucoup à d'endroits, mais on n'a pas le choix dans les domaines critiques comme le médical ou l'aéronautique.
D'autant plus que dans le médical, si on veut vendre à l'international, il faut que le dossier du produit soit audité par la FDA américaine (oui, il y a beaucoup de pays qui se base sur l'avis de la FDA pour acheter certains appareils médicaux).

Il faut tout faire avec des tests, sauf qu'un développeur ne teste pas la même chose qu'un QA. Et je me rends bien compte avec les temps que c'est 2 domaines biens différents.

Entièrement d'accord. Je suis bien placé pour le savoir. Malheureusement, cela dépend de la taille du projet.
Sur des gros projets, on peut avoir des équipes dédiées. Mais sur les petits projets qui permette d'occuper 2 à 3 personnes en charges de travail (chef de projet inclus), il faut être multi-casquettes.
Et plus, c'est encore pire, si on est multi-projets.
(Attention : développement personnalité multiple garanti ).

[Anthony]

CrowdStrike est poursuivie par des actionnaires suite à la panne mondiale, pour sa technologie matériellement fausse et trompeuse, après la chute de 32 % de l'action, effaçant 25 milliards $ de valeur marchande

CrowdStrike a été poursuivie en justice par des actionnaires qui affirment que l'entreprise de cybersécurité les a trompés en leur cachant comment ses tests de logiciels inadéquats pouvaient être à l'origine de la panne mondiale du 19 juillet qui a endommagé plus de 8 millions d'ordinateurs.

Le 19 juillet 2024, une panne informatique mondiale a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan. Les écrans bleus de la mort ont perturbé le fonctionnement normal des machines Windows, affichant le message : "Recovery: It looks like Windows didn’t load correctly."

Dans une proposition de recours collectif déposée le mardi 30 juillet soir devant le tribunal fédéral d'Austin, au Texas, les actionnaires ont déclaré avoir appris que les assurances données par CrowdStrike au sujet de sa technologie étaient matériellement fausses et trompeuses lorsqu'une mise à jour logicielle défectueuse a perturbé des compagnies aériennes, des banques, des hôpitaux et des lignes d'urgence dans le monde entier.

Selon eux, le cours de l'action CrowdStrike a chuté de 32 % au cours des 12 jours suivants, réduisant à néant 25 milliards de dollars de valeur marchande, alors que les effets de la panne étaient connus, que le directeur général George Kurtz était appelé à témoigner devant le Congrès américain et que Delta Air Lines aurait engagé l'éminent avocat David Boies pour obtenir des dommages-intérêts.

La plainte cite des déclarations, notamment lors d'une conférence téléphonique du 5 mars, au cours de laquelle M. Kurtz a qualifié le logiciel de CrowdStrike de « validé, testé et certifié ».

Dans un communiqué publié le mercredi 31 juillet, la société CrowdStrike, basée à Austin, a déclaré : « Nous pensons que cette affaire n'est pas fondée et nous défendrons vigoureusement la société », M. Kurtz et le directeur financier Burt Podbere sont également accusés.

Le procès intenté par la Plymouth County Retirement Association de Plymouth, dans le Massachusetts, vise à obtenir des dommages-intérêts non spécifiés pour les détenteurs d'actions de classe A de CrowdStrike entre le 29 novembre 2023 et le 29 juillet 2024.

Les actionnaires poursuivent souvent les entreprises après que des nouvelles négatives inattendues ont fait chuter le cours des actions, et CrowdStrike pourrait faire l'objet d'autres poursuites.

Le directeur général de Delta, Ed Bastian, a déclaré le mercredi 31 juillet que la panne avait coûté 500 millions de dollars à sa compagnie aérienne, y compris le manque à gagner, les compensations et les hôtels pour les passagers bloqués.

Les actions de CrowdStrike ont clôturé ce mercredi en baisse de 1,69 $, à 231,96 $. Elles avaient clôturé à 343,05 dollars la veille de la panne.

L'affaire est la suivante : Plymouth County Retirement Association v CrowdStrike Inc et al, U.S. District Court, Western District of Texas, No. 24-00857.

Sources : Proposition de recours collectif déposée à Austin (Texas), Cour fédérale du Texas

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous l'action entreprise par les actionnaires de CrowdStrike crédible ou pertinente ?

Voir aussi :

Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars, mais il est plus difficile de savoir qui paiera la facture

Delta Air Lines a engagé un cabinet d'avocats pour demander une indemnisation à Microsoft et CrowdStrike, à la suite d'une panne informatique mondiale et de l'annulation de plus de 6 000 vols

CrowdStrike accuse un bogue dans le logiciel de test d'avoir mis hors service 8,5 millions de machines Windows, car il n'a pas validé correctement la mise à jour du contenu qui a été diffusée sur les machines

Une panne chez Microsoft provoquée par une mise à jour logicielle de CrowdStrike a des répercussions mondiales, touchant divers secteurs tels que les compagnies aériennes, les banques, les organismes de santé

[Souil002]

Je trouve ça un peu facile.
J'ai surtout l'impression que les actionnaires sont pas contents d'avoir misé sur le mauvais cheval.

Crowdstrike n'a pas l'air d'avoir eu de gros problèmes depuis presque 15 ans donc s'ils mentaient sur leur assurance qualité, je pense qu'il y aurait eu des signes plus tôt.

[Anthony]

Le PDG de Delta qualifie Microsoft de "plateforme probablement la plus fragile" tout en louant Apple, la panne CrowdStrike a coûté environ 500 millions $ à Delta, qui va donc poursuivre Microsoft et CrowdStrike

Dans une interview, Ed Bastian, PDG de Delta Air Lines, a critiqué Microsoft, la qualifiant de "plateforme probablement la plus fragile", tout en louant la fiabilité d'Apple. Ces propos interviennent alors que Delta a engagé des poursuites judiciaires contre Microsoft et CrowdStrike, à la suite d'une panne coûteuse de 500 millions de dollars. Malgré ces propos sévères, M. Bastian a affirmé que Delta poursuivait son partenariat avec Microsoft, tout en soulignant la nécessité pour Microsoft de faire preuve d'une plus grande vigilance.

Le 19 juillet 2024, une panne informatique mondiale a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan.

Plus de 1 000 vols ont été annulés, principalement dans le secteur du transport aérien. Des aéroports tels que Hong Kong International Airport, l’aéroport de Berlin, l’aéroport de Zurich et l’aéroport de Budapest ont été touchés. La compagnie aérienne Ryanair a signalé des problèmes de réservation et d’enregistrement. De plus, les systèmes de réservation de Cathay Pacific, Hong Kong Express et Hong Kong Airlines sont restés indisponibles pendant plusieurs heures, entraînant des retards et des désagréments pour les voyageurs. L’entreprise de cybersécurité américaine CrowdStrike a reconnu être à l’origine de ces problèmes.

Le bilan des entreprises concernant CrowdStrike se poursuit. Dans une nouvelle interview, Ed Bastian, PDG de Delta, estime que Microsoft possède « probablement la plateforme la plus fragile », tout en louant le bilan d'Apple en matière de pannes.

Cette récente interview intervient alors que Delta a engagé un avocat pour poursuivre Microsoft et CrowdStrike. La société affirme que la panne de CrowdStrike lui a coûté environ 500 millions de dollars. Elle demande donc des dommages et intérêts aux entreprises responsables.

Alors que Delta continue de s'appuyer sur l'infrastructure informatique de Microsoft, le PDG Ed Bastian a tenu des propos acerbes à l'égard de l'entreprise.

Interrogé sur les relations futures entre Delta et Microsoft, il a déclaré : « J'ai l'impression qu'il s'agit probablement de la plateforme la plus fragile dans ce domaine. Quand avez-vous entendu parler pour la dernière fois d'une grosse panne chez Apple ? »

L'interviewer s'est demandé si les meilleurs résultats d'Apple n'étaient pas simplement dus au fait que les entreprises ne sont pas aussi nombreuses à compter sur la société. M. Bastian a éludé la question et a poursuivi en soulignant que Delta et Microsoft sont toujours des partenaires, mais que Microsoft doit faire preuve d'une plus grande vigilance.

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous les propos du PDG de Delta Air Lines à l'égard de Microsoft crédibles ou pertinents ?

Voir aussi :

Delta Air Lines a engagé un cabinet d'avocats pour demander une indemnisation à Microsoft et CrowdStrike, à la suite d'une panne informatique mondiale et de l'annulation de plus de 6 000 vols

Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars, mais il est plus difficile de savoir qui paiera la facture

Une panne chez Microsoft provoquée par une mise à jour logicielle de CrowdStrike a des répercussions mondiales, touchant divers secteurs tels que les compagnies aériennes, les banques, les organismes de santé

[Stéphane le calme]

CrowdStrike tente de fermer le site parodique ClownStrike qui a vu le jour après la panne mondiale,
l'entreprise évoque une violation de ses droits d'auteurs en vertu du DCMA

Le 19 juillet 2024, une panne majeure a touché 8,5 millions d’appareils Windows dans le monde entier. La cause ? Une mise à jour défectueuse du logiciel de sécurité 'Falcon Sensor’ déployée sur Windows. Cette panne a eu des répercussions considérables sur divers secteurs, notamment l’aviation, les hôpitaux et les agences gouvernementales. Ce qui a été décrit comme la plus grande panne informatique de l'histoire coûtera aux seules entreprises du Fortune 500 plus de 5 milliards de dollars en pertes directes, selon une analyse de l'incident publiée par un assureur.

Les secteurs de la santé et de la banque ont été les plus durement touchés par la mésaventure de CrowdStrike, avec des pertes estimées à 1,94 milliard de dollars et 1,15 milliard de dollars respectivement, a déclaré Parametrix, la société de surveillance et d'assurance du cloud computing à l'origine de l'analyse. Les compagnies aériennes du classement Fortune 500, telles qu'American et United, ont été les plus touchées, avec une perte collective de 860 millions de dollars, selon Parametrix.

Au total, la panne pourrait avoir coûté aux entreprises Fortune 500 jusqu'à 5,4 milliards de dollars en termes de revenus et de bénéfices bruts, selon Parametrix, sans compter les pertes secondaires qui peuvent être attribuées à la perte de productivité ou à l'atteinte à la réputation. Seule une petite partie, de l'ordre de 10 à 20 %, peut être couverte par des polices d'assurance en matière de cybersécurité, a ajouté Parametrix.

Fitch Ratings, l'une des plus grandes agences de notation américaines, a déclaré lundi que les types d'assurance susceptibles de faire l'objet du plus grand nombre de demandes d'indemnisation à la suite de la panne comprennent l'assurance contre les pertes d'exploitation, l'assurance voyage et l'assurance contre l'annulation d'événements.

« Cet incident met en évidence le risque croissant de points de défaillance uniques », a déclaré Fitch dans un billet de blog, avertissant que ces points de défaillance uniques « sont susceptibles d'augmenter à mesure que les entreprises cherchent à se consolider pour tirer parti de l'échelle et de l'expertise, ce qui se traduit par une diminution du nombre de fournisseurs détenant des parts de marché plus importantes ».

Vient alors ClownStrike

En réponse à cette panne, un site parodique appelé ‘ClownStrike’ a vu le jour pour se moquer de CrowdStrike. Le site affiche le logo du produit phare de CrowdStrike, ‘Falcon’, avec un chapeau de clown et le mot ‘CROWDSTRIKE’. Après un certain temps, le logo se transforme en une image de clown avec le mot ‘CLOWNSTRIKE’. Le site, bien que trivial, a attiré l’attention et a reçu une notification de violation du droit d’auteur en vertu du Digital Millennium Copyright Act (DMCA).

La parodie en ligne et la liberté d’expression

La création de sites parodiques pour critiquer des entreprises ou des produits est un moyen efficace de faire entendre sa voix. Cependant, cela peut également être nuisible. D’un côté, la satire et la critique sont essentielles pour maintenir un équilibre entre la puissance des entreprises et les droits des utilisateurs. D’un autre côté, les droits d’auteur doivent être protégés pour encourager l’innovation et la créativité.

Le DMCA et la responsabilité des entreprises technologiques

Il semble que CrowdStrike ne soit pas vraiment fan de ce site, ce qui est compréhensible... il s'agit d'un site parodique après tout...

Mais ne vous inquiétez pas ! Ils vont certainement résoudre tous leurs problèmes en envoyant un avis de retrait sans fondement à CloudFlare ! (sarcasme)

Malheureusement pour eux, je ne me soucie pas vraiment de leurs sentiments, ni de la façon dont ce site les contrarie, ni du fait qu'ils pleurent la nuit en sachant qu'il y a des gens dans le monde qui se moquent de CrowdStrike pour avoir causé la pire panne informatique au monde (jusqu'à présent !). Des millions de passagers de compagnies aériennes ont été bloqués et des milliards de dollars de dégâts ont été causés...

Nous savons enfin ce qui a provoqué la panne informatique mondiale et combien elle a coûté.

Ce que nous savons de la défaillance de la mise à jour de CrowdStrike à l'origine des pannes mondiales et du chaos dans les transports aériens

Les correctifs de CrowdStrike commencent par "redémarrer jusqu'à 15 fois" et deviennent de plus en plus complexes.

Les pannes majeures de CrowdStrike et de Microsoft provoquent des BSOD et de la confusion dans le monde entier

Microsoft annonce que 8,5 millions de systèmes ont été touchés par un BSOD de CrowdStrike et met à disposition un outil de récupération USB

Comment une mise à jour logicielle de la société informatique CrowdStrike a provoqué l'une des plus grandes pannes informatiques au monde.

Chaos et confusion : Une panne technique provoque des perturbations dans le monde entier

Une panne informatique généralisée due à une mise à jour de CrowdStrike

La panne de CrowdStrike expliquée : Quelles en sont les causes et quelles sont les prochaines étapes ?

Bien sûr, je ne voulais pas non plus énerver CloudFlare, et je n'essaie absolument pas de mettre CloudFlare dans le pétrin... j'ai donc dit à CloudFlare que je retirerais le site de CloudFlare, mais qu'il resterait sur Internet...

Il est malheureusement bien connu que le DMCA est utilisé par les entreprises qui pratiquent la cyberintimidation pour supprimer des contenus qu'elles désapprouvent, mais qui sont par ailleurs légaux. Le système de contre-avis est également d'une inefficacité affligeante. Le DMCA exige des fournisseurs de services qu'ils "agissent rapidement pour supprimer ou désactiver l'accès au matériel en infraction" ; pourtant, il donne à ces mêmes "fournisseurs de services" 14 jours pour rétablir l'accès en cas de contre-avis ! Le DMCA, à l'instar de la plupart des lois américaines, est fortement orienté vers les entreprises, et non vers les citoyens du pays, qui vivent et respirent.

C'est absolument insensé et je n'aimerais rien de plus que de voir un procès "gagné" contre CrowdStrike. Ce serait absolument génial pour le marketing ! Surtout si l'on tient compte du moment où de tels événements se produisent...

En outre, il est absolument hilarant d'utiliser le Digital Millenium Copyright Act pour tenter d'expulser un site parodique pour violation de marque.

Il existe plusieurs façons d'utiliser une marque appartenant à "autrui". C'est ce que l'on appelle le "Fair Use". L'usage loyal est un aspect important du droit des marques et du droit d'auteur. Il s'agit du droit d'utiliser des marques et des œuvres protégées par le droit d'auteur à des fins de parodie, de critique, de transformation, d'information, de journalisme, d'éducation, etc. Les entreprises qui pratiquent la cyberintimidation n'aiment pas que d'autres aient des droits. Encore une fois, je m'en moque, car la seule chose qui compte, c'est la loi et ce qu'en pense un tribunal.

Heureusement... La parodie est un "droit" bien reconnu pour l'"utilisation équitable"

CrowdStrike a utilisé le DMCA pour faire retirer le site parodique. Mais cela soulève des questions importantes. Devrions-nous protéger davantage les parodies et les critiques, même si elles enfreignent potentiellement les droits d’auteur ? Les entreprises technologiques ont-elles trop de pouvoir en matière de censure et de surveillance sur Internet ?

CrowdStrike est poursuivie par des actionnaires suite à la panne mondiale

Dans une proposition de recours collectif déposée mardi 30 juillet devant le tribunal fédéral d'Austin, au Texas, les actionnaires ont déclaré avoir appris que les assurances données par CrowdStrike au sujet de sa technologie étaient matériellement fausses et trompeuses lorsqu'une mise à jour logicielle défectueuse a perturbé des compagnies aériennes, des banques, des hôpitaux et des lignes d'urgence dans le monde entier.

Selon eux, le cours de l'action CrowdStrike a chuté de 32 % au cours des 12 jours suivants, réduisant à néant 25 milliards de dollars de valeur marchande, alors que les effets de la panne étaient connus, que le directeur général George Kurtz était appelé à témoigner devant le Congrès américain et que Delta Air Lines aurait engagé l'éminent avocat David Boies pour obtenir des dommages-intérêts.

La plainte cite des déclarations, notamment lors d'une conférence téléphonique du 5 mars, au cours de laquelle Kurtz a qualifié le logiciel de CrowdStrike de « validé, testé et certifié ».

Dans un communiqué publié le mercredi 31 juillet, la société CrowdStrike, basée à Austin, a déclaré : « Nous pensons que cette affaire n'est pas fondée et nous défendrons vigoureusement la société », Kurtz et le directeur financier Burt Podbere sont également accusés.

Le procès intenté par la Plymouth County Retirement Association de Plymouth, dans le Massachusetts, vise à obtenir des dommages-intérêts non spécifiés pour les détenteurs d'actions de classe A de CrowdStrike entre le 29 novembre 2023 et le 29 juillet 2024.

Les actionnaires poursuivent souvent les entreprises après que des nouvelles négatives inattendues ont fait chuter le cours des actions, et CrowdStrike pourrait faire l'objet d'autres poursuites. Le directeur général de Delta, Ed Bastian, a déclaré le mercredi 31 juillet que la panne avait coûté 500 millions de dollars à sa compagnie aérienne, y compris le manque à gagner, les compensations et les hôtels pour les passagers bloqués.

Source : ClownStrike

Et vous ?

La parodie en ligne : Quelle est votre opinion sur la création de sites parodiques pour critiquer des entreprises ou des produits ? Est-ce un moyen efficace de faire entendre sa voix ou cela peut-il être nuisible ?
Droits d’auteur et liberté d’expression : Comment équilibrez-vous les droits d’auteur et la liberté d’expression sur Internet ? Devrions-nous protéger davantage les parodies et les critiques, même si elles enfreignent potentiellement les droits d’auteur ?
Responsabilité des entreprises technologiques : Dans ce cas, CrowdStrike a utilisé le DMCA pour faire retirer le site parodique. Pensez-vous que les entreprises technologiques devraient avoir plus de responsabilités en matière de censure et de surveillance sur Internet ?
Impact sur la réputation : Comment pensez-vous que cet incident affectera la réputation de CrowdStrike ? Est-ce que cela pourrait renforcer ou affaiblir la confiance des utilisateurs envers l’entreprise ?

[stardeath]

je ne comprends pas pourquoi c est pas déjà implémenté: cela me semble assez basique pour atteindre un peu plus de robustesse!

peut être parce que une machine qui démarre avec succès mais sans crowdstrike est une machine inutile pour le client de crowdstrike?

faut remarquer le positionnement de ce logiciel particulier, il sert à surveiller tout ce qui se passe sur une machine, accès disque, noyau, internet, la machine à café et j'en passe ; donc imaginons un serveur en finance, capable de récupérer les cours des marchés et de passer des ordres, le proprio de cette machine, ne veut donc pas que cette machine ait accès à internet sans protection entre autre.
si demain, cette machine démarre sans crowdstrike, comment tu dis au client que la machine a bien démarré mais que non, cette machine ne peut pas assurer sa fonction car crowdstrike est en échec?

là, on a l'exemple "simple", mais donc, quelque soit le logiciel ayant accès au kernel, il va falloir une policy pour savoir quoi faire en cas d'échec de chargement du logiciel, et quelle ressource cette machine à droit et comment y accéder pour résoudre le problème.
j'avais lu quelque part, "laissons la machine en mode sans échec" soit, mais pareil, la machine a accès à quoi? de quelles comptes autorisent-on les connexions, etc...

bref, c'est tout sauf trivial comme question.

[Anthony]

CrowdStrike a rejeté l'allégation de Delta Air Lines qui l'accuse d'être responsable des perturbations de vols à la suite de la panne mondiale, et a laissé entendre que sa responsabilité était minime

Dimanche 4 août, CrowdStrike a rejeté la plainte de Delta Air Lines qui l'accusait d'être responsable des perturbations de vols consécutives à une panne mondiale survenue le 19 juillet à la suite d'une mise à jour défectueuse, et a laissé entendre que sa responsabilité potentielle était minime.

Delta Air Lines a engagé un cabinet d'avocats pour demander une indemnisation à Microsoft et CrowdStrike à la suite d'une panne informatique mondiale et de l'annulation de plus de 6 000 vols jusqu'à présent. Le ministère américain des transports a annoncé qu'il ouvrirait une enquête sur Delta à la suite des annulations de vols provoquées par la panne.

Ed Bastian, PDG de Delta, a déclaré que la panne avait coûté 500 millions de dollars à la compagnie aérienne américaine et qu'elle prévoyait d'engager une action en justice pour obtenir une compensation de la part de l'entreprise de cybersécurité.

CrowdStrike a réitéré ses excuses à la compagnie aérienne, mais a déclaré dans une lettre rédigée par un avocat externe qu'elle était « très déçue par la suggestion de Delta selon laquelle CrowdStrike aurait agi de manière inappropriée et rejette fermement toute allégation selon laquelle elle aurait fait preuve d'une négligence grave ou aurait commis une faute ».

Delta a annulé plus de 6 000 vols sur une période de six jours, ce qui a affecté plus de 500 000 passagers. Elle fait l'objet d'une enquête du ministère américain des Transports pour savoir pourquoi il lui a fallu beaucoup plus de temps que les autres compagnies aériennes pour se remettre de la panne.

La lettre de CrowdStrike précise que « toute responsabilité de CrowdStrike est contractuellement plafonnée à un montant de l'ordre de quelques millions ».

Dans les heures qui ont suivi la panne, CrowdStrike a contacté Delta pour lui proposer son aide. « [...] le PDG de CrowdStrike a personnellement contacté le PDG de Delta pour lui proposer une assistance sur place, mais n'a reçu aucune réponse », précise la lettre.

M. Bastian a déclaré que CrowdStrike avait offert « des conseils gratuits pour nous aider ».

La semaine de fin juillet, Delta a informé les législateurs américains dans une lettre que la mise à jour défectueuse de CrowdStrike « a eu un impact sur plus de la moitié des ordinateurs de Delta, y compris sur de nombreux postes de travail de Delta dans tous les aéroports du réseau Delta ». La lettre ajoute que le « système informatique complexe de Delta qui distribue et synchronise toutes nos données, y compris les données qui alimentent notre logiciel de suivi des équipages et de contrôle, a nécessité une récupération manuelle ».

La lettre de CrowdStrike ajoute que si Delta porte plainte, elle devra répondre « pourquoi les concurrents de Delta, confrontés à des défis similaires, ont tous rétabli leurs opérations beaucoup plus rapidement » et « pourquoi Delta a refusé l'aide gratuite sur place des professionnels de CrowdStrike qui ont aidé de nombreux autres clients à rétablir leurs opérations beaucoup plus rapidement que Delta ».

Un porte-parole de CrowdStrike a déclaré que « la prise de position publique sur la possibilité d'intenter un procès sans fondement contre CrowdStrike en tant que partenaire de longue date n'est constructive pour aucune des parties. Nous espérons que Delta acceptera de travailler en coopération pour trouver une solution ».

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous les allégations de Delta Air Lines à l'encontre de CrowdStrike crédibles ou pertinentes ?
Pensez-vous qu'il existe une part de responsabilité de Delta Air Lines dans toute cette affaire ?

Voir aussi :

Delta Air Lines a engagé un cabinet d'avocats pour demander une indemnisation à Microsoft et CrowdStrike, à la suite d'une panne informatique mondiale et de l'annulation de plus de 6 000 vols

Le PDG de Delta qualifie Microsoft de "plateforme probablement la plus fragile" tout en louant Apple, la panne CrowdStrike a coûté environ 500 millions $ à Delta, qui va donc poursuivre Microsoft et CrowdStrike

[TotoParis]

J'adore "© 2024 ClownStrike Inc." trop drôle.
Quelle bande buses, ces gens de CrowdStrike...
Ils n'ont pas de morts sur la conscience, mais ils sont sacrément gonflés, et devraient raser les murs...

[Anthony]

CrowdStrike a publié son analyse des causes racines de la panne mondiale de Microsoft, il s'agirait d'une erreur que les étudiants en programmation de première année apprennent à éviter

CrowdStrike a publié son analyse des causes racines (RCA) de la mise à jour logicielle défectueuse qui a entraîné une panne mondiale, potentiellement la plus importante de l'histoire, en juillet. Selon les experts, CrowdStrike doit se sentir "très embarrassé" après avoir publié son analyse car il s'agit d'une erreur que les étudiants en programmation de première année apprennent à éviter.

Le 19 juillet 2024, une panne informatique mondiale a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan. Les écrans bleus de la mort ont perturbé le fonctionnement normal des machines Windows, affichant le message : “Recovery: It looks like Windows didn’t load correctly.”

Le 19 juillet, jour de l'écran bleu de la mort (BSOD), environ 8,5 millions de systèmes Windows dans le monde se sont retrouvés en panne à la suite d'une mise à jour du capteur Falcon de CrowdStrike qui s'est mal déroulée. L'entreprise américaine de cybersécurité a publié un rapport préliminaire quelques jours après l'incident. Aujourd'hui, une analyse plus approfondie de 12 pages confirme l'origine du problème : un seul capteur non détecté.

L'accès privilégié de Falcon

CrowdStrike propose des produits de sécurité contre les ransomwares, les malwares et l'internet presque exclusivement aux entreprises et aux grandes organisations. La panne généralisée a été liée à son logiciel de détection Falcon, qui est installé pour détecter les menaces et aider à les bloquer.

Sigi Goode, professeur de systèmes d'information à l'Australian National University, a déclaré que Falcon disposait d'un accès très privilégié. Il se situe au niveau de ce que l'on appelle le noyau de Windows.

« Il est aussi proche que possible du moteur qui alimente le système d'exploitation », a déclaré le professeur Goode. « Le mode kernel observe en permanence ce que vous faites et écoute les requêtes des applications que vous utilisez, et les traite de manière transparente. »

Il a décrit le mode kernel comme la police de la circulation à côté de laquelle Falcon est assis, en disant : « Je n'aime pas l'aspect de ce véhicule, nous devrions y jeter un coup d'œil ».

Le capteur 21 coupable

CrowdStrike met constamment Falcon à jour. Le 19 juillet, l'entreprise a envoyé une mise à jour Rapid Response Content à certains hôtes Windows.

Dans le RCA, CrowdStrike a parlé d'un « incident du canal 291 », au cours duquel une nouvelle capacité a été introduite dans les capteurs de Falcon.

Les capteurs sont comme « une voie d'accès aux preuves », qui indique le type d'activité suspecte à rechercher, a déclaré le professeur Goode. « Falcon examine une série de capteurs - une série d'indicateurs - pour voir si quelque chose ne va pas. »

Lorsque des mises à jour sont envoyées, il modifie l'emplacement ou le nombre de capteurs pour vérifier s'il y a une attaque potentielle.

Dans le cas présent, Falcon s'attendait à ce que la mise à jour comporte 20 champs de saisie, mais elle en comportait 21. Selon CrowdStrike, c'est cette "discordance de comptage" qui a provoqué la panne générale. « L'interpréteur de contenu ne s'attendait qu'à 20 valeurs », indique le rapport RCA. « Par conséquent, la tentative d'accès à la 21e valeur a produit une lecture de la mémoire hors limites au-delà de la fin du tableau de données d'entrée et a entraîné un plantage du système. »

Falcon étant étroitement intégré au cœur de Windows, sa défaillance a entraîné l'arrêt de l'ensemble du système et la survenue d'une panne de système (BSOD).

Le professeur Goode a déclaré que l'une des façons les plus courantes de compromettre un système consistait à inonder la mémoire. Il s'agit essentiellement de dire à l'ordinateur de chercher quelque chose "hors limites".

« Il cherchait quelque chose qui n'existait pas », a-t-il déclaré. « Mais Falcon devait chercher à ce 21e emplacement, parce que c'est ce que lui demandait le nouveau template qu'on lui avait donné ».

Les principales conclusions du rapport d'analyse des causes racines de CrowdStrike sont présentées ci-dessous :

Ce rapport développe les informations précédemment partagées dans notre analyse préliminaire de l'après-incident, en approfondissant les conclusions, les mesures d'atténuation, les détails techniques et l'analyse des causes racines de l'incident. Le 29 juillet à 17 heures, en comparant les semaines, ~99 % des capteurs Windows sont en ligne par rapport à la période précédant la mise à jour du contenu. Nous observons généralement une variation de ~1 % d'une semaine à l'autre dans les connexions des capteurs.

Tout au long de cette RCA, nous avons utilisé une terminologie généralisée pour décrire la plateforme CrowdStrike Falcon afin d'améliorer la lisibilité. La terminologie utilisée dans d'autres documents peut être plus spécifique et technique.

Ce qui s'est passé

Le capteur Falcon de CrowdStrike offre de puissants modèles d'IA et d'apprentissage automatique au niveau du capteur afin de protéger les systèmes des clients en identifiant les dernières menaces avancées et en y remédiant. Ces modèles sont maintenus à jour et renforcés par les enseignements tirés de la dernière télémétrie des menaces provenant du capteur et de l'intelligence humaine de Falcon Adversary OverWatch, Falcon Complete et des ingénieurs de CrowdStrike chargés de la détection des menaces. Ce riche ensemble de télémétrie de sécurité commence par des données filtrées et agrégées sur chaque capteur dans un magasin de graphes local.

Chaque capteur met en corrélation le contexte de son magasin de graphes local avec l'activité du système live pour obtenir des comportements et des indicateurs d'attaque (IOA) dans le cadre d'un processus d'affinement continu. Ce processus d'affinage comprend un Sensor Detection Engine qui combine le Sensor Content intégré avec le Rapid Response Content fourni par le cloud. Le Rapid Response Content est utilisé pour recueillir des données télémétriques, identifier les indicateurs de comportement de l'adversaire et renforcer les nouvelles détections et préventions sur le capteur sans qu'il soit nécessaire de modifier le code du capteur. Le Rapid Response Content est une heuristique comportementale, séparée et distincte des capacités sur capteur de prévention par IA et de détection de CrowdStrike.

Le Rapid Response Content est fourni par le biais de fichiers de canaux et interprété par le Content Interpreter du capteur, à l'aide d'un moteur basé sur des expressions régulières (regex). Chaque fichier de canal du Rapid Response Content est associé à un Template Type spécifique intégré dans la version d'un capteur. Le Template Type fournit au Content Interpreter des données d'activité et un contexte graphique à mettre en relation avec le Rapid Response Content.

Avec la sortie de la version 7.11 du capteur en février 2024, CrowdStrike a introduit un nouveau Template Type pour permettre la visibilité et la détection de nouvelles techniques d'attaque qui abusent des pipelines nommés et d'autres mécanismes de communication interprocessus (" IPC ") de Windows. Comme indiqué dans le PIR, le nouveau Template Type IPC a été développé et testé conformément à nos processus standard de développement du Sensor Content et a été intégré au capteur pour préparer son utilisation sur le terrain. Les Template Instances IPC sont livrées en tant que Rapid Response Content aux capteurs par l'intermédiaire d'un Channel File correspondant, numéroté 291.

Le nouveau Template Type IPC définissait 21 champs de paramètres d'entrée, mais le code d'intégration qui invoquait le Content Interpreter avec les Template Instances du Channel File 291 ne fournissait que 20 valeurs d'entrée à comparer. Cette inadéquation du nombre de paramètres a échappé à plusieurs niveaux de validation et de test de construction, car elle n'a pas été découverte au cours du processus de test de validation du capteur, des tests de stress du Template Type (à l'aide d'une Template Instance de test) ou des premiers déploiements réussis des Template Instances IPC sur le terrain. Cela s'explique en partie par l'utilisation de critères de correspondance à base de caractères génériques pour la 21e entrée pendant les tests et dans les premières Template Instances IPC.

Le 19 juillet 2024, deux autres Template Instances IPC ont été déployées. L'une d'entre elles a introduit un critère de correspondance sans caractère générique pour le 21e paramètre d'entrée. Ces nouvelles Template Instances ont donné lieu à une nouvelle version du Channel File 291 qui exigerait désormais que le capteur inspecte le 21e paramètre d'entrée. Jusqu'à ce que ce fichier de canal soit livré aux capteurs, aucune Template Instances IPC dans les versions précédentes du canal n'avait utilisé le champ du 21ème paramètre d'entrée. Le Content Validator a évalué les nouvelles Template Instances, mais a basé son évaluation sur le fait que le Template Type IPC serait fourni avec 21 entrées.

Les capteurs qui ont reçu la nouvelle version du Channel File 291 contenant le contenu problématique ont été exposés à un problème latent de lecture hors limites dans le Content Interpreter. Lors de la prochaine notification IPC du système d'exploitation, les nouvelles Template Instances IPC ont été évaluées, en spécifiant une comparaison avec la 21e valeur d'entrée. Le Content Interpreter ne s'attendait qu'à 20 valeurs. Par conséquent, la tentative d'accès à la 21e valeur a entraîné une lecture hors limites de la mémoire, au-delà de la fin du tableau de données d'entrée, ce qui a provoqué une panne du système.

En résumé, c'est la confluence de ces problèmes qui a entraîné une panne du système : la non-concordance entre les 21 entrées validées par le Content Validator et les 20 entrées fournies au Content Interpreter, le problème latent de lecture hors limites dans le Content Interpreter et l'absence de test spécifique pour les critères de correspondance autres que les caractères génériques dans le 21e champ. Bien que ce scénario avec le Channel File 291 ne puisse plus se reproduire, il informe également des améliorations de processus et des mesures d'atténuation que CrowdStrike est en train de déployer pour garantir une résilience encore plus grande.

Lire la suite

Source : "External Technical Root Cause Analysis — Channel File 291" (CrowdStrike)

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous les conclusions de cette analyse technique de CrowdStrike crédibles ou pertinentes ?

Voir aussi :

CrowdStrike accuse un bogue dans le logiciel de test d'avoir mis hors service 8,5 millions de machines Windows, car il n'a pas validé correctement la mise à jour du contenu qui a été diffusée sur les machines

Microsoft analyse techniquement mais diplomatiquement l'incident CrowdStrike, cependant il s'agit d'une gifle pour CrowdStrike, qui a déjà causé des pannes graves à d'autres systèmes d'exploitation