Discussion :

[Stéphane le calme]

CrowdStrike dénonce les attaques « louches » de ses concurrents visant à effrayer ses clients et voler des parts de marché,
après la panne informatique mondiale provoquée par une mise à jour défectueuse

Suite à la panne informatique, les rivaux de CrowdStrike ont détecté une faille dans son armure. Les dirigeants de SentinelOne, un concurrent direct, ont accusé la conception et les processus de test des produits de CrowdStrike pour se positionner comme une alternative plus sûre. Michael Sentonas, président de CrowdStrike, a critiqué les efforts « louches » de ses rivaux en cybersécurité pour effrayer leurs clients et « voler » des parts de marché depuis la mise à jour logicielle ratée de juillet qui a provoqué une panne informatique mondiale. Sentonas a souligné que personne ne pouvait “techniquement” garantir que son propre logiciel ne provoquerait jamais un incident similaire.

Le président de CrowdStrike a dénoncé les efforts « louches » déployés par ses rivaux en matière de cybersécurité pour effrayer ses clients et leur voler des parts de marché au cours du mois qui s'est écoulé depuis que la mise à jour bâclée de son logiciel a provoqué une panne informatique mondiale.

Michael Sentonas a déclaré au Financial Times que les tentatives des concurrents d'utiliser la panne du 19 juillet pour promouvoir leurs propres produits étaient « malavisées ». Après avoir essuyé les critiques de ses concurrents, dont SentinelOne et Trellix, le dirigeant de CrowdStrike a déclaré qu'aucun fournisseur ne pouvait « techniquement » garantir que son propre logiciel ne provoquerait jamais un incident similaire.

« Notre secteur est fondé sur la confiance », a déclaré Sentonas. Les rivaux qui profitent de l'effondrement pour promouvoir leurs propres produits « se déprécient eux-mêmes car, en fin de compte, les gens connaissent très rapidement les faits à partir de commentaires peut-être douteux ».

La société texane CrowdStrike avait la réputation d'être la première ligne de défense de nombreuses grandes entreprises contre les cyberattaques, mais la notoriété de ses clients a exacerbé l'impact de l'interruption mondiale de juillet qui a mis hors service 8,5 millions d'appareils Windows.

Les assureurs ont estimé que les pertes liées à cette perturbation, qui a entraîné l'immobilisation de vols et la fermeture de systèmes hospitaliers, pourraient se chiffrer en milliards de dollars. Delta Air Lines, qui a annulé plus de 6 000 vols, a estimé que les pannes lui coûteraient 500 millions de dollars et a menacé de porter plainte.

Les avocats de CrowdStrike ont nié toute responsabilité dans l'ampleur de la perturbation subie par Delta et ont fait valoir que la responsabilité de l'entreprise technologique était plafonnée « à un seul chiffre de millions » par ses contrats. Sentonas n'a pas commenté la menace juridique, que l'entreprise a qualifiée de « gesticulation publique sur la possibilité d'intenter un procès sans fondement ».

La concurrence s'active

Les dirigeants de SentinelOne, un concurrent direct, ont rejeté la faute sur la conception du produit de CrowdStrike et sur les processus de test afin de se présenter comme une alternative plus sûre. Selon le magazine CRN, Tomer Weingarten, directeur général de SentinelOne, a déclaré que la panne mondiale était le résultat de « mauvaises décisions de conception » et d'une « architecture risquée » chez CrowdStrike.

Alex Stamos, responsable de la sécurité de l'information chez SentinelOne, a averti dans un message sur LinkedIn qu'il était « dangereux » pour CrowdStrike « de prétendre qu'un produit de sécurité aurait pu causer ce type de panne mondiale ». Trellix, qui est une société privée, a également assuré à ses clients qu'ils n'avaient pas à craindre un événement similaire. « Trellix a une philosophie différente de celle de CrowdStrike », a déclaré Bryan Palma, directeur général, sur LinkedIn. « Chez Trellix, nous adoptons une approche conservatrice ».

Allie Mellen, analyste chez Forrester, a déclaré que de nombreux fournisseurs « utilisaient les pannes pour vendre leurs propres produits », ajoutant que l'industrie de la sécurité, généralement collaborative, « désapprouve vraiment le fait de tirer sur l'ambulance ».

Les investisseurs ont parié que les rivaux de CrowdStrike, cotés en bourse, seraient en mesure de prendre l'avantage sur le marché encombré de la sécurité des terminaux, qui consiste à scanner les PC, les téléphones et d'autres appareils à la recherche de cyberattaques.

Les actions de SentinelOne, qui vaut 7,4 milliards de dollars, ont augmenté de 19 % au cours du mois qui a suivi les pannes, tandis que celles de Palo Alto Networks, qui vaut 120 milliards de dollars, ont augmenté de 13 %. CrowdStrike, qui vaut aujourd'hui 65 milliards de dollars, a perdu près d'un quart de sa valeur marchande depuis l'incident.

Le cabinet d'études informatiques Gartner estime que la part de CrowdStrike dans le chiffre d'affaires du marché de la sécurité des terminaux d'entreprise l'année dernière était la deuxième plus importante après Microsoft, qui regroupe ses produits avec d'autres outils de sécurité, et plus du double de celle de son plus proche rival, Trellix.

Nikesh Arora, directeur général de Palo Alto Networks, a déclaré lors d'une conférence téléphonique sur les résultats cette semaine que l'incident avait déjà incité certaines entreprises à chercher d'autres options. « C'est passionnant parce que les clients sont prêts à nous prendre en considération », a-t-il déclaré.

Pour se différencier, les petits concurrents de CrowdStrike se sont concentrés sur la manière dont leurs produits accèdent au noyau d'un système d'exploitation, qui contrôle l'ensemble de l'ordinateur. Un logiciel défectueux dans le noyau peut faire planter un système entier, comme l'ont montré les milliers d'« écrans bleus de la mort » qui ont frappé les ordinateurs Windows dans le monde entier en juillet.

Weingarten, de SentinelOne, a expliqué à CRN que les pannes étaient dues à « l'omniprésence du code introduit dans le noyau » par CrowdStrike, suggérant que l'introduction d'un plus grand nombre de codes dans le noyau multiplie les possibilités d'erreurs. D'autres entreprises, a-t-il ajouté, offrent « une protection incroyable sans avoir à insérer tout le code dans le noyau ».

Bien que CrowdStrike ait promis d'introduire de nouvelles vérifications et des mises à jour échelonnées afin d'éviter une répétition de la perturbation massive, M. Sentonas a déclaré que la présence continue de l'entreprise au sein du noyau était essentielle pour fournir une protection maximale contre les cyber-menaces.

« La raison pour laquelle nous sommes dans le noyau est que cela nous permet d'avoir une visibilité sur tout ce qui se passe dans le système », a-t-il déclaré. « Cela signifie que nous pouvons protéger le produit de sécurité. Cela signifie que nous pouvons opérer très rapidement - et c'est une méthode de travail très répandue dans l'industrie.

Les dirigeants de CrowdStrike ont déjà attaqué Microsoft après qu'elle a été touchée par une série de cyberincidents et de violations très médiatisés au cours des dernières années.

Toutefois, depuis la panne, Sentonas a tenté de donner une tournure positive à la relation entre CrowdStrike et Microsoft, qui, selon lui, « a été constamment au téléphone avec nous ». Il a également fait l'éloge de son rival Palo Alto Networks pour avoir lancé « une conversation mature sur la résilience ».

CrowdStrike accepting the @PwnieAwards for “most epic fail” at @defcon. Class act. pic.twitter.com/e7IgYosHAE

— Dominic White 👾 (@singe) August 10, 2024

CrowdStrike accepte un Pwnie Award pour « l'échec le plus épique » lors de la conférence Defcon

Les Pwnie Awards récompensent à la fois l'excellence et l'incompétence dans le domaine de la sécurité de l'information. Les gagnants sont sélectionnés par un comité de professionnels de l'industrie de la sécurité parmi les nominations recueillies auprès de la communauté de la sécurité de l'information. Les nominations sont annoncées chaque année lors de la Summercon, et les prix eux-mêmes sont décernés lors de la conférence Black Hat sur la sécurité.

La décision d’accorder ce prix à CrowdStrike a été prise à la dernière minute, car comment CrowdStrike aurait-il pu ne pas gagner ? Lorsqu’un trophée comiquement grand a été apporté sur scène sous les applaudissements nourris, Sentonas a admis que ce n’était « certainement pas le prix dont on peut être fier de recevoir ». Il a ajouté : « Parce que nous avons complètement échoué, nous l’avons dit à plusieurs reprises, il est très important de se féliciter lorsque vous faites bien les choses, mais il est également très important d’assumer lorsque vous faites complètement fausse route ».

Sentonas a déclaré qu’il ramènerait le trophée au siège de CrowdStrike et le mettrait en évidence comme un rappel que « notre objectif est de protéger les gens, et nous avons échoué ici, et je veux m’assurer que tout le monde comprenne que ces choses ne peuvent pas arriver ».

« Je suis absolument certain que nous deviendrons une organisation beaucoup plus forte à la suite d'un événement qui n'aurait jamais dû se produire », a-t-il déclaré. Beaucoup de [clients] disent : « En fait, vous allez être le produit de sécurité le plus éprouvé de l'industrie ».

Sources : Financial Times, CRN

Et vous ?

Capitalisation sur l'échec de CrowdStrike : que pensez-vous de la stratégie des entreprises concurrentes qui vantent leurs produits au détriment d'un autre ? Comprenez-vous la réaction de CrowdStrike ?
La confiance envers les entreprises de cybersécurité : pensez-vous que la confiance envers les entreprises de cybersécurité a été ébranlée par la panne mondiale de CrowdStrike ? Comment cela pourrait-il affecter leurs clients et leur adoption de nouvelles technologies de sécurité ?
Responsabilité des entreprises technologiques : qui devrait être tenu responsable lorsqu’une entreprise technologique provoque une panne mondiale ? Devrions-nous considérer cela comme une simple erreur ou exiger des normes plus strictes en matière de conception et de test de logiciels ?
Alternatives à CrowdStrike : quelles autres entreprises de cybersécurité considérez-vous comme des alternatives fiables à CrowdStrike ? Quelles sont leurs approches en matière de conception et de test de produits ?
Impact économique : comment évaluez-vous l’impact économique de la panne de CrowdStrike ? Pensez-vous que les pertes financières subies par des entreprises comme Delta Air Lines sont justifiées ?

[OrthodoxWindows]

CrowdStrike découvre qu'il vaut mieux tester une mise à jour avant de la déployer, surtout sur un logiciel qui se place à un stade critique de l'OS, sur un ordi utilisé pour un usage critique.
CrowdStrike découvre qu'en cas de problème grave, la seul confiance avec le client ne fonctionne plus.
Désormais CrowdStrike découvre qu'il existe un système concurrentiel, où chaque concurrent attend qu'un concurrent fasse une connerie.

Bientôt CrowdStrike découvrira qu'il est une entreprise spécialisé dans le domaine de la cybersécurité, dans un contexte d'économie capitaliste libérale.

Ah moins que CrowdStrike se foute tout simplement de la g**** du monde.

[Stéphane le calme]

Comment la cybersécurité doit-elle évoluer après la panne de CrowdStrike ? Microsoft organise un sommet à l'intention des entreprises,
pour discuter de l'amélioration de la résilience des logiciels

En juillet dernier, une mise à jour défectueuse du logiciel CrowdStrike a entraîné la panne de millions d’ordinateurs Windows dans le monde entier. Cette situation a eu des conséquences majeures, notamment l’annulation de milliers de vols par les compagnies aériennes et des retards dans les rendez-vous médicaux dans les hôpitaux. Face à cet incident, Microsoft a décidé d’organiser un sommet sur la cybersécurité en septembre.

Microsoft intensifie ses projets visant à rendre Windows plus résistant aux logiciels bogués, après qu'une mise à jour CrowdStrike bâclée a mis hors service des millions d'ordinateurs et de serveurs lors d'une panne informatique mondiale.

Le mois dernier, la grande enseigne de la technologie a intensifié ses discussions avec ses partenaires pour adapter les procédures de sécurité de son système d'exploitation afin de mieux résister au type d'erreur logicielle qui a provoqué la panne de 8,5 millions d'appareils Windows le 19 juillet. Les critiques affirment que tout changement de la part de Microsoft équivaudrait à une concession sur les lacunes de Windows en matière de gestion des logiciels de sécurité tiers, lacunes qui auraient pu être corrigées plus tôt.

Cependant, ces changements seraient également controversés parmi les fournisseurs de logiciels de sécurité, qui devraient apporter des modifications radicales à leurs produits, et obligeraient de nombreux clients de Microsoft à adapter leurs logiciels.

Les pannes du mois dernier, qui auraient causé des milliards de dollars de dommages après avoir cloué au sol des milliers de vols et perturbé les rendez-vous dans les hôpitaux du monde entier, ont renforcé l'attention des autorités de régulation et des chefs d'entreprise sur l'étendue de l'accès des éditeurs de logiciels tiers au cœur, ou noyau, des systèmes d'exploitation Windows.

Microsoft organisera le mois prochain un sommet réunissant des représentants du gouvernement et des entreprises de cybersécurité, dont CrowdStrike, afin de « discuter des mesures concrètes que nous prendrons tous pour améliorer la sécurité et la résilience de nos clients communs », a déclaré Microsoft vendredi.

Tirer des leçons de l'échec

« Le 10 septembre 2024, Microsoft organisera un sommet de l'écosystème de sécurité des points finaux Windows à son siège de Redmond, Washington. Microsoft, CrowdStrike et des partenaires clés qui fournissent des technologies de sécurité des points finaux se réuniront pour discuter de l'amélioration de la résilience et de la protection de l'infrastructure critique des clients mutuels. Notre objectif est de discuter des mesures concrètes que nous prendrons tous pour améliorer la sécurité et la résilience de nos clients communs.

« La panne de CrowdStrike en juillet 2024 nous permet de tirer d'importants enseignements en tant qu'écosystème. Nos discussions porteront sur l'amélioration de la sécurité et des pratiques de déploiement sûres, la conception de systèmes pour la résilience et la collaboration en tant que communauté prospère de partenaires pour mieux servir les clients aujourd'hui et à l'avenir.

« Outre les partenaires de l'écosystème, Microsoft invitera des représentants du gouvernement afin d'assurer le plus haut niveau de transparence à la collaboration de la communauté en vue de fournir une technologie plus sûre et plus fiable pour tous. Le sommet de l'écosystème Windows Endpoint Security devrait déboucher sur des actions et des initiatives à court et à long terme, l'objectif collectif étant d'améliorer la sécurité et la résilience. Nous ferons le point sur ces discussions à l'issue de l'événement ».

Plusieurs options sont envisagées

Microsoft a déclaré envisager plusieurs options pour rendre ses systèmes plus stables et a souligné qu'il n'est pas exclu de bloquer complètement l'accès au noyau Windows (une option dont certains rivaux craignent qu'elle ne désavantage leurs logiciels par rapport au produit de sécurité interne de l'entreprise, Microsoft Defender). « Tous les concurrents craignent que [Microsoft] n'en profite pour préférer ses propres produits aux alternatives tierces », a déclaré Ryan Kalember, responsable de la stratégie de cybersécurité chez Proofpoint.

Exiger de nouvelles procédures de test

Microsoft pourrait également exiger de nouvelles procédures de test de la part des fournisseurs de cybersécurité plutôt que d'adapter le système Windows lui-même.

Apple, qui n'a pas été touché par les pannes, empêche tous les fournisseurs tiers d'accéder au noyau de son système d'exploitation MacOS, les obligeant à fonctionner en mode « utilisateur », plus limité. Microsoft a précédemment déclaré ne pas être en mesure de faire de même, après avoir conclu un accord avec la Commission européenne en 2009 selon lequel elle donnerait à des tiers le même accès à ses systèmes que celui de Microsoft Defender.

Certains experts ont toutefois déclaré que cet engagement volontaire envers l'UE n'avait pas lié les mains de Microsoft comme il le prétendait, arguant que l'entreprise avait toujours été libre d'apporter les changements envisagés. « Il s'agit de décisions techniques de Microsoft qui ne faisaient pas partie [de l'accord] », a déclaré Thomas Graf, un associé de Cleary Gottlieb à Bruxelles qui a participé à l'affaire.

Bloquer l'accès au noyau

« Le texte [de l'accord] ne les oblige pas à donner accès au noyau », a ajouté AJ Grotto, ancien directeur principal de la politique de cybersécurité à la Maison Blanche. Grotto a déclaré que Microsoft avait sa part de responsabilité dans les perturbations de juillet, car les pannes n'auraient pas été possibles sans sa décision d'autoriser l'accès au noyau.

Néanmoins, bien qu'il puisse renforcer la résilience d'un système, le blocage de l'accès au noyau pourrait également entraîner de « véritables compromis » pour la compatibilité avec d'autres logiciels qui a rendu Windows si populaire auprès des clients professionnels, a déclaré Allie Mellen, analyste chez Forrester. « Il s'agirait d'un changement fondamental pour la philosophie et le modèle commercial de Microsoft », a-t-elle ajouté.

Le fait d'opérer exclusivement en dehors du noyau peut réduire le risque de déclencher des pannes massives, mais cela est également « très contraignant » pour les fournisseurs de sécurité et pourrait rendre leurs produits « moins efficaces » contre les pirates informatiques, a ajouté Mellen. Le fait d'opérer au sein du noyau donne aux entreprises de sécurité plus d'informations sur les menaces potentielles et permet à leurs outils défensifs de s'activer avant que les logiciels malveillants ne s'installent, a-t-elle ajouté.

Reproduire le modèle utilisé par Linux

Une autre option consisterait à reproduire le modèle utilisé par le système d'exploitation libre Linux, qui utilise un mécanisme de filtrage créant un environnement séparé au sein du noyau dans lequel les logiciels, y compris les outils de cyberdéfense, peuvent être exécutés. Mais la complexité de la refonte de la manière dont les autres logiciels de sécurité fonctionnent avec Windows signifie que tout changement sera difficile à contrôler pour les régulateurs et que Microsoft sera fortement incité à favoriser ses propres produits, ont déclaré des rivaux.

Cela « semble bien sur le papier, mais le diable est dans les détails », a déclaré Matthew Prince, directeur général du groupe de services numériques Cloudflare.

Un changement qui ne résoudra qu'un « faible pourcentage du problème », selon un cadre de Microsoft

Ce dernier a requis l'anonymat parce qu'il n'est pas l'autorisation de discuter publiquement de questions internes. Il a déclaré que les participants au Windows Endpoint Security Ecosystem Summit étudieront la possibilité de faire en sorte que les applications s'appuient davantage sur une partie de Windows appelée mode utilisateur plutôt que sur le mode noyau, plus privilégié.

Les développeurs de logiciels de CrowdStrike, Check Point, SentinelOne et d'autres acteurs du marché de la protection des points finaux dépendent actuellement du mode noyau. Cet accès permet à SentinelOne de « surveiller et d'arrêter les mauvais comportements et d'empêcher les logiciels malveillants de désactiver les logiciels de sécurité », a déclaré un porte-parole.

Les applications en mode utilisateur sont isolées, ce qui signifie que si l'une d'entre elles tombe en panne, elle n'entraînera pas l'arrêt des autres. En revanche, une application en mode noyau qui tombe en panne peut entraîner le blocage de l'ensemble de Windows. Le 19 juillet, CrowdStrike a publié une mise à jour boguée de la configuration du contenu de son capteur Falcon pour les ordinateurs Windows, dans le but de recueillir des données sur les nouvelles attaques, ce qui a provoqué des pannes au niveau du système d'exploitation. Les administrateurs informatiques ont redémarré un à un les PC qui avaient reçu la mise à jour et qui affichaient un « écran bleu de la mort ».

Le cadre de Microsoft a déclaré que la suppression de l'accès au noyau de Windows ne résoudrait qu'un faible pourcentage des problèmes potentiels. Ces dernières années, Apple a limité l'accès au noyau dans macOS et l'entreprise décourage les développeurs d'utiliser des extensions du noyau.

Les participants à l'événement organisé par Microsoft le 10 septembre discuteront également de l'adoption de la technologie eBPF, qui vérifie que les programmes s'exécutent sans provoquer de pannes du système, et des langages de programmation à mémoire sécurisée tels que Rust, a déclaré le cadre. L'année dernière, Microsoft a fait don d'un million de dollars à la fondation à but non lucratif Rust, qui verse des allocations aux personnes travaillant sur ce langage.

Microsoft est en concurrence avec CrowdStrike avec son produit Defender for Endpoint. L'équipe de CrowdStrike participera à la conférence comme toute autre entreprise de cybersécurité et ne bénéficiera pas d'un traitement de faveur, a déclaré le cadre.

Conclusion

En définitive, ce sommet vise à tirer des leçons de la panne causée par CrowdStrike et à renforcer la sécurité des systèmes Windows pour éviter de tels incidents à l’avenir en rendant Windows plus résilient face aux erreurs logicielles. Apple, par exemple, bloque l’accès au noyau de son système d’exploitation MacOS pour les fournisseurs tiers, les obligeant à fonctionner en mode utilisateur plus limité. L'exercice est délicat : Microsoft devra trouver un équilibre entre la sécurité et la compatibilité avec les produits tiers, une situation que les régulateurs et l'industrie de la cybersécurité observent avec le plus grand intérêt.

Source : Microsoft

Et vous ?

Quelle est votre opinion sur l’accès au noyau (kernel) de Windows par les logiciels tiers ? Pensez-vous que Microsoft devrait bloquer complètement cet accès pour renforcer la stabilité du système, ou est-ce une mesure trop restrictive ?
Comment évaluez-vous la réaction de Microsoft face à la panne causée par CrowdStrike ? Trouvez-vous que l’organisation a agi de manière proactive en organisant ce sommet sur la cybersécurité, ou aurait-elle pu faire plus ?
Quelles sont les implications pour la sécurité des utilisateurs et des entreprises lorsque des mises à jour logicielles défectueuses se produisent ? Comment pouvons-nous mieux protéger nos systèmes contre de telles situations à l’avenir ?
Pensez-vous que les fournisseurs tiers de sécurité devraient avoir un accès privilégié au noyau de Windows ? Quels avantages et inconvénients cela pourrait-il entraîner ?
Quelles autres mesures de sécurité pourraient être mises en place pour éviter des incidents similaires à l’avenir ? Avez-vous des idées ou des suggestions ?

[floyer]

Même avec un système bien compartimenté (pas d’accès au noyau), un logiciel qui assurerait la validation de tout exécutable (contrôle antivirus…) avant exécution pourrait être SPOF.
L’idée de restreindre à des languages moins permissifs (Rust) me semble assez intéressant en revanche.

[NotABread]

Bon, alors il va falloir accepter qu'un logiciel peut planter, et si c'est au niveau du noyau, il entraine le système d'exploitation avec lui. C'est comme ça que ça marche, c'est un risque très connu et installer un programme s'exécutant au niveau du noyau, c'est accepter ce risque.
Le problème de cet histoire, c'est juste qu'il faut un fautif et que tout le monde va se renvoyer la balle en cherchant à grappiller du terrain:
- Les compagnies aériennes vont dire que c'est de la faute de Crowdstrike et Microsoft pour respectivement avoir pousser un logiciel qui plante et avoir un OS pas assez robuste
- Microsoft dira que c'est de la faute de l'EU de l'avoir empêcher de fermer l'accès au noyau
- Crowdstrike dira certainement qu'avec une meilleure politique de déploiement de MAJ, ces client auraient pu éviter une paralysie de leur système informatique

La pire solution pour moi est le blocage des accès noyau sauf ceux approuvé:
bien que ça va certainement rendre plus difficile l'exécution de malware au niveau noyau, ça va forcément réduire la concurrence puisque Microsoft fera payer l'accès et cela ne garantira pas la stabilité du programme

Passer à une API dans un langage garantissant la sécurité de la mémoire comme Rust ou implémenter un système similaire à celui de Linux va être un coût non anodin pour tous, mais à long terme pourrait grandement améliorer la stabilité de l'écosystème.

[floyer]

@NotABread plutôt d’accord, sauf que «*Crowdstrike dira certainement qu'avec une meilleure politique de déploiement de MAJ, ces client auraient pu éviter une paralysie de leur système informatique«*en effet, Crowdstrike vend un service «*cloud*»… comme cela est affiché dans leur publicité. Donc les clients sont à la merci d’effets de bord de mises à jour sans forcément les moyens de soumettre les mises à jours à des validations.

[NotABread]

C'est vrai ^^'
Mais ils n'admettront jamais que c'est de leur faute. Ils diront que untel aurait pu faire ceci pour éviter le problème pour laisser le doute sur la responsabilité jusqu'à qu'une action en justice tranche sur le sujet

[Choucas35]

En réalité, W est mal pensé dès DOS et maintenu dans cette précarité depuis.
Déjà, à l'époque, existait les Unix, Multics ... qui étaient "secure".
Mais il fallait faire du cash !!!
Vive les OS issus de cette racine dont LINUX et Ubuntu, même si les snap ne sont pas encore parfaits

[floyer]

N’importe quel OS qui permet des extensions en mode noyau s’expose à ce risque. Les différents OS type UNIX n’y échappent pas. (D’ailleurs une mise à jour de Crowdstrike a provoqué des kernel panic sur Linux).

L’architecture de Windows depuis NT n’a rien à voir avec DOS, contrairement à ce que tu sembles dire.

L’approche qui changera vraiment quelque chose est le micronoyau (Mach, QNX, SeL4…) et encore, si un module est un SPOF (typiquement un système de fichier), un défaut dans ce module compromet le fonctionnement du système. Cette approche pourrait rogner un peu les performances… mais pour des applications critiques, pourquoi pas. (Cela me rappelle l’arrivée d’OS/2 où la presse s’indignait oh là là, on perd 2% de performances par rapport à un OS non sécurisé)

Et le principe de mise à jour automatique est vraiment le cœur du problème. Imaginons Oracle « pousser » une nouvelle pile Java à l’insu des développeur et exploitant… même si elle ne tourne qu’en mode utilisateur, cela peut bloquer beaucoup d’applications potentiellement critiques.

[Jade Emy]

CrowdStrike estime que la panne mondiale a laissé un trou de 60 millions de dollars dans ses ventes, après que sa gestion bâclée d'une mise à jour logicielle a déclenché un effondrement technologique.

CrowdStrike estime que l'effondrement technologique provoqué par sa maladresse a laissé un trou de 60 millions de dollars dans ses ventes. Même si sa gestion bâclée d'une mise à jour logicielle a déclenché ces pertes, CrowdStrike se dit être encore en mesure de conclure ces contrats avant la fin de l'exercice fiscal en janvier 2025.

Le 19 juillet 2024, une panne informatique mondiale a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan. Les écrans bleus de la mort ont perturbé le fonctionnement normal des machines Windows.

L’entreprise de cybersécurité américaine CrowdStrike a reconnu être à l’origine de ces problèmes. Le directeur général de CrowdStrike, George Kurtz, a confirmé qu'un "défaut" dans une mise à jour de contenu pour les hôtes Windows était à l'origine de la panne, excluant une cyberattaque. L'etreprise avait essayé d'identifier et de résoudre rapidement le problème.

Les retombées de l'incident sont lourdes, notamment pour CrowdStrike. Le spécialiste de la cybersécurité CrowdStrike Holdings a estimé récemment qu'il avait absorbé une perte d'environ 60 millions de dollars dans son chiffre d'affaires le mois dernier, après que sa gestion bâclée d'une mise à jour logicielle a déclenché une panne technologique qui a bloqué des milliers de personnes dans les aéroports, en plus d'autres perturbations exaspérantes.

Bien que la panne massive ait effrayé les clients qui devaient conclure des contrats d'une valeur totale de 60 millions de dollars au cours des dernières semaines du deuxième trimestre fiscal de CrowdStrike, les dirigeants de l'entreprise d'Austin (Texas) ont prédit qu'ils seraient encore en mesure de conclure ces contrats avant la fin de l'exercice fiscal en janvier 2025 parce que les clients ont toujours confiance dans ses produits de cybersécurité malgré la gaffe du 19 juillet qui a gelé les machines fonctionnant avec le logiciel Windows.

"Notre mission est bien vivante et je sais que les meilleurs jours de CrowdStrike sont devant nous", a déclaré George Kurtz, PDG de CrowdStrike, aux analystes lors d'une conférence téléphonique couvrant la période d'avril à juillet. Il s'est également excusé pour le rôle joué par l'entreprise dans une panne qui, a-t-il dit, "ne sera jamais perdue pour moi, et mon engagement est de faire en sorte que cela ne se reproduise plus jamais. Les jours qui ont suivi l'incident ont été parmi les plus difficiles de ma carrière, car j'ai profondément ressenti ce que nos clients ont vécu."

Les commentaires rassurants de M. Kurtz, associés à des bénéfices trimestriels supérieurs aux prévisions des analystes, ont semblé rassurer les investisseurs qui ont racheté les actions de CrowdStrike ces dernières semaines, après les avoir initialement abandonnées à la suite des dégâts que l'entreprise a attribués à un bogue informatique.

Les actions ont légèrement augmenté dans les échanges prolongés du 28 août, laissant le prix de l'action 13% en dessous de son niveau avant la panne technologique - une perte d'environ 10 milliards de dollars en valeur de marché. Au début du mois, les actions de CrowdStrike ont plongé de près de 25 %, entraînant une perte de plus de 20 milliards de dollars en valeur de marché.

Même si les 60 millions de dollars de contrats que CrowdStrike espérait conclure avant la panne ne se concrétisent pas, ce sera un prix mineur à payer comparé aux factures colossales auxquelles sont confrontées les personnes touchées par la panne.

Source : CrowdStrike

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

CrowdStrike est poursuivie par des actionnaires suite à la panne mondiale, pour sa technologie matériellement fausse et trompeuse, après la chute de 32% de l'action, oblitérant 25 milliards $ de valorisation

Comment la cybersécurité doit-elle évoluer après la panne de CrowdStrike ? Microsoft organise un sommet à l'intention des entreprises pour discuter de l'amélioration de la résilience des logiciels

Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars, mais il est plus difficile de savoir qui paiera la facture

[Escapetiger]

L’approche qui changera vraiment quelque chose est le micronoyau (Mach, QNX, SeL4…) et encore, si un module est un SPOF (typiquement un système de fichier), un défaut dans ce module compromet le fonctionnement du système.

,

« Un système à micro-noyaux est un système d'exploitation dont la majeure partie des services sont placés dans l'espace utilisateur — donc à l'extérieur du noyau, devenu minimaliste —, ce dernier (le micronoyau) ne conservant qu'un petit nombre de fonctions fondamentales. »

Source: https://fr.wikipedia.org/wiki/Micronoyau#Informatique

Systèmes à micro-noyaux

Ce principe a de grands avantages théoriques : en éloignant les services « à risque » des parties critiques du système d’exploitation regroupées dans le noyau, il permet de gagner en robustesse et en fiabilité, tout en facilitant la maintenance et l’évolutivité. En revanche, les mécanismes de communication (IPC), qui deviennent fondamentaux pour assurer le passage de messages entre les serveurs, sont très lourds et peuvent limiter les performances...

&

Point de défaillance unique

Un point de défaillance unique (single point of failure ou SPOF en anglais) est un point d'un système informatique dont le reste du système est dépendant et dont une panne entraîne l'arrêt complet du système ...

[floyer]

Ceci dit on lit au sujet de L4 :

Les nombreuses améliorations apportées à ceux-ci et leurs successeurs ont depuis permis d'accroître considérablement la vitesse de ces anciens noyaux pour en arriver ensuite aux micronoyaux actuels.

Je serais curieux de connaître les performances comparée des différentes approches.

On a des éléments de réponse ici : https://citeseerx.ist.psu.edu/docume...afb5e38da9f6a7 (Mais L4Linux bien qu’il s’appuie sur un micro-noyau reste monolithique, MkLinux s’appuie sur Mach moins optimisé : on a logiquement de moins bonnes performances).

On a aussi https://www.phoronix.com/review/debian-hurd-2015 (Hurd est plus modulaire mais basé aussi sur Mach plus ancien que L4).

Dans le genre approche originale, il y a l’unikernel… un noyau spécialisé qui comprend tout ce dont il a besoin (y compris l’application à faire tourner), mais développé avec l’application dans un language ne permettant pas des kernel panic, corruption d’un module par un autre, etc. https://mirage.io/

[Jade Emy]

CrowdStrike, l'entreprise de cybersécurité, est confrontée à une vague de poursuites judiciaires à la suite de la panne mondiale, Delta réclame jusqu'à 500 millions de dollars.

CrowdStrike, l'entreprise de cybersécurité, est confrontée à une vague de poursuites judiciaires à la suite d'une défaillance majeure d'une mise à jour logicielle qui a eu des répercussions sur des entreprises du monde entier. L'affaire la plus médiatisée est celle de Delta, qui réclame à CrowdStrike jusqu'à 500 millions de dollars de dommages et intérêts. Les procès individuels pourraient se regrouper en une action collective contre CrowdStrike.

Le 19 juillet 2024, une panne informatique mondiale a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan.

Le PDG de Delta, Ed Bastien, a critiqué Microsoft pour cette panne, la qualifiant de "plateforme probablement la plus fragile", tout en louant la fiabilité d'Apple. Malgré ces propos sévères, M. Bastian a affirmé que Delta poursuivait son partenariat avec Microsoft, tout en soulignant la nécessité pour Microsoft de faire preuve d'une plus grande vigilance.

De son côté, l'entreprise de cybersécurité CrowdStrike est confrontée à une vague de poursuites judiciaires à la suite de la panne mondiale provoquée par une défaillance de sa mise à jour. L'affaire la plus médiatisée est celle de Delta, qui réclame à CrowdStrike jusqu'à 500 millions de dollars de dommages et intérêts. La compagnie aérienne a fait appel au célèbre avocat David Boies, connu pour son travail avec Theranos, Harvey Weinstein et Al Gore, pour mener sa bataille juridique.

La faille logicielle, qui affecte principalement les machines Windows, a donné lieu à de nombreuses actions en justice. Avant l'action en justice de Delta, des actionnaires avaient déjà intenté une action collective, accusant CrowdStrike de les avoir induits en erreur au sujet de ses procédures de mise à jour logicielle.

CrowdStrike a fait appel à Quinn Emanuel Urquhart & Sullivan pour se défendre contre ces actions en justice, ce qui témoigne de la gravité de la situation. Bien que Microsoft soit impliqué de manière indirecte en raison de l'impact de la mise à jour sur Windows, c'est CrowdStrike qui fait l'objet de la plus grande attention de la part de la justice.

Rob Wilkins de Jones Foster, qui copréside le département des litiges complexes et de la résolution des conflits du cabinet, note que les limites contractuelles des dommages-intérêts dans les accords sur les logiciels d'entreprise pourraient jouer un rôle crucial. Toutefois, le fait que Delta invoque une négligence grave ou une faute intentionnelle pourrait permettre de contourner ces limites. Delta a connu une interruption de service de cinq jours, contre trois jours pour United, mais CrowdStrike estime que les systèmes internes de Delta peuvent également avoir contribué à la panne.

Le défi pour Delta et les autres plaignants est de prouver qu'il y a eu négligence grave, une exigence élevée qui nécessite de démontrer une fausse déclaration intentionnelle ou des lacunes importantes dans les procédures de sécurité. Les actionnaires ont également du mal à démontrer que CrowdStrike les a trompés sur ses pratiques de test de logiciels.

Wilkins prévoit que les procès individuels se regrouperont probablement en une action collective en raison de la complexité et du coût des affaires séparées. Les recours collectifs débouchent souvent sur un procès de type "bellwether", où une affaire sert de test pour les autres, ce qui pourrait orienter les futurs règlements. Les compagnies d'assurance pourraient également jouer un rôle, en cherchant éventuellement à récupérer les coûts auprès de CrowdStrike.

Au-delà des implications financières, c'est la réputation de CrowdStrike qui est en jeu. La résolution rapide de ces questions juridiques par l'entreprise sera cruciale pour maintenir ses relations avec ses actionnaires et ses clients. Selon M. Wilkins, CrowdStrike se prépare à une défense vigoureuse, mais la résolution de la situation à l'amiable sera essentielle pour le succès futur de l'entreprise.

Source : Delta

Et vous ?

Pensez-vous que ces poursuites sont crédibles ou pertinentes ?
Quel est votre avis sur le sujet ?

Voir aussi :

Microsoft affirme que Delta a ignoré l'aide proposée par Satya Nadella concernant CrowdStrike et que les problèmes de Delta sont liés à son ancienne infrastructure informatique, et non à Windows

Delta Air Lines a engagé un cabinet d'avocats pour demander une indemnisation à Microsoft et CrowdStrike, à la suite d'une panne informatique mondiale et de l'annulation de plus de 6 000 vols

CrowdStrike estime que la panne mondiale a laissé un trou de 60 millions de dollars dans ses ventes, après que sa gestion bâclée d'une mise à jour logicielle ait déclenché un désastre

[floyer]

Un procès est jouable... d'autant que :

CrowdStrike warrants to you that it will perform all Services in a professional and workmanlike manner consistent with generally accepted industry standards.

Bon, "generally accepted standard" peut être imprécis, mais vu leur négligence.

Mais si c'est requalifié en produit :

8.2 Product Warranty. If Customer has purchased a Product, CrowdStrike warrants to Customer during the applicable Subscription/Order Term that: (i) the Product will operate without Error; and (ii) CrowdStrike has used industry standard techniques to prevent the Products at the time of delivery from injecting malicious software viruses into your Endpoints where the Products are installed. You must notify CrowdStrike of any warranty claim during the Subscription/Order Term. Your sole and exclusive remedy and the entire liability of CrowdStrike for its breach of this warranty will be for CrowdStrike, at its own expense to do at least one of the following: (a) use commercially reasonable efforts to provide a work-around or correct such Error; or (b) terminate your license to access and use the applicable non-conforming Product and refund the prepaid fee prorated for the unused period of the Subscription/Order Term.

La garantie est forte aussi (industry standard technique), mais l'engagement est juste limité à un effort raisonnable pour corriger l'erreur.

[Mathis Lucas]

CrowdStrike déclare qu'aucun client n'a encore poursuivi l'entreprise et espère que les menaces juridiques s'estomperont avec le temps
après la panne mondiale provoquée par sa mise à jour défectueuse

Le directeur financier de CrowdStrike, Burt Podbere, a révélé que les retombées de la panne informatique majeure du 19 juillet sont loin d'être terminées. Il a reconnu que les clients ont été frustrés au lendemain de la panne, mais ont ensuite apprécié la transparence et la rapidité de résolution de CrowdStrike. Il a déclaré que CrowdStrike n'a pas encore fait l'objet de poursuites judiciaires malgré les pertes financières causées aux clients et les annulations massives de vols. Il espère également que les menaces juridiques s'estomperont avec le temps. Mais CrowdStrike pourrait être poursuivi par les clients tels que Delta Air Lines et les régulateurs de divers pays.

CrowdStrike espère qu'il ne sera pas poursuivi en justice après la panne de juillet

Des entreprises du monde entier ont été confrontées le 19 juillet au redoutable écran bleu de la mort (BSOD) de Windows après une mise à jour défectueuse lancée par CrowdStrike. L'incident a perturbé les services Internet, affecté 8,5 millions d'appareils Microsoft Windows et provoqué des annulations massives de vols, paralysant de nombreuses entreprises de nombreux secteurs. Certaines entreprises ont subi des pertes financières importantes. Depuis, CrowdStrike est confronté à une pression croissante en raison de l'effondrement du système informatique mondial et des menaces juridiques qui pèsent sur lui.

Lors d'une récente conférence technologique organisée par Citi, le directeur financier de CrowdStrike a déclaré que la société essaie d'entamer un dialogue avec les clients mécontents à la suite de la panne de juillet. « À court terme, les gens ont été contrariés », a-t-il déclaré. Podbere a ajouté que « les clients se sont repris et ont apprécié les efforts de CrowdStrike pour expliquer les perturbations liées à sa mise à jour défectueuse et les remettre en marche ».

Cependant, il a semblé éluder les questions sur les récents changements apportés aux prévisions de l'entreprise, notamment la réduction de ses prévisions pour l'ensemble de l'année en raison des mesures d'incitation liées à un programme d'engagement des clients. Podbere n'a pas non plus mentionné le tollé provoqué par les cartes-cadeaux UberEats de 10 $, qui ont été distribués aux partenaires et aux coéquipiers au moment où le chaos s'est installé.

Podbere a également déclaré : « à ma connaissance, aucun client n'a intenté de procès contre nous à la suite de cet incident ». Le spectre de poursuites judiciaires imminentes plane toutefois sur l'entreprise et il est difficile de ne pas imaginer que les avocats aiguisent leurs griffes. Le mois dernier, par exemple, Delta Air Lines a fait entendre de sombres rumeurs, menaçant d'intenter une action en justice contre CrowdStrike pour négligence grave présumée.

Ed Bastian, PDG de Delta Air Lines, a demandé à CrowdStrike et à Microsoft de dédommager la compagnie pour les 500 millions de dollars qu'elle a perdus à cause de la panne informatique. À l'époque, la direction de CrowdStrike a réitéré ses excuses en déclarant : « la prise de position publique sur la possibilité d'intenter un procès sans fondement contre CrowdStrike en tant que partenaire de longue date n'est constructive pour aucune des parties ».

Microsoft, quant à lui, a révélé que Delta a refusé son aide gratuite à plusieurs reprises et a même ignoré un courriel du PDG Satya Nadella à la direction de la compagnie. Delta affirme que la panne lui a coûté 500 millions de dollars à la suite de l'annulation de plus de 6 000 vols, mais Microsoft réfute ces allégations. Microsoft a également suggéré que les problèmes rencontrés de Delta pourraient être liés à l'infrastructure vieillissante de la compagnie.

CrowdStrike très critiqué pour ses pratiques laxistes en matière de cybersécurité

Le PDG de Delta a qualifié Microsoft de "plateforme probablement la plus fragile" de l'écosystème informatique. Lors de la conférence, Podbere a déclaré : « nous ne savons pas comment tout cela va se terminer. Tout ce que nous faisons et essayons de faire, c'est d'éloigner la discussion juridique de notre interaction avec les clients et de la déplacer vers la discussion commerciale. Et avec le temps, cela devient plus facile, car nous nous éloignons de plus en plus du soleil, n'est-ce pas ? C'est ainsi que nous voyons les choses ». Malheureusement pour Podbere, les retombées de la panne ne sont pas près de s'estomper.

Les législateurs et les régulateurs américains veulent comprendre pourquoi la panne s'est produite. Un vice-président de la société a été appelé à témoigner devant la commission de la sécurité intérieure de la Chambre des représentants des États-Unis dans le courant du mois. Les actionnaires de CrowdStrike sont également mécontents et ont poursuivi le fournisseur de services de cybersécurité « pour sa technologie matériellement fausse et trompeuse ».

Au début de l'année, Podbere a indiqué lors d'une conférence téléphonique avec des analystes que les accords avec les clients de l'entreprise contenaient des limitations de responsabilité et que l'entreprise détenait des polices d'assurance et maintenait des réserves de liquidités pour atténuer les effets d'éventuelles réclamations juridiques. Cependant, les investisseurs ont continué à faire baisser le cours de l'action de CrowdStrike en réaction à la panne.

Parallèlement, Crowdstrike devrait participer à un sommet organisé par Microsoft le mois prochain afin de discuter des mesures concrètes à prendre pour améliorer la sécurité et la résilience de leurs clients communs. Le géant de la technologie intensifie ses projets visant à rendre Windows plus résistant aux logiciels bogués. Microsoft pourrait de nouveau envisager de réformer l'accès au noyau Windows et limiter l'accès des entreprises tierces telles que CrowdStrike.

Selon un rapport publié le mois dernier par le Wall Street Journal, pour l'agence allemande de cybersécurité, il est important de tirer des leçons de cet incident et saisir l'occasion pour redéfinir l'interaction entre les produits de sécurité et les systèmes d'exploitation. L'agence allemande de cybersécurité vise spécifiquement l'accès que Microsoft accorde aux prestataires de services de sécurité à son noyau Windows, une partie critique de son système d'exploitation.

Malgré cela, à la fin du mois d'août, l'entreprise a déclaré que son chiffre d'affaires avait augmenté de 32 % par rapport à la même période de l'année dernière. Podbere affirme que la réaction de CrowdStrike à la panne majeure de juillet avait en fait encouragé les clients à rester fidèles. Il a déclaré : « ils ont vu une entreprise qui a tendu la main à ses clients, qui n'a pas essayé de se cacher, qui s'est montrée à la hauteur. Ils ont donc apprécié cette attitude ».

CrowdStrike aurait commis une erreur qu'un débutant en programmation apprend à éviter

CrowdStrike a publié son analyse des causes racines (RCA) de la mise à jour logicielle défectueuse à l'origine de la panne informatique la plus importante de l'histoire. Selon les experts, CrowdStrike doit se sentir "très embarrassé" après avoir publié son analyse, car il s'agit d'une erreur que les étudiants en programmation de première année apprennent à éviter. Le rapport de 12 pages confirme l'origine du problème : un seul capteur non détecté.

L'accès privilégié de Falcon

CrowdStrike propose des produits de sécurité pour Internet et contre les ransomwares et les maliciels, presque exclusivement aux entreprises et aux grandes organisations. La panne géante a été déclenchée par son logiciel de détection Falcon, qui est installé pour détecter les menaces et aider à les bloquer. Sigi Goode, professeur de systèmes d'information à l'Australian National University, a déclaré que le logiciel de sécurité Falcon disposait d'un accès très privilégié.

Il se situe au niveau de ce que l'on appelle le noyau de Windows. « Il est aussi proche que possible du moteur qui alimente le système d'exploitation. Le mode kernel observe en permanence ce que vous faites et écoute les requêtes des applications que vous utilisez, et les traite de manière transparente », note Goode. Il décrit le mode kernel comme la police de la circulation à côté de laquelle Falcon est assis, en disant : « je n'aime pas l'aspect de ce véhicule, nous devrions y jeter un coup d'œil ».

Le capteur 21 coupable

CrowdStrike met constamment Falcon à jour. Le 19 juillet, il a envoyé une mise à jour "Rapid Response Content" à certains hôtes Windows. Dans la RCA, CrowdStrike a évoqué "un incident du canal 291", au cours duquel une nouvelle capacité a été introduite dans les capteurs de Falcon. Les capteurs sont comme une voie d'accès aux preuves, qui indique le type d'activité suspecte à rechercher. Falcon examine une série de capteurs (indicateurs) pour voir si quelque chose ne va pas. Lorsque des mises à jour sont envoyées, il modifie l'emplacement ou le nombre de capteurs pour vérifier s'il y a une attaque potentielle.

Dans le cas présent, Falcon s'attendait à ce que la mise à jour comporte 20 champs de saisie, mais elle en comportait 21. C'est cette "discordance de comptage" qui a provoqué la panne géante. « L'interpréteur de contenu ne s'attendait qu'à 20 valeurs. Par conséquent, la tentative d'accès à la 21e valeur a produit une lecture de la mémoire hors limites au-delà de la fin du tableau de données d'entrée et a entraîné un plantage du système », indique le rapport.

Falcon étant étroitement intégré au cœur de Windows, sa défaillance a entraîné l'arrêt de l'ensemble du système et la survenue d'une panne de système (BSOD). Le professeur Goode a déclaré que l'une des façons les plus courantes de compromettre un système consistait à inonder la mémoire. Il s'agit essentiellement de dire à l'ordinateur de chercher quelque chose "hors limites". « Il cherchait quelque chose qui n'existait pas », a déclaré le professeur Goode.

Cette panne mondiale souligne l’importance de la vigilance en matière de cybersécurité et de la nécessité de mettre en place des protocoles de gestion des mises à jour. Les entreprises doivent investir dans des solutions de sécurité robustes et communiquer efficacement avec leurs clients pour réduire les perturbations en cas de défaillance du système. Elle met également en exergue la vulnérabilité des solutions basées sur le cloud, qui peuvent entraîner un effet boule de neige.

Source : Burt Podbere, directeur financier de CrowdStrike

Et vous ?

Quel est votre avis sur le sujet ?
Selon vous, quelle est la responsabilité de CrowdStrike dans la panne majeure du 19 juillet ?
Que pensez-vous de la gestion de la crise par CrowdStrike ? Pourquoi l'entreprise semble-t-elle échapper aux poursuites ?
Pensez-vous que Crowdstrike ne fera finalement pas l'objet de poursuites de la part des clients impactés par la panne ?

Voir aussi

Le PDG de Delta qualifie Microsoft de "plateforme probablement la plus fragile" tout en louant Apple, la panne CrowdStrike a coûté environ 500 millions $ à Delta, qui va donc poursuivre Microsoft et CrowdStrike

CrowdStrike est poursuivie par des actionnaires suite à la panne mondiale, pour sa technologie matériellement fausse et trompeuse, après la chute de 32% de l'action, oblitérant 25 milliards $ de valorisation

CrowdStrike accuse un bogue dans le logiciel de test d'avoir mis hors service 8,5 millions de machines Windows, car il n'a pas validé correctement la mise à jour du contenu qui a été diffusée sur les machines

[Stéphane le calme]

Le sommet de la sécurité de Microsoft après l'incident de CrowdStrike : beaucoup de paroles, peu d'actions.
L'entreprise fait un récapitulatif de son évènement tenu loin de la presse et du public

En juillet dernier, une mise à jour défectueuse du logiciel CrowdStrike a entraîné la panne de millions d’ordinateurs Windows dans le monde entier. Cette situation a eu des conséquences majeures, notamment l’annulation de milliers de vols par les compagnies aériennes et des retards dans les rendez-vous médicaux dans les hôpitaux. Face à cet incident, Microsoft a décidé d’organiser un sommet sur la cybersécurité le 10 septembre.

Le Windows Endpoint Security Ecosystem Summit, récemment tenu, a suscité de nombreuses discussions mais peu de mesures concrètes. Cet événement, qui a réuni des acteurs majeurs de la cybersécurité tels que CrowdStrike, ESET, et Trend Micro, visait à renforcer la résilience et la sécurité des clients de Windows. Notons que la presse et le public n’étaient pas invités, soulevant des questions sur la transparence de l’événement.

En annonçant le sommet de l'écosystème Windows Endpoint Security, Aidan Marcuss, vice-président de la société, a déclaré que les participants discuteraient des mesures que les fournisseurs peuvent prendre pour « améliorer la sécurité et la résilience pour nos clients communs ».

Marcuss a cité le fiasco de CrowdStrike en juillet et les « leçons importantes » tirées de ce désastre. « Nos discussions porteront sur l'amélioration de la sécurité et des pratiques de déploiement sûres, la conception de systèmes pour la résilience et la collaboration en tant que communauté prospère de partenaires pour servir au mieux les clients d'aujourd'hui et de demain ».

Bien qu'il n'ait pas précisé ce que ces mesures pourraient impliquer, certains ont parié que l'exclusion des fournisseurs de sécurité du noyau Windows est l'une d'entre elles, et il est probable qu'elle sera accueillie avec beaucoup de réticence par les fournisseurs.

En plus de ses collègues fabricants de logiciels, Microsoft a également invité « des représentants du gouvernement pour garantir le plus haut niveau de transparence dans la collaboration de la communauté afin de fournir une technologie plus sûre et plus fiable pour tous ».

Un sommet à huis clos

Microsoft a justifié cette décision en affirmant que les discussions porteraient sur des mesures pour améliorer la sécurité et la résilience des systèmes pour leurs clients communs. Les sujets abordés incluaient les leçons tirées de la récente panne causée par CrowdStrike, qui a affecté des millions de machines Windows. Malgré l’importance de ces discussions, l’absence de la presse et du public a été perçue comme une tentative de limiter la transparence.

Cette décision a suscité des critiques, notamment de la part de figures politiques comme le sénateur Ron Wyden, connu pour son franc-parler sur les questions de sécurité. Wyden n’a pas été invité, ce qui a alimenté les spéculations sur la véritable intention de Microsoft de maintenir une transparence totale

Certes, ce dernier fiasco est une erreur de CrowdStrike, et non de Microsoft. Mais le géant de Windows est confronté à des critiques de plus en plus vives concernant ses propres pratiques de sécurité, après des années de violations commises aussi bien par des pirates chinois et russes que par des voyous adolescents de Lapsus$.

Au début de l'été, le président de Microsoft, Brad Smith, a témoigné devant le Congrès des manquements répétés de son entreprise en matière de sécurité. Il répondait ainsi à un rapport de la Sécurité intérieure qui reprochait au géant de l'informatique d'avoir permis à des cyberespions soutenus par Pékin de voler des dizaines de milliers d'e-mails sensibles dans les boîtes de réception Exchange Online hébergées par Microsoft de hauts fonctionnaires du gouvernement américain.

Dans la plupart des cas, Microsoft lance une nouvelle initiative de sécurité, comme son initiative Secure Future, après la dernière attaque de Cozy Bear.

Peu de mesures concrètes

Microsoft a organisé cette semaine son très médiatisé Windows Endpoint Security Ecosystem Summit avec Crowdstrike et d'autres fournisseurs de solutions de sécurité. Aujourd'hui, le géant du logiciel s'est exprimé sur ce qui s'est passé, mais il ne semble pas qu'il en ressortira grand-chose, car il y a très peu de détails sur la marche à suivre.

« Nous tenons à remercier chacun des participants à notre sommet d'avoir consacré du temps à participer à ces discussions importantes », écrit David Weston, vice-président de Microsoft. « L'incident de CrowdStrike en juillet a mis en évidence la responsabilité des fournisseurs de sécurité dans la résilience et la protection agile et adaptative. L'engagement des participants tout au long du programme et des activités de l'événement a été une source d'inspiration. »

Il aurait été encore plus stimulant de voir cet événement déboucher sur un accord interprofessionnel et des améliorations concrètes. Mais cela ne semble pas être le cas. Au lieu de cela, les participants ont simplement convenu que leurs clients mutuels bénéficient d'un choix de solutions de sécurité et qu'il est important de partager des informations sur la manière dont leurs produits fonctionnent les uns avec les autres.

Ils ont discuté de « plusieurs possibilités » d'améliorer la sûreté et la sécurité de ces clients communs

À court terme, Microsoft a expliqué aux autres comment elle utilise des pratiques de déploiement sûres (SDP pour Safe Deployment Practices) en interne et comment cela pourrait conduire à un ensemble partagé de meilleures pratiques. Ils ont également discuté de la manière dont ils pourraient « augmenter les tests des composants critiques, améliorer les tests de compatibilité conjoints entre diverses configurations, favoriser un meilleur partage des informations sur la santé des produits en cours de développement et sur le marché, et accroître l'efficacité de la réponse aux incidents grâce à une coordination plus étroite et à des procédures de récupération ».

À plus long terme, Microsoft prévoit de nouvelles capacités de plate-forme et de nouvelles normes de sécurité pour Windows 11. Les partenaires ont demandé à l'entreprise de rendre plus de capacités de sécurité disponibles en dehors du noyau. Cela pose des problèmes de performance et de lutte contre la falsification, a fait remarquer Weston, mais Microsoft s'est engagé à concevoir et à développer une capacité de plate-forme sécurisée dès la conception, avec la contribution et la collaboration de ses partenaires. Quel que soit le temps que cela prendra.

« Nous sommes des concurrents, mais pas des adversaires », a-t-il déclaré à propos de Microsoft et des fournisseurs de sécurité présents au sommet, qui comprenait des représentants de Broadcom, Crowdstrike, ESET, SentinelOne, Sophos, Trellix et Trend Micro. « Les adversaires sont ceux contre lesquels nous devons protéger le monde. Nous sommes reconnaissants du soutien et des contributions de cette communauté et nous sommes enthousiastes quant aux conversations en cours et au travail qui nous attend. »

Pas de blocage d'accès au noyau

Certains avaient évoqué la possibilité pour Microsoft de bloquer l'accès au noyau.

Apple, qui n'a pas été touché par les pannes de juillet relatives à CrowdStrike, empêche tous les fournisseurs tiers d'accéder au noyau de son système d'exploitation MacOS, les obligeant à fonctionner en mode « utilisateur », plus limité. Microsoft a précédemment déclaré ne pas être en mesure de faire de même, après avoir conclu un accord avec la Commission européenne en 2009 selon lequel elle donnerait à des tiers le même accès à ses systèmes que celui de Microsoft Defender.

Certains experts ont toutefois déclaré que cet engagement volontaire envers l'UE n'avait pas lié les mains de Microsoft comme il le prétendait, arguant que l'entreprise avait toujours été libre d'apporter les changements envisagés. « Il s'agit de décisions techniques de Microsoft qui ne faisaient pas partie [de l'accord] », a déclaré Thomas Graf, un associé de Cleary Gottlieb à Bruxelles qui a participé à l'affaire.

« Le texte [de l'accord] ne les oblige pas à donner accès au noyau », a ajouté AJ Grotto, ancien directeur principal de la politique de cybersécurité à la Maison Blanche. Grotto a déclaré que Microsoft avait sa part de responsabilité dans les perturbations de juillet, car les pannes n'auraient pas été possibles sans sa décision d'autoriser l'accès au noyau.

Néanmoins, bien qu'il puisse renforcer la résilience d'un système, le blocage de l'accès au noyau pourrait également entraîner de « véritables compromis » pour la compatibilité avec d'autres logiciels qui a rendu Windows si populaire auprès des clients professionnels, a déclaré Allie Mellen, analyste chez Forrester. « Il s'agirait d'un changement fondamental pour la philosophie et le modèle commercial de Microsoft », a-t-elle ajouté.

Le fait d'opérer exclusivement en dehors du noyau peut réduire le risque de déclencher des pannes massives, mais cela est également « très contraignant » pour les fournisseurs de sécurité et pourrait rendre leurs produits « moins efficaces » contre les pirates informatiques, a ajouté Mellen. Le fait d'opérer au sein du noyau donne aux entreprises de sécurité plus d'informations sur les menaces potentielles et permet à leurs outils défensifs de s'activer avant que les logiciels malveillants ne s'installent, a-t-elle ajouté.

Microsoft semble ne pas aller dans cette direction.

D'après l'article de Microsoft, il pourrait s'avérer impossible de retirer entièrement les protections de sécurité du noyau Windows. Cette citation résume clairement le problème :

« ESET soutient les modifications de l'écosystème Windows qui démontrent des améliorations mesurables de la stabilité, à condition que tout changement n'affaiblisse pas la sécurité, n'affecte pas les performances ou ne limite pas le choix des solutions de cybersécurité », explique un communiqué de l'entreprise de sécurité. « Il est impératif que l'accès au noyau reste une option pour les produits de cybersécurité afin de permettre la poursuite de l'innovation et la capacité de détecter et de bloquer les cybermenaces futures. Nous nous réjouissons de poursuivre notre collaboration dans le cadre de cette importante initiative ».

Conclusion

Le sommet a mis en lumière la complexité du paysage de la sécurité moderne et la nécessité d’une collaboration continue. Cependant, pour que ces discussions se traduisent par des actions concrètes, il faudra plus que des paroles. Les clients de Windows attendent des mesures tangibles pour renforcer leur sécurité et leur résilience.

Sources : Microsoft, Sophos

Et vous ?

Pensez-vous que les discussions lors de tels sommets peuvent réellement conduire à des améliorations concrètes en matière de sécurité ?
Quels sont, selon vous, les principaux défis auxquels Microsoft doit faire face pour améliorer la sécurité de Windows 11 ?
Comment évaluez-vous l’importance de la transparence et du partage d’informations entre les différents acteurs de la cybersécurité ?
Selon vous, est-il possible de concilier transparence totale et sécurité optimale dans les grandes entreprises technologiques ? Quels seraient les avantages et les inconvénients d’une transparence accrue dans ce type de sommets ?
Pensez-vous que la présence de représentants gouvernementaux est suffisante pour garantir la transparence des discussions ? Quel rôle les gouvernements devraient-ils jouer dans la surveillance des pratiques de sécurité des entreprises technologiques ?
Comment cette décision de Microsoft pourrait-elle affecter la confiance des utilisateurs envers l’entreprise ? Quelles mesures Microsoft pourrait-elle prendre pour renforcer la confiance des utilisateurs après un tel événement ?
Quel impact pensez-vous que ce type de sommet à huis clos pourrait avoir sur l’industrie de la sécurité informatique en général ? D’autres entreprises devraient-elles suivre l’exemple de Microsoft ou adopter une approche différente ?
Quelle est la responsabilité éthique des entreprises technologiques lorsqu’il s’agit de partager des informations sensibles sur la sécurité ? Comment les entreprises peuvent-elles équilibrer la nécessité de protéger des informations sensibles avec le besoin de transparence ?