Discussion :

[Mathis Lucas]

Microsoft affirme que Delta a ignoré l'aide proposée par Satya Nadella concernant CrowdStrike et que les problèmes de Delta sont liés à son ancienne infrastructure informatique
et non à Windows

Microsoft a répondu aux allégations de Delta Air Lines après la panne informatique mondiale provoquée par le logiciel défectueux de CrowdStrike. Delta affirme que la panne lui a coûté environ 500 millions de dollars à la suite de l'annulation de plus de 6 000 vols, mais Microsoft réfute non seulement ces allégations. Microsoft suggère que les problèmes de Delta sont liés à l'infrastructure vieillissante de la compagnie aérienne. En outre, Microsoft révèle que Delta a refusé son aide gratuite à plusieurs reprises et a même ignoré un courriel de Satya Nadella à la direction de la compagnie aérienne. Delta a déjà annoncé son intention de poursuivre Microsoft et CrowdStrike en justice.

Delta aurait refusé à plusieurs reprises l'aide de Microsoft pour gérer l'incident CrowdStrike

Le 19 juillet 2024, CrowdStrike a déployé une mise à jour défectueuse qui a provoqué le plantage plus de 8,5 millions d'appareils Windows à travers le monde. La panne a affecté des centaines d'entreprises et a duré plusieurs heures, voire plusieurs jours chez certaines victimes. Ed Bastian, PDG de Delta Air Lines, demande à CrowdStrike et à Microsoft de le dédommager pour les 500 millions de dollars qu'il a perdus à cause de la panne informatique. Elle serait à l'origine de l'annulation de 6 000 vols chez Delta. La compagnie a rassemblé un collège d'avocats et envisagerait de porter l'affaire devant les tribunaux américains.

Cependant, Microsoft ne fait pas la même lecture de l'incident que Delta. La firme de Redmond rejette les critiques et les allégations de Bastian. « Microsoft compatit avec Delta et ses clients en ce qui concerne l'impact de l'incident CrowdStrike. Mais votre lettre et les commentaires publics de Delta sont incomplets, faux, trompeurs et nuisent à Microsoft et à sa réputation », écrit Mark Cheffo, co-président de Dechert LLP, dans une lettre adressée aux avocats de Delta au nom de Microsoft. La lettre s'oppose aux commentaires critiques du PDG de Delta et va même jusqu'à mettre en cause la compagnie aérienne elle-même.

Lors d'une interview à CNBC, Bastian a déclaré que "Microsoft est l'une des plateformes les plus fragiles de l'infrastructure en ligne" et a vanté les mérites d'Apple pour la solidité et la résilience de ses installations. « Quand avez-vous entendu parler pour la dernière fois d'une grosse panne chez Apple ? », a déclaré Bastian au journaliste de CNBC. Il avait également révélé que plus de 40 000 serveurs de l'entreprise avaient été touchés par la mise à jour défectueuse de CrowdStrike.

Microsoft affirme également qu'un employé a contacté Delta le 22 juillet pour offrir son aide à la compagnie aérienne. Mais un employé de Delta aurait répondu que tout allait bien le jour même où Delta a annulé plus de 1 100 vols, suivis de 500 autres annulations le lendemain.

Même si le logiciel de Microsoft n'est pas à l'origine de l'incident CrowdStrike, Microsoft est immédiatement intervenu et a proposé d'aider Delta gratuitement à la suite de la panne du 19 juillet. Chaque jour qui a suivi, du 19 au 23 juillet, les employés de Microsoft ont réitéré leur proposition d'aide à Delta. À chaque fois, Delta a décliné les propositions d'aide de Microsoft, même si Microsoft n'aurait pas facturé Delta pour cette assistance...

Des cadres supérieurs de Microsoft ont également cherché à plusieurs reprises à aider leurs homologues de Delta, avec des résultats similaires. Entre autres, le mercredi 24 juillet, le PDG de Microsoft, Satya Nadella, a envoyé un courriel au PDG de Delta, Ed Bastian, qui n'a jamais répondu.

La lettre de Microsoft ne précise pas clairement l'aide spécifique qu'il a proposée à Delta pendant que la compagnie aérienne essayait de résoudre le problème. Ce qui a suscité des réactions critiques à l'égard de cette lettre. « À mon avis, Microsoft a probablement utilisé cela comme une opération de relations publiques ou pour des ventes ultérieures », peut-on lire dans les commentaires. Mais la lettre de Microsoft ne s'arrête pas là et met également en cause l'infrastructure de Delta.

Microsoft suggère que les problèmes techniques de Delta pourraient être bien plus profonds

Interrogé sur les relations futures entre Delta et Microsoft, Bastian a déclaré à CNBC : « j'ai l'impression qu'il s'agit probablement de la plateforme la plus fragile dans ce domaine ». Cependant, la lettre de Microsoft suggère que les problèmes de Delta pourraient être bien plus profonds que la panne de son serveur Windows. Microsoft pense en effet que Delta a refusé son aide gratuite parce qu'elle s'efforçait en fait de restaurer des systèmes non Windows.

« Il apparaît rapidement que Delta a probablement refusé l'aide de Microsoft parce que le système informatique qu'elle avait le plus de mal à restaurer - son système de suivi et de planification des équipages - était géré par d'autres fournisseurs de technologie, comme IBM, parce qu'il fonctionne sur les systèmes de ces fournisseurs, et non sur Microsoft Windows ou Azure », indique la lettre. Microsoft estime que l'incident a été amplifié par l'infrastructure hétéroclite de Delta.

Cela suggère que Delta a été touchée par la panne de CrowdStrike sur ses systèmes Windows et que ces défaillances ont ensuite eu un impact sur son infrastructure informatique qui était gérée par IBM et d'autres fournisseurs. Microsoft estime que Delta n'a apparemment pas modernisé son infrastructure informatique et que la compagnie aérienne a donc été plus durement touchée par la panne de CrowdStrike que ses rivales comme American Airlines ou United Airlines.

Comme CrowdStrike, Microsoft demande également à Delta de conserver les documents liés à la panne de CrowdStrike. Il demande à la compagnie aérienne de conserver tout ce qui a trait à la panne de ses systèmes de suivi et de planification des équipages, qui fonctionnent sur un mélange de technologies IBM, Oracle, AWS, Kyndryl et autres. Microsoft affirme également qu'il se défendra vigoureusement dans tout litige si Delta choisit de s'engager dans cette voie.

En début de semaine, CrowdStrike a également affirmé qu'il n'était pas responsable de la panne qui a duré plusieurs jours et que Delta avait également refusé son assistance sur place. Selon certains analystes, les commentaires de CrowdStrike prennent tout leur sens après la suggestion de Microsoft selon laquelle les problèmes de Delta pourraient être bien plus profonds que la mise hors service de ses systèmes Windows par la mise à jour défectueuse de CrowdStrike.

« Microsoft n'a pas tort. Delta a commis une faute professionnelle informatique en n'étant pas mieux préparée. Tout peut provoquer une panne de cette ampleur, et il est vrai que Crowdstrike (qui n'est pas un produit Microsoft) a donné un coup de pied dans la fourmilière, mais l'absence d'un bon plan de reprise après sinistre ou de continuité des activités de Delta a été mise à nu. Delta essaie juste de détourner l'attention de son manque de préparation », a écrit un critique.

Contrairement à de nombreuses autres compagnies aériennes, Delta a eu beaucoup de mal à remettre ses systèmes en service et fait actuellement l'objet d'une enquête du ministère américain des Transports sur la manière dont elle a géré les efforts de rétablissement à la suite de la panne provoquée par la mise à jour défectueuse de CrowdStrike.

CrowdStrike aurait commis une erreur qu'un débutant en programmation apprend à éviter

CrowdStrike vient de publier son analyse des causes racines (RCA) de la mise à jour logicielle défectueuse à l'origine de la panne informatique la plus importante de l'histoire. Selon les experts, CrowdStrike doit se sentir "très embarrassé" après avoir publié son analyse, car il s'agit d'une erreur que les étudiants en programmation de première année apprennent à éviter. Le rapport de 12 pages confirme l'origine du problème : un seul capteur non détecté.

L'accès privilégié de Falcon

CrowdStrike propose des produits de sécurité pour Internet et contre les ransomwares et les maliciels, presque exclusivement aux entreprises et aux grandes organisations. La panne géante a été déclenchée par son logiciel de détection Falcon, qui est installé pour détecter les menaces et aider à les bloquer. Sigi Goode, professeur de systèmes d'information à l'Australian National University, a déclaré que le logiciel de sécurité Falcon disposait d'un accès très privilégié.

Il se situe au niveau de ce que l'on appelle le noyau de Windows. « Il est aussi proche que possible du moteur qui alimente le système d'exploitation. Le mode kernel observe en permanence ce que vous faites et écoute les requêtes des applications que vous utilisez, et les traite de manière transparente », note Goode. Il décrit le mode kernel comme la police de la circulation à côté de laquelle Falcon est assis, en disant : « je n'aime pas l'aspect de ce véhicule, nous devrions y jeter un coup d'œil ».

Le capteur 21 coupable

CrowdStrike met constamment Falcon à jour. Le 19 juillet, il a envoyé une mise à jour "Rapid Response Content" à certains hôtes Windows. Dans la RCA, CrowdStrike a évoqué "un incident du canal 291", au cours duquel une nouvelle capacité a été introduite dans les capteurs de Falcon. Les capteurs sont comme une voie d'accès aux preuves, qui indique le type d'activité suspecte à rechercher. Falcon examine une série de capteurs (indicateurs) pour voir si quelque chose ne va pas. Lorsque des mises à jour sont envoyées, il modifie l'emplacement ou le nombre de capteurs pour vérifier s'il y a une attaque potentielle.

Dans le cas présent, Falcon s'attendait à ce que la mise à jour comporte 20 champs de saisie, mais elle en comportait 21. C'est cette "discordance de comptage" qui a provoqué la panne géante. « L'interpréteur de contenu ne s'attendait qu'à 20 valeurs. Par conséquent, la tentative d'accès à la 21e valeur a produit une lecture de la mémoire hors limites au-delà de la fin du tableau de données d'entrée et a entraîné un plantage du système », indique le rapport.

Falcon étant étroitement intégré au cœur de Windows, sa défaillance a entraîné l'arrêt de l'ensemble du système et la survenue d'une panne de système (BSOD). Le professeur Goode a déclaré que l'une des façons les plus courantes de compromettre un système consistait à inonder la mémoire. Il s'agit essentiellement de dire à l'ordinateur de chercher quelque chose "hors limites". « Il cherchait quelque chose qui n'existait pas », a déclaré le professeur Goode.

Cette panne mondiale souligne l’importance de la vigilance en matière de cybersécurité et de la nécessité de mettre en place des protocoles de gestion des mises à jour. Les entreprises doivent investir dans des solutions de sécurité robustes et communiquer efficacement avec leurs clients pour réduire les perturbations en cas de défaillance du système. Elle met également en exergue la vulnérabilité des solutions basées sur le cloud, qui peuvent entraîner un effet boule de neige.

Source : lettre de Microsoft (PDF)

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la lettre adressée par les avocats de Microsoft à Delta Air Lines ?
Microsoft a-t-il raison de dire que l'infrastructure de Delta a amplifié les dégâts liés à l'incident CrowdStrike ?
Que pensez-vous du nouveau rapport publié par CrowdStrike sur le bogue qui a provoqué la panne mondiale du 19 juillet ?

Voir aussi

CrowdStrike a publié son analyse des causes racines de la panne mondiale de Microsoft, il s'agirait d'une erreur que les étudiants en programmation de première année apprennent à éviter

CrowdStrike a rejeté l'allégation de Delta Air Lines qui l'accuse d'être responsable des perturbations de vols à la suite de la panne mondiale et a laissé entendre que sa responsabilité était minime

Delta Air Lines a engagé un cabinet d'avocats pour demander une indemnisation à Microsoft et CrowdStrike à la suite d'une panne informatique mondiale et de l'annulation de plus de 6 000 vols

[23JFK]

Sauf que CrowdStrike a également fait planter des système Linux et MacOs de par le passé, la différence tient uniquement en l'hégémonie du système Windows sur le monde.

[Anselme45]

La panne qui a coûté des milliards a un seul responsable... Le client!


Microsoft = le foutage de gueule intégral!!!

Cette société devrait tout simplement être démantelée par la justice... Microsoft est devenu aussi dangereux pour le monde qu'une bombe atomique dans les mains de terroristes.

Non seulement, ils ne se mettent jamais en question, mais en plus ils prennent leur clients pour des merdes... Hallucinant!

[Stéphane le calme]

« Avec un logiciel d'une telle importance, la panne de CrowdStrike n'aurait pas dû se produire » :
un développeur note que la technologie permettant d'éviter ce type d'erreur existe depuis des décennies

Une mise à jour défectueuse du logiciel Falcon de CrowdStrike a provoqué une panne mondiale touchant plus de 8,5 millions d’utilisateurs de Microsoft. Cet incident a mis en lumière des problèmes fondamentaux dans la gestion de la qualité et la communication entre les équipes de développement et d’exploitation. Pour un développeur, avec un logiciel d'une telle criticité, un tel problème ne devrait pas être possible; la technologie permettant de le garantir existant déjà depuis des décennies.

Le 19 juillet 2024, une panne informatique mondiale a touché des entreprises, des aéroports et des médias à travers le monde. Environ 8,5 millions de systèmes Windows dans le monde se sont retrouvés en panne à la suite d'une mise à jour défectueuse de Falcon Sensor de CrowdStrike.

CrowdStrike propose des produits de sécurité contre les ransomwares, les malwares et l'internet presque exclusivement aux entreprises et aux grandes organisations. La panne généralisée a été liée à son logiciel de détection Falcon, qui est installé pour détecter les menaces et aider à les bloquer.

Sigi Goode, professeur de systèmes d'information à l'Australian National University, a déclaré que Falcon disposait d'un accès très privilégié. Il se situe au niveau du noyau de Windows. « Il est aussi proche que possible du moteur qui alimente le système d'exploitation », a déclaré le professeur Goode. « Le mode kernel observe en permanence ce que vous faites et écoute les requêtes des applications que vous utilisez, et les traite de manière transparente. »

CrowdStrike met constamment Falcon à jour. Le 19 juillet, l'entreprise a envoyé une mise à jour Rapid Response Content à certains hôtes Windows. Dans le RCA, CrowdStrike a parlé d'un « incident du canal 291 », au cours duquel une nouvelle capacité a été introduite dans les capteurs de Falcon.

Les capteurs sont comme « une voie d'accès aux preuves », qui indique le type d'activité suspecte à rechercher, a déclaré le professeur Goode. « Falcon examine une série de capteurs - une série d'indicateurs - pour voir si quelque chose ne va pas. »

Lorsque des mises à jour sont envoyées, il modifie l'emplacement ou le nombre de capteurs pour vérifier s'il y a une attaque potentielle.

Dans le cas présent, Falcon s'attendait à ce que la mise à jour comporte 20 champs de saisie, mais elle en comportait 21. Selon CrowdStrike, c'est cette « discordance de comptage » qui a provoqué la panne générale. « L'interpréteur de contenu ne s'attendait qu'à 20 valeurs », indique le rapport RCA. « Par conséquent, la tentative d'accès à la 21^e valeur a produit une lecture de la mémoire hors limites au-delà de la fin du tableau de données d'entrée et a entraîné un plantage du système. »

Falcon étant étroitement intégré au cœur de Windows, sa défaillance a entraîné l'arrêt de l'ensemble du système et la survenue d'une panne de système (BSOD).

Le professeur Goode a déclaré que l'une des façons les plus courantes de compromettre un système consistait à inonder la mémoire. Il s'agit essentiellement de dire à l'ordinateur de chercher quelque chose « hors limites ».

En clair, selon le RCA, l'essentiel de ce qui s'est passé est un index hors limites, ce qui est un cas spécial de dépassement de mémoire tampon et considéré comme un comportement non défini en C++, le langage qui semble avoir été utilisé pour développer le système de Crowdstrike. Il s'agirait d'une erreur que les étudiants en programmation de première année apprennent à éviter.

Une situation qui n'aurait pas dû arriver, selon un développeur

Eduardo Bellani y va de son argumentation.

Selon lui, pour un logiciel d'une telle criticité, un tel problème ne devrait pas être possible. La technologie permettant de le garantir existe déjà depuis des décennies, comme le montre cette citation :

« ... nous pouvons continuer à ajouter des contrats au code jusqu'à ce que chaque sous-programme ait une spécification entièrement fonctionnelle. Nous entendons par là que chaque sous-programme possède une postcondition qui spécifie la valeur de chacune de ses sorties et une précondition nécessaire pour contraindre l'espace d'entrée. D'autres invariants de type peuvent également être ajoutés en plus de ceux déjà présents au niveau Gold. Une fois que l'implémentation a été complétée par rapport à cette spécification complète et que toutes les VCs générées par l'analyseur ont été prouvées, nous avons atteint le niveau Platine de l'assurance SPARK.

« En raison de l'effort supplémentaire qu'implique le développement de la spécification et de la preuve à ce niveau, le niveau Platine ne sera approprié que pour les applications les plus critiques. Cependant, il vaut la peine d'envisager une réduction des tests unitaires pour la vérification fonctionnelle si la preuve de niveau Platine a été atteinte, puisque nous savons que le programme retournera le résultat correct pour toutes les entrées, et pas seulement pour celles que nous avons pu tester. (Chapman et al. 2024) »

En outre, toutes les mesures techniques d'atténuation proposées se résument à boucher les trous. Mais la sécurité ne peut être obtenue de cette manière, elle doit être intégrée dans la conception, les outils et les langages utilisés dès le début d'une telle entreprise.

Annexe 1 : L'impact

Une panne informatique majeure a touché les services et les infrastructures du monde entier, notamment les secteurs de l'aviation, de la banque, des soins de santé et des services financiers.

La panne de CrowdStrike n'a pas seulement retardé les vols et rendu plus difficile la commande d'un café. Elle a également touché les cabinets médicaux et les hôpitaux, les services d'urgence 911, les systèmes d'enregistrement et de cartes-clés des hôtels, ainsi que les ordinateurs professionnels qui étaient en ligne et saisissaient les mises à jour au moment où la mise à jour défectueuse a été envoyée. En plus de fournir des correctifs pour les PC clients et les machines virtuelles hébergées dans son cloud Azure, Microsoft déclare travailler avec Google Cloud Platform, Amazon Web Services et « d'autres fournisseurs de nuages et parties prenantes » pour fournir des correctifs aux machines virtuelles Windows fonctionnant dans les clouds de ses concurrents.

Si les mises à jour de logiciels peuvent occasionnellement provoquer des perturbations, les incidents importants tels que l'événement CrowdStrike sont peu fréquents. Nous estimons actuellement que la mise à jour de CrowdStrike a affecté 8,5 millions d'appareils Windows, soit moins d'un pour cent de toutes les machines Windows. Bien que le pourcentage soit faible, les impacts économiques et sociétaux importants reflètent l'utilisation de CrowdStrike par des entreprises qui gèrent de nombreux services critiques.

Conclusion

CrowdStrike a rapidement déployé un correctif pour résoudre le problème, mais l’incident aurait pu être évité. Plusieurs experts qualifient cette erreur « d'embarrassante », car elle aurait pu être évitée avec des pratiques de programmation de base. Pour une entreprise de cybersécurité, c’est un rappel important : même les meilleures peuvent commettre des erreurs. La panne mondiale causée par un simple capteur non détecté souligne l’importance de la vigilance et de la rigueur dans le développement logiciel.

Source : Eduardo Bellani

Et vous ?

Que pensez-vous de l'argumentation d'Eduardo Bellani ?
Quelle est votre opinion sur la manière dont CrowdStrike a géré cette panne mondiale ? Certains soutiennent que l’entreprise aurait dû être plus proactive dans la détection et la résolution du problème. D’autres estiment que ces incidents sont inévitables et que CrowdStrike a réagi de manière appropriée.
Pensez-vous que les entreprises de cybersécurité devraient être tenues responsables de leurs erreurs ? Certains affirment que la confiance des utilisateurs est en jeu et que les entreprises doivent être plus transparentes. D’autres estiment que les erreurs font partie du processus de développement et que la responsabilité ne devrait pas être exagérée.
Comment pouvons-nous éviter de futures pannes similaires à l’avenir ? Quelles mesures devraient être prises pour renforcer la fiabilité des logiciels de sécurité ? Certains suggèrent des audits plus fréquents, tandis que d’autres mettent l’accent sur la formation et les meilleures pratiques.
Quel rôle joue la dépendance croissante à l’égard des technologies de sécurité tierces dans notre société ? L’incident de CrowdStrike soulève des questions sur notre dépendance à l’égard de ces solutions. Devrions-nous réduire cette dépendance ou investir davantage dans la recherche et le développement de solutions internes ?

[chris_FR]

Sauf que CrowdStrike a également fait planter des système Linux et MacOs de par le passé, la différence tient uniquement en l'hégémonie du système Windows sur le monde.

Pourrais tu fournir la source de ton information s'il te plaît ?

[foetus]

Pourrais tu fournir la source de ton information s'il te plaît ?

Bug#1069642: linux-image-6.1.0-20-amd64: kernel panic after 2024-04-20

Jacob Rhoads Mon, 22 Apr 2024 17:51:29 -0700

Seeing this same issue. In my case, it ended up being caused by Crowdstrike
Falcon Sensor combined with this specific kernel. Reverting the kernel or
upgrading Falcon (via Falcon upgrade policy) works around this issue, for
now.

I think I see that 6.1.87 has attempted to fix some BHI implementation
issues that were originally introduced in 6.1.85. Perhaps certain kernel
modules aren't ready for this syscall hardening?

[23JFK]

Pourrais tu fournir la source de ton information s'il te plaît ?

https://forums.developer.apple.com/forums/thread/729410

Il me semble par ailleurs que cette info traîne quelque part dans ce thread.

Sinon, gogol pourrait faire le taff.

[AaâÂäÄàAaâÂäÄàAaâÂäÄ]

« Avec un logiciel d'une telle importance, la panne de [le logiciel maison] n'aurait pas dû se produire » : un développeur note que la technologie permettant d'éviter ce type d'erreur existe depuis des décennies

C'est drôle, qui n'a jamais entendu ça au travail
Et entre nous, personne n'est infaillible et je ne connais aucun admin qui n'ait fait aucunes grosses bourdes au cours de sa carrière.
Même avec tous les processus contraignant du monde pour la mise en prod et sa préparation, il y aura toujours une faille possible.
D'ailleurs, la plupart du temps, c'est sans grande conséquence mais pas cette dois-ci chez Crowdstrike.

[PomFritz]

[Stéphane le calme]

CrowdStrike accepte un Pwnie Award pour « l'échec le plus épique » lors de la conférence Defcon.
Certains participants pardonnent à Crowdstrike et d'autres blâment Microsoft Windows pour la panne

Juste quelques semaines après que sa mise à jour logicielle ait provoqué une panne informatique mondiale, CrowdStrike n’a pas hésité à se mettre en avant. En fait, le président de l’entreprise, Michael Sentonas, est monté sur scène lors des Pwnie Awards pour accepter le prix du « plus grand échec épique ». Ces prix ont eu lieu à la conférence Def Con, juste après le Black Hat, où CrowdStrike avait l’un des plus grands stands et distribuait des t-shirts gratuits et des figurines.

Mercredi matin, des milliers de professionnels de la cybersécurité ont envahi les halls du Mandalay Bay Convention Center de Las Vegas, épicentre de la conférence annuelle Black Hat sur la cybersécurité, où des dizaines d'entreprises présentaient leurs produits.

Au premier rang et avec l'un des plus grands stands se trouvait CrowdStrike, une société qui est récemment devenue un nom familier - mais pas en raison de ses prouesses pour arrêter les piratages.

Le 19 juillet, CrowdStrike a diffusé une mise à jour logicielle défectueuse qui a fait planter au moins 8,5 millions d'ordinateurs dans le monde entier, entraînant des retards de vols, perturbant le fonctionnement des hôpitaux - y compris certaines opérations chirurgicales - et paralysant plusieurs agences gouvernementales américaines, parmi de nombreuses autres organisations qui ont dû redémarrer manuellement les ordinateurs et les serveurs pour revenir à la normale.

Depuis lors, CrowdStrike a partagé des mises à jour sur sa propre enquête sur la panne. La société a également offert des cartes-cadeaux Uber Eats de 10 dollars à ses partenaires, dont certains ont dû passer des heures à se remettre de l'incident, afin de les remercier sincèrement et de leur présenter ses excuses pour la gêne occasionnée.

Selon un porte-parole de CrowdStrike, plusieurs personnes ayant reçu le bon - dont certaines estimaient que le cadeau n'était pas à la hauteur - n'ont pas pu encaisser la carte-cadeau avant qu'Uber ne la signale comme frauduleuse, « en raison d'un taux d'utilisation élevé ».

Sur les boîtes de figurines empilées sur le stand de l'entreprise, qui étaient constamment réapprovisionnées, CrowdStrike a fait figurer un message concernant la panne. « Les adversaires ne s'arrêtent pas. Nous non plus », disait le message. « La résilience commence avec nous. Nous nous concentrons sur vous ».

La société a projeté le même message sur un grand écran dans le couloir qui mène du casino Mandalay Bay au centre de convention.

Kevin Benacci, directeur principal de la communication de CrowdStrike, a déclaré que « ce message exprime notre gratitude et notre reconnaissance à l'égard de la communauté Black Hat, ainsi que le soutien que nous avons reçu après l'incident ». Benacci a ajouté que l'entreprise avait « des membres de l'équipe technique dans le stand pour s'occuper de l'incident ».

CrowdStrike reçoit un Pwnie Award

Les Pwnie Awards récompensent à la fois l'excellence et l'incompétence dans le domaine de la sécurité de l'information. Les gagnants sont sélectionnés par un comité de professionnels de l'industrie de la sécurité parmi les nominations recueillies auprès de la communauté de la sécurité de l'information. Les nominations sont annoncées chaque année lors de la Summercon, et les prix eux-mêmes sont décernés lors de la conférence Black Hat sur la sécurité.

La décision d’accorder ce prix à CrowdStrike a été prise à la dernière minute, car comment CrowdStrike aurait-il pu ne pas gagner ? Lorsqu’un trophée comiquement grand a été apporté sur scène sous les applaudissements nourris, Sentonas a admis que ce n’était « certainement pas le prix dont on peut être fier de recevoir ». Il a ajouté : « Parce que nous avons complètement échoué, nous l’avons dit à plusieurs reprises, il est très important de se féliciter lorsque vous faites bien les choses, mais il est également très important d’assumer lorsque vous faites complètement fausse route ».

Sentonas a déclaré qu’il ramènerait le trophée au siège de CrowdStrike et le mettrait en évidence comme un rappel que « notre objectif est de protéger les gens, et nous avons échoué ici, et je veux m’assurer que tout le monde comprenne que ces choses ne peuvent pas arriver ».

CrowdStrike accepting the @PwnieAwards for “most epic fail” at @defcon. Class act. pic.twitter.com/e7IgYosHAE

— Dominic White 👾 (@singe) August 10, 2024

Certaines personnes au Def Con pardonnent Crowdstrike, tandis que d’autres blâment Microsoft Windows

Lors de la conférence annuelle de sécurité Black Hat, Crowdstrike jouit d’un moment de notoriété culturelle étrange. Les visiteurs affluent vers son stand pour prendre des selfies et récupérer des t-shirts et autres articles promotionnels de la société. Certains participants ont réagi avec indifférence à l’idée que Crowdstrike puisse être tenu responsable d’un problème lié à une mise à jour de routine, un incident qui pourrait toucher n’importe quelle entreprise de sécurité étroitement liée à Microsoft Windows.

« Est-ce que cela diminue mon opinion sur leur capacité à être une entreprise de sécurité de pointe ? Je ne pense pas », a déclaré un employé du gouvernement américain, qui dit utiliser CrowdStrike tous les jours. L'employé a demandé à rester anonyme car il n'était pas autorisé à parler à la presse. Un autre employé du gouvernement américain qui a également déclaré utiliser CrowdStrike dans le cadre de son travail, a affirmé qu'il continuerait à utiliser les produits de l'entreprise et qu'il n'avait pas perdu confiance en elle.

Un ingénieur en sécurité a déclaré qu'une partie de son entreprise a été affectée par la panne, mais qu'elle a pu se rétablir dans les 24 heures. « CrowdStrike s'est montré très efficace en fournissant des conseils de remédiation et en faisant tout ce qui était en son pouvoir pour rétablir la situation », a-t-il déclaré, ajoutant que son opinion sur CrowdStrike n'avait pas changé et qu'il n'envisageait « absolument pas » de passer à un autre fournisseur. « Ils sont les meilleurs de leur catégorie, ils sont au sommet de leur art », a-t-il déclaré.

Un avis qui n'a pas fait l'unanimité

Seth Faeder, ingénieur chez ClearChoice Dental Implants Centers, a déclaré que son entreprise n'a pas été touchée parce qu'elle utilise Sophos, un concurrent de CrowdStrike. Mais sa société mère utilise CrowdStrike, et lui et son équipe ont donc dû aider à remettre en ligne les postes de travail touchés, ce qui « n'a pas été très amusant ». « Cela m'a donné une vision plus négative de l'entreprise, c'est certain », a déclaré Faeder. « Nous avons fini par dire à [ses collègues] qu'ils devraient peut-être s'intéresser à Sophos après cela ».

Certains soulignent la fragilité de l'écosystème de sécurité.

Ebenezer Chunduru, analyste de sécurité chez CapMetro, une entreprise qui a déclaré avoir été touchée par la panne, a déclaré que l'incident avait ouvert les yeux sur la fragilité des outils de cybersécurité. « Pouvons-nous faire confiance à un quelconque outil à l'heure actuelle ? Nous ne devrions pas dépendre d'un outil. Mais en même temps, ils font un très bon travail ».

D’autres ont souligné que Microsoft devrait également assumer sa part de responsabilité dans cette panne.

Selon eux, la conception de Windows dans son architecture centrale favorise l’instabilité des pilotes, les logiciels malveillants et les logiciels espions. « Microsoft ne devrait pas accorder un tel niveau d’accès à des tiers », a déclaré un expert en cybersécurité. « Microsoft se plaint que c’est simplement la façon dont fonctionne la technologie ou les licences, mais c’est absurde, car ce même problème n’a pas affecté Linux ou Mac. Et Crowdstrike l’a détecté très tôt. »

Conclusion

Lors de la conférence Black Hat, CrowdStrike a fait comme si de rien n'était, malgré la panne informatique mondiale qui a provoqué des perturbations et des retards pendant plusieurs jours, voire plusieurs semaines pour certains clients. La conférence a eu lieu au moment où CrowdStrike a publié son analyse des causes profondes expliquant ce qui s'est passé le jour de la panne. En résumé, CrowdStrike a admis avoir commis une erreur, mais a déclaré avoir pris des mesures pour éviter qu'un tel incident ne se reproduise. Certains professionnels de la cybersécurité présents à la conférence Black Hat semblent prêts à donner une seconde chance à l'entreprise.

Source : Black Hat

Et vous ?

Quelle est votre opinion sur la transparence des entreprises en matière de cybersécurité ? CrowdStrike a choisi d’assumer publiquement son échec. Pensez-vous que d’autres entreprises devraient faire de même lorsqu’elles commettent des erreurs ?
Quelles mesures CrowdStrike devrait-elle prendre pour éviter de tels incidents à l’avenir ? Comment peuvent-ils améliorer leurs processus de mise à jour et de test ?
Quel est l’impact potentiel d’une panne informatique mondiale causée par une entreprise de cybersécurité ? Comment cela pourrait-il affecter la confiance des clients et la réputation de l’entreprise ?
Devrions-nous être plus indulgents envers les entreprises qui travaillent dans des domaines complexes et risqués comme la cybersécurité ? Ou devrions-nous être plus critiques envers leurs erreurs ?
Quelles sont les leçons que d’autres entreprises de cybersécurité peuvent tirer de cet incident ?
Quelle est votre opinion sur la responsabilité des entreprises de cybersécurité lorsqu’un problème survient avec une mise à jour de routine ? Certains soutiennent que Crowdstrike devrait être pardonné, tandis que d’autres estiment que toute entreprise liée à Microsoft Windows doit assumer sa part de responsabilité.
Pensez-vous que Microsoft devrait revoir la conception de Windows pour éviter de tels problèmes à l’avenir ? Certains experts affirment que l’architecture centrale de Windows favorise l’instabilité des pilotes et des logiciels malveillants. D’autres pensent que Microsoft devrait mieux contrôler l’accès des tiers.
Quelles mesures les entreprises de cybersécurité devraient-elles prendre pour éviter de tels incidents à l’avenir ? Devraient-elles être plus transparentes sur leurs processus de détection et de correction des vulnérabilités ?
Pensez-vous que la notoriété culturelle de Crowdstrike devrait être affectée par cet incident ? Certains participants au Def Con semblent indifférents, tandis que d’autres remettent en question la crédibilité de l’entreprise.

[floyer]

Je cite

Selon eux, la conception de Windows dans son architecture centrale favorise l’instabilité des pilotes, les logiciels malveillants et les logiciels espions. « Microsoft ne devrait pas accorder un tel niveau d’accès à des tiers », a déclaré un expert en cybersécurité. « Microsoft se plaint que c’est simplement la façon dont fonctionne la technologie ou les licences, mais c’est absurde, car ce même problème n’a pas affecté Linux ou Mac. Et Crowdstrike l’a détecté très tôt. »

Crowdstrike a aussi provoqué des kernel panic sur Linux avec une autre mise à jour dont on n’a moins parlé (https://www.theregister.com/AMP/2024...ation_tools/)… non, pour éviter cela, une approche plus modulaire (vrai micro noyau… Mach, SeL4, Minix…) est requise… et encore, il faut mesurer l’architecture globale (place de l’agent anti-attaque).

[Mat.M]

La vision des choses de Mr Sterone, rien à commenter tout est dit:

[floyer]

La vision des choses de Mr Sterone, rien à commenter tout est dit:

Les mises à jour pourries qui viennent d’un vendeur n’est pas un événement inimaginable… les bases de l’ITIL… que de bon sens (oublié?).

Bon, les bases ne permettent pas de tout éviter - j’ai vu une mise à jour bien se passer sur un échantillon, puis sur 10 000 postes, ok sauf sur 2000 à cause d’incompatibilité sur un logiciel déployé sur ces derniers - mais des procédures (à roder au fil des incidents) semblent nécessaires… là, avec CrowdStrike, no procedure, no control, no responsibility ?…

[Mathis Lucas]

L'agence allemande de cybersécurité demande des changements dans les produits de Microsoft et de CrowdStrike après la panne technique
elle vise à limiter l'accès des entreprises tierces au noyau Windows

L'Office fédéral de la sécurité de l'information (BSI) veut que Microsoft prenne des mesures appropriées pour réduire le risque d'une panne technique mondiale à l'avenir. Le régulateur vise à limiter l'accès des entreprises tierces au noyau Windows, un élément clé du système d'exploitation de Microsoft. Elle affirme que cela réduirait le risque d'une nouvelle panne de type CrowdStrike. En outre, le régulateur souhaite que des changements fondamentaux soient apportés à la manière dont les entreprises de cybersécurité conçoivent leurs outils afin de limiter cet accès. L'Allemagne a été fortement impactée par la panne provoquée par CrowdStrike.

Le débat sur la restriction de l'accès au noyau Windows prend de l'ampleur

Des entreprises du monde entier ont été confrontées le 19 juillet au redoutable écran bleu de la mort (BSOD) de Windows après une mise défectueuse de la société de cybersécurité CrowdStrike. Cette panne géante a paralysé de nombreuses entreprises de nombreux secteurs, laissant les victimes à la recherche de solutions immédiates pour satisfaire leurs clientèles et éviter des pertes financières colossales. CrowdStrike a corrigé la mise à jour à l'origine du problème, mais de nombreux systèmes sont restés hors ligne plusieurs heurs après la panne. Certaines entreprises ont subi des pertes financières importantes.

Selon un rapport du Wall Street Journal, pour l'agence allemande de cybersécurité, il est important de tirer des leçons de cet incident et saisir l'occasion pour redéfinir l'interaction entre les produits de sécurité et les systèmes d'exploitation. L'agence allemande de cybersécurité vise spécifiquement l'accès que Microsoft accorde aux prestataires de services de sécurité à son noyau Windows, une partie critique de son système d'exploitation. En effet, le logiciel de CrowdStrike fonctionne au niveau du noyau. CrowdStrike affirme que cet accès est indispensable pour le bon fonctionnement de son logiciel de sécurité.

Toutefois, cela signifie que si quelque chose ne va pas avec le logiciel de CrowdStrike, il peut faire tomber les machines Windows avec un BSOD. La mise à jour défectueuse de CrowdStrike a provoqué le plantage de plus de 8,5 millions d'appareils Windows à travers le monde. La panne a affecté des centaines d'entreprises et a duré plusieurs heures, voire plusieurs jours chez certaines victimes. Elle a également soulevé d'importantes préoccupations sur l'accès au noyau.

Le logiciel Falcon de CrowdStrike utilise un pilote spécial qui lui permet de fonctionner à un niveau inférieur à celui de la plupart des applications, de sorte qu'il peut détecter les menaces sur l'ensemble d'un système Windows. En 2006, Microsoft a tenté d'empêcher les tiers d'accéder au noyau de Windows Vista, mais s'est heurté au refus des fournisseurs de cybersécurité et des autorités de réglementation de l'Union européenne. Il n'y a pas grand-chose qui ait changé depuis.

Contrairement à Microsoft, Apple a réussi à verrouiller son système d'exploitation macOS en 2020 afin que les développeurs ne puissent plus accéder au noyau. Le BSI allemand remet le sujet sur la table. En outre, l'agence allemande de cybersécurité souhaite que des changements fondamentaux soient apportés à la manière dont CrowdStrike et d'autres cyberentreprises conçoivent leurs outils, dans l'espoir de limiter l'accès au noyau du système d'exploitation.

« Le plus important est d'empêcher que cela ne se reproduise », affirme Thomas Caspers, directeur général de la stratégie technologique au sein du BSI. Tirant parti de l'effroi qui a envahi la Silicon Valley à la suite de la panne de juillet, la BSI prévoit d'organiser cette année une conférence réunissant les principales entreprises technologiques, où elle espère qu'elles s'engageront à restreindre l'accès au noyau Windows. Pour Caspers, cela est primordial.

Microsoft pourrait de nouveau envisager de réformer l'accès au noyau Windows

CrowdStrike et ses concurrents conçoivent expressément leurs produits de manière à bénéficier d'un accès au noyau Windows, qui fournit notamment des données permettant de détecter les cybermenaces. Selon ces fournisseurs de services, le maintien de cet accès leur permet de réagir rapidement pour bloquer les activités malveillantes. Dans un billet de blogue daté du 9 août, CrowdStrike a déclaré : « des produits tels que l'analyse des microprogrammes ou le contrôle des appareils ne seraient pas possibles sans cette conception ». Mais les experts pensent que les risques liés à cet accès sont trop importants.

Caspers affirme qu'un changement est essentiel pour éviter que de telles pannes ne se reproduisent. « Il n'est pas acceptable d'exécuter ces outils en mode noyau avec tous les accès que l'on connaît aujourd'hui. Les entreprises de cybersécurité pourraient utiliser d'autres technologies pour détecter les attaques tout en restant en mode utilisateur. Le résultat le plus important de cette affaire sera qu'elles changeront cela », a-t-il déclaré à propos de la débâcle de CrowdStrike.

Au lendemain de la panne provoquée par la mise à jour défectueuse de CrowdStrike, Microsoft a également laissé entendre qu'il envisageait de modifier l'accès au noyau de Windows. Dans un billet de blogue daté du 25 juillet, John Cable, vice-président de Microsoft chargé de la gestion des programmes, a déclaré : « la panne de CrowdStrike montrait que Windows doit donner la priorité au changement et à l'innovation dans le domaine de la résilience de bout en bout ».

Mais il y a un hic. Juste après la panne, Microsoft a déclaré qu'il ne pouvait pas légalement couper l'accès au noyau Windows comme le fait Apple, par exemple, en raison d'un accord conclu en 2009 avec la Commission européenne. Pour satisfaire les autorités antitrust européennes, Microsoft a accepté de donner à d'autres éditeurs de logiciels de sécurité le même accès à Windows que le sien. L'on ignore si la Commission serait disposée à réviser l'accord après la panne.

En attendant, Caspers pense que CrowdStrike et d'autres pourraient trouver d'autres options pour éviter l'accès au noyau Windows. « Cela ne devrait pas empêcher de modifier la conception des produits. Le BSI est convaincu qu'il est possible de trouver des solutions techniques solides qui respectent également la réglementation de l'UE pour résoudre le problème en question », a-t-il déclaré. Il n'a pas donné un exemple de conception possible pour éviter l'accès au noyau.

Selon Caspers, Microsoft fixe des règles sur la manière dont les autres tiers accèdent au noyau Windows et pourrait les modifier. Le BSI mise sur sa prochaine conférence, avec Microsoft, CrowdStrike et une cinquantaine d'autres entreprises de sécurité invitées, ainsi que ses homologues des cyberagences d'autres pays. « Si vous devez réagir dans un délai très court, ce type de discussions est sans aucun doute le moyen le plus efficace », a déclaré Caspers.

L'industrie des solutions de cybersécurité suit l'évolution de la situation avec attention

Le régulateur allemand n'est pas en mesure de forcer les entreprises à modifier la conception de leurs produits, dans le but de limiter l'accès au noyau. « Cependant, le BSI dispose de plus de pouvoirs légaux que son homologue américain, la Cybersecurity and Infrastructure Security Agency (CISA), vieille de six ans, n'a pas », explique Dennis-Kenji Kipker, directeur de recherche au sein du Cyberintelligence Institute (CII), un groupe de recherche à Francfort, en Allemagne.

Here’s the scary thing that’s likely to happen based on the facts of the day if we don’t pay attention. Microsoft, who competes with @CrowdStrike, will argue that they should lock all third-party security vendors out of their OS. “It’s the only way we can be safe,” they’ll…

— Matthew Prince 🌥 (@eastdakota) July 20, 2024

Le BSI peut, par exemple, émettre des avertissements sur les produits technologiques et créer des normes pour les agences gouvernementales. Depuis sa création il y a plus de 30 ans, le BSI a acquis une autorité croissante dans le cadre des lois allemandes et européennes sur le cyberespace. « Ce n'est pas comparable à la loi CISA aux États-Unis », a ajouté Kipker. Mais cela n'est pas suffisant pour forcer un changement radical dans la conception des outils de cybersécurité.

Le billet de Cable, de Microsoft, soulève la question de savoir si les efforts déployés par Microsoft pour sécuriser l'accès au noyau pourraient nuire aux éditeurs de logiciels tiers. Par exemple, les logiciels antivirus utilisent l'accès au niveau du noyau pour surveiller les changements malveillants apportés à Windows dès les premières étapes. Le blocage de l'accès au noyau Windows pourrait donc potentiellement rendre les produits de cybersécurité moins efficaces.

« Sans les privilèges du mode noyau, [les antivirus et les systèmes de détection et de réponse des points d'extrémité] sont extrêmement limités dans ce qu'ils peuvent faire. Mais nous ne pensons pas que Microsoft va vraiment révoquer l'accès au mode noyau pour les fournisseurs de sécurité », a déclaré le service de suivi des maliciels VX-Underground. Pour l'instant, Microsoft n'a pas encore évoqué publiquement les réformes qu'il envisage d'apporter à Windows.

Pour sa part, Matthew Prince, PDG de Cloudflare, a déjà mis en garde contre les effets d'un verrouillage plus poussé de Windows par Microsoft, qui devra donc prendre soigneusement en compte les besoins des fournisseurs de solutions de sécurité s'il souhaite opérer un véritable changement.

De son côté, Microsoft cherche à éviter les pannes similaires à celle de CrowdStrike à l'avenir en renforçant la sécurité et en préservant l’accès nécessaire aux éditeurs tiers. L’avenir de Windows sera-t-il plus fermé ? La firme de Redmond devra trouver un équilibre entre sécurité et flexibilité.

Sources : Microsoft (1, 2), Apple

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la question de l'accès au noyau Windows ?
Selon vous, Microsoft doit-il restreindre davantage l'accès au noyau ? Pourquoi ?
Quels seraient les impacts de ce changement sur le système d'exploitation ? Cela apportera-t-il plus de sécurité ?
Quels pourraient être les impacts d'un tel changement sur les fournisseurs de services de cybersécurité comme CrowdStrike ?
Selon vous, la Commission européenne doit-elle revoir sa position sur l'accès des tiers au noyau Windows après la débâcle de CrowdStrike ?

Voir aussi

Réforme de l'accès au noyau Windows : Microsoft cherche à renforcer la sécurité après l'incident avec CrowdStrike, Windows deviendra-t-il un système plus fermé, à l'instar de macOS d'Apple ?

Microsoft affirme que Delta a ignoré l'aide proposée par Satya Nadella concernant CrowdStrike et que les problèmes de Delta sont liés à son ancienne infrastructure informatique, et non à Windows

CrowdStrike accuse un bogue dans le logiciel de test d'avoir mis hors service 8,5 millions de machines Windows, car il n'a pas validé correctement la mise à jour du contenu qui a été diffusée sur les machines

[PomFritz]

Face à l'incompétence généralisée, ça panique chez les gratte-papier, zéro mise en perspective et Microsoft se frotte les mains. On dirait une communication du service marketing, pas d'experts.

[floyer]

Il y a beaucoup d’applications qui ont besoin d’un accès privilégié : pilotes (périphérique réels ou virtuel), antivirus, chiffrement de disque, firewall, probablement des éléments des machines virtuelles (virtual box).

Mais le problème concerne ici les mises à jour non testées. Mettre en place une sorte de sas où des machines représentatives essuient les plâtres des mises à jour, puis déploiement progressif aurait évité les problèmes. Alors bien sûr, il faut s’écarter du principe « installez le logiciel et on s’occupe de tout »

[Escapetiger]

La vision des choses de Mr Sterone, rien à commenter tout est dit:

CrowdStrike : les VRAIES raisons de l’effondrement

Il dit fort justement entre autre que la majorité du personnel IT technique est mis à la porte, internes comme externes, au seul bénéfice immédiat du coût salarial.

Il rajoute avec humour de demander au stagiaire d'interroger ChatGPT pour résoudre le problème.

Comme écrit plus haut (#133 par floyer) et cité par Aldo Stérone, Gestion du changement dans ITIL *, je vous laisse apprécier les exigences de véritables professionnels (dont vous, moi, faisions, font partie).


Gestion des changements (Wikipedia) :

Objectifs

Un changement a pour objectif de modifier, créer ou supprimer un des composants de l'infrastructure du système d'information, donc un ou plusieurs éléments de configuration. Ce changement doit être réalisé dans le respect des méthodes, procédures et processus standardisés. Il est aussi nécessaire de planifier et approuver la faisabilité avant la mise en œuvre. Il est aussi prévu de réaliser le suivi des changements, ainsi que d'en informer les services concernés.

La gestion des changements est probablement le processus le plus central dans la mesure où il garantit que les changements sont maitrisés, tracés et historisés.

Ainsi, la mise en œuvre du comité d'approbation des changements (CAB) lequel doit statuer sur tous les changements permet de réduire, voire d'éradiquer, les incidents liés aux changements insuffisamment gérés et/ou planifiés.

...

et également sur la toile par exemple:

1. Déterminez la tolérance au risque de votre organisation et planifiez en conséquence
2. Utilisez l'évaluation des risques basée sur les données pour adapter continuellement vos pratiques de gestion des changements
3. Assurez-vous que votre gestion des changements soit aussi simple que possible
4. Repensez le modèle CAB traditionnel
5. Utilisez des outils pour automatiser et perfectionner vos processus
6. Déployez progressivement des livraisons plus petites pour vous assurer que vos changements se passent bien
7. Considérez ITIL comme un ensemble de directives, et non de règles strictes et rapides
8. Donnez la priorité à la collaboration
9. Tirez parti de l'ingénierie du chaos et de la résilience
10. Choisissez des outils connus et appréciés de vos équipes de développement

Source: https://www.atlassian.com/fr/itsm/ch...best-practices
Top 10 des bonnes pratiques en matière de gestion des changements | Atlassian


* ITIL
pour « Information Technology Infrastructure Library », ou « Bibliothèque pour l'infrastructure des technologies de l'information » en français) est un ensemble d'ouvrages recensant les bonnes pratiques (« best practices ») du management du système d'information.

Compatible avec la démarche DevOps (cf. lien ci-dessus) :

• DevOps (développement logiciel (dev) et administration des infrastructures informatiques (ops))
• CI/CD ((Continuous Integration/Continuous Delivery) (intégration continue / livraison continue ou déploiement continu)

[OuftiBoy]

Je trouve normal que de meilleurs pratiques se mettent en place, je ne disais rien d'autre lorsque j'avais fait la remarque suivante dans un post précédent :

Il semble donc que pour des raisons de sécurité, Microsoft voulait adopter la bonne solution, mais la commission européenne (pour des raisons de concurrence), n'a pas autorisé Microsoft à sécuriser son OS comme cela aurait dû être le cas, ce qui était exactement ma position.

Cependant, le sauf lorsqu'elles créent des risques pour la sécurité. aurait dû permettre à Microsoft de d'écarter le "driver" de CrowdStrike en question de son OS. Pourquoi ne l'ont-ils pas fait ? Mystère. De plus, il n'y a pas que l'Europe qui a été touchée. Je ne comprend pas trop ce flou. Il y a certainement d'autres détails qui sortiront dans les jours qui viennent.

J'avais été étonné de voir que ce post n'avait pas été apprécié . Je ne sais toujours pas pourquoi, mais là n'est pas le soucis. Quoique, ce serait chouette d'expliquer à l'auteur d'un post pourquoi on ne partage son avis et/ou les erreurs qu'il a commise dans un post. J'essaye de le faire, même si ça prend un peu plus de temps. Personne n'est parfait et personne n'a la vérité. C'est en échangent et en argumentant qu'on progresse. Mais libre à chacun de faire comme il veut

Soit, il y avait donc bien des possibilités techniques pour qu'un problème de la sorte ne se produise pas. C'est apparemment un problème de "non culture de la sécurité" en générale qu'a Microsoft. Suite à cette histoire, ils ont placés la sécurité en tant que priorité N° 1 pour les primes et/ou augmentation de salaire. C'est une bonne chose. Je ne tape pas sur Microsoft en particulier, car j'ai bien peur que ce soit pareil dans nombre d'autres entreprises, petites ou grosses.

La sécurité devrait être la priorité N° 1 dans toutes les entreprises. Mais c'est difficile et ça coûte des sous

BàV et Peace & Love.

[PC241167]

Il dit fort justement entre autre que la majorité du personnel IT technique est mis à la porte, internes comme externes, au seul bénéfice immédiat du coût salarial.

c'est probablement le cas
si crosoft (et autres cies) voulaient mettre en priorité N°1 non pas le surprofit mais la qualité , ce genre de désastres pourrait être évité
j'imagine qu'il y a pas mal d'externalisation aussi ...

enfin bref nous ne connaitrons le fin mot de l’histoire que qd experts et tribunaux auront rendu leurs conclusions/statué.
pour l'heure aucune des deux Cies ne veut reconnaitre sa part de responsabilité (ou que très partiellement eu égard au procès qui va être enclenché de part et d'autre. (mauvaise com qui plus est : dans ce genre d’hypothèses, curieux que leurs avocats respectifs ne leur conseillent pas ce modus opérandi : "la justice sera probablement saisie et tranchera" )

[floyer]

Je l’ai pas l’impression qu’avec Crowdstrike il y ait une défaillance de Microsoft. Certes, il a laissé des accès au noyaux, mais on peut en dire de même pour Linux (utilisés pour des extensions comme driver Asterisk, autres drivers, intégration VirtualBox, Crowdstrike même, etc). Après c’est sûr que si cet accès est utilisé par un logiciel défaillant, les effets sont plus marqués (plantage complet). À charge normalement pour les développeurs de code en mode privilégié (ici Crowdstrike) d’avoir des protocoles de tests plus sévères.

Bon, le Graal serait un OS type SeL4 : vrai micronoyau très limité, preuves niveau EAL7 appliquées… mais même là, supposons que le module système de fichier soit défaillant, si tout repose dessus, une panne à un tel SPOF peut tout bloquer.

Et au delà de cela, les mises à jour poussées devraient être bannies… tests sur un échantillon représentatif puis généralisation.