IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #81
    Membre éclairé
    Homme Profil pro
    Inscrit en
    Mai 2003
    Messages
    299
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : Suisse

    Informations professionnelles :
    Secteur : Industrie

    Informations forums :
    Inscription : Mai 2003
    Messages : 299
    Points : 886
    Points
    886
    Par défaut
    Citation Envoyé par fmartini Voir le message
    En effet, le réseau intradef (l'intranet standard de l'armée française) est entièrement coupé d'internet.
    ce qui est bien plus pertinent que des solutions tjs connectées.

    Le gars ds l interview parle bien des systèmes Microsoft imposés dans les différents ministères, dont la défense. Comme il dit, pour des raisons évidentes de souveraineté, l armée se méfie énormément de Windows et fait tout pour éviter que les infos transitent trop vers MS et la NSA...

  2. #82
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par Eric80 Voir le message
    ce qui est bien plus pertinent que des solutions tjs connectées.

    Le gars ds l interview parle bien des systèmes Microsoft imposés dans les différents ministères, dont la défense. Comme il dit, pour des raisons évidentes de souveraineté, l armée se méfie énormément de Windows et fait tout pour éviter que les infos transitent trop vers MS et la NSA...
    Tout le monde devrait d'ailleurs D'où l'importance d'utiliser son propre WSUS, ce qui permet de tester les MaJ entrantes dans un environnement de test.

  3. #83
    Membre chevronné Avatar de denisys
    Profil pro
    Développeur informatique
    Inscrit en
    Mai 2002
    Messages
    1 152
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Mai 2002
    Messages : 1 152
    Points : 2 055
    Points
    2 055
    Par défaut
    phil995511
    Le 23/07/2024 à 14:25

    Part ailleurs il n'y a aucune allusion à Linux dans l'article du 23 juillet 2024 "Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars".
    Nous somme bien sur l'article :
    Falcon Sensor de CrowdStrike a également causé des problèmes sur les machines Linux récemment
    Les professionnels estiment que la situation n'est pas comparable aux BSoD provoqués sur Windows
    Le 22 juillet 2024 à 20:36, par Stéphane le calme


    https://securite.developpez.com/actu...s-sur-Windows/

    En ce moment , non ?

  4. #84
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    Février 2017
    Messages
    2 091
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Février 2017
    Messages : 2 091
    Points : 56 490
    Points
    56 490
    Par défaut Le PDG de CrowdStrike est appelé à témoigner devant le Congrès
    Le PDG de CrowdStrike est appelé à témoigner devant le Congrès sur le rôle déterminant de l’entreprise spécialiste en cybersécurité dans la panne
    Qui a affecté de nombreux services à l’échelle mondiale

    Les chefs de file de la Chambre des représentants des États-Unis demandent au PDG de CrowdStrike, George Kurtz, de témoigner devant le Congrès sur le rôle de l'entreprise de cybersécurité dans le déclenchement de la panne technologique généralisée qui a cloué des vols au sol, mis hors service des banques et des systèmes hospitaliers et affecté des services dans le monde entier.

    La demande des membres de la Chambre des représentants fait suite à une déclaration de CrowdStrike selon laquelle un « nombre significatif » d'ordinateurs se sont bloqués vendredi, provoquant des perturbations à l'échelle mondiale. S’ils sont de nouveau opérationnels, ses clients et les autorités de régulation attendent une explication plus détaillée de ce qui s'est passé.

    Les républicains qui dirigent la commission de la sécurité intérieure de la Chambre des représentants ont déclaré il y a peu qu'ils souhaitaient obtenir ces réponses dans de brefs délais. « Nous apprécions la réaction de CrowdStrike et la coordination avec les parties prenantes, mais nous ne pouvons pas ignorer l'ampleur de cet incident, que certains ont qualifié de plus grande panne informatique de l'histoire », indique une lettre adressée à M. Kurtz par les députés Mark E. Green (Tennessee) et Andrew Garbarino (New York).

    Nom : 0.png
Affichages : 4503
Taille : 318,0 Ko

    Le 19 juillet 2024, une panne informatique mondiale a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan. Les écrans bleus de la mort ont perturbé le fonctionnement normal des machines Windows, affichant le message : « Recovery: It looks like Windows didn’t load correctly. »

    Plus de 1 000 vols ont été annulés, principalement dans le secteur du transport aérien. Des aéroports tels que Hong Kong International Airport, l’aéroport de Berlin, l’aéroport de Zurich et l’aéroport de Budapest ont été touchés. La compagnie aérienne Ryanair a signalé des problèmes de réservation et d’enregistrement. De plus, les systèmes de réservation de Cathay Pacific, Hong Kong Express et Hong Kong Airlines sont restés indisponibles pendant plusieurs heures, entraînant des retards et des désagréments pour les voyageurs.

    L’entreprise de cybersécurité américaine CrowdStrike a reconnu être à l’origine de ces problèmes. Le directeur général de CrowdStrike, George Kurtz, a confirmé dans un message sur X qu'un « défaut » dans une mise à jour de contenu pour les hôtes Windows était à l'origine de la panne, et Kurtz a exclu une cyberattaque. Il a ajouté que l'entreprise était en train de déployer un correctif et que les hôtes Mac et Linux n'étaient pas affectés.

    Un message sur les forums d'assistance de CrowdStrike (qui ne sont accessibles qu'avec une connexion) a également reconnu le problème tôt dans la journée de vendredi, indiquant que la société avait reçu des rapports de crashs liés à une mise à jour du contenu. CrowdStrike a déclaré que les rapports de crash étaient « liés à Falcon Sensor » - son service de sécurité basé sur le cloud qu'il décrit comme « une détection des menaces en temps réel, une gestion simplifiée et une chasse aux menaces proactive ».

    Sur les réseaux sociaux, il a été noté que l'entreprise était au courant de « rapports généralisés » d'erreurs d'écran bleu sur les appareils Windows dans plusieurs versions de son logiciel. L'entreprise enquête sur la cause de ces erreurs, selon le message.

    Nom : 1.png
Affichages : 1333
Taille : 249,5 Ko

    La panne mondiale des services informatiques souligne l’importance de la vigilance en matière de cybersécurité et de la nécessité de mettre en place des protocoles de gestion des mises à jour. Les entreprises doivent investir dans des solutions de sécurité robustes et communiquer efficacement avec leurs clients pour minimiser les perturbations en cas de défaillance du système. Elle met également en exergue la vulnérabilité des solutions basées sur le cloud, qui peuvent entraîner un effet boule de neige.

    Et vous ?

    Avez-vous déjà été affecté par une panne informatique majeure ? Peut-être avez-vous vécu des retards de vol ou des problèmes avec des services en ligne lors d’une panne précédente. Partagez votre expérience.
    Comment pensez-vous que les entreprises devraient gérer de telles pannes pour minimiser les perturbations pour les clients ? Quelles mesures préventives ou plans de continuité devraient-elles mettre en place ? Vos idées pourraient inspirer des solutions plus efficaces à l’avenir.

    Voir aussi :

    Une panne chez Microsoft provoquée par une mise à jour logicielle de CrowdStrike a des répercussions mondiales, touchant divers secteurs tels que les compagnies aériennes, les banques, les organismes de santé

    Microsoft adopte l'outil révolutionnaire eBPF du noyau Linux et veut l'étendre pour Windows en exploitant les projets open source existants, comme IOVisor uBPF et PREVAIL

  5. #85
    Membre chevronné
    Profil pro
    MOA
    Inscrit en
    Décembre 2002
    Messages
    1 125
    Détails du profil
    Informations personnelles :
    Localisation : France, Eure et Loir (Centre)

    Informations professionnelles :
    Activité : MOA

    Informations forums :
    Inscription : Décembre 2002
    Messages : 1 125
    Points : 2 103
    Points
    2 103
    Par défaut
    Citation Envoyé par Eric80 Voir le message
    ce qui est bien plus pertinent que des solutions tjs connectées.

    Le gars ds l interview parle bien des systèmes Microsoft imposés dans les différents ministères, dont la défense. Comme il dit, pour des raisons évidentes de souveraineté, l armée se méfie énormément de Windows et fait tout pour éviter que les infos transitent trop vers MS et la NSA...
    Sauf que l'amrée utilisent beaucoup de Microsoft, ils ont eu un gros contrat Microsoft en open bar, cela a fait pas mal scandale.
    L'insitution qui a su mettre un stop est la gendarmerie mais en aucun cas l'armée.

  6. #86
    Membre chevronné
    Profil pro
    MOA
    Inscrit en
    Décembre 2002
    Messages
    1 125
    Détails du profil
    Informations personnelles :
    Localisation : France, Eure et Loir (Centre)

    Informations professionnelles :
    Activité : MOA

    Informations forums :
    Inscription : Décembre 2002
    Messages : 1 125
    Points : 2 103
    Points
    2 103
    Par défaut
    Citation Envoyé par phil995511 Voir le message
    En plus de Windows ou Linux il y a aussi Unix et Mac OS me semble-t-il... mettre tous ses oeufs dans le même panier peut en effet être potentiellement risqué mais faire confiance à l'OS le plus buggé et le plus piraté de l'histoire est à mes yeux encore plus risqué...
    Il faudrait intérroger longuement les DSI des grands groupes, des institutions publics qui font les choix des OS. Connaitre la vrai raison de l'usage de tel OS plutot qu'un autre. Je reste persuadé qu'il y a du lobby, et donc on ne peut pas partler de lobby.

    Après il ne faut pas allé dans l'exagération de dire qu'il est le buggé. Aller dans les extrèmes n'est jamais bon. Il faut avant tout de la diversité, et ne pas avoir de dés pipés sur le marché des OS..

  7. #87
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 006
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 006
    Points : 208 278
    Points
    208 278
    Par défaut Microsoft lance un outil de récupération USB pour les entreprises affectées par le BSOD de CrowdStrike
    Microsoft annonce que 8,5 millions de systèmes ont été touchés par le BSOD de CrowdStrike et lance un outil de récupération USB
    pour les entreprises affectées

    Microsoft a déclaré que CrowdStrike a mis au point une solution pour accélérer la correction de son infrastructure Azure. En outre, elle collabore avec Amazon Web Services et Google Cloud Platform pour partager des informations sur les effets à l'échelle de l'industrie.

    Microsoft estime qu'environ 8,5 millions de systèmes Windows ont été touchés par le problème ayant entraîné une panne mondiale, qui concerne un fichier .sys bogué qui a été automatiquement envoyé aux PC Windows utilisant le logiciel de sécurité CrowdStrike Falcon. Une fois téléchargée, cette mise à jour provoquait l'affichage du redoutable écran bleu de la mort sur les systèmes Windows et l'entrée dans une boucle de démarrage.

    La grande enseigne de la technologie a souligné que moins de 1 % de toutes les machines Windows ont été touchées.

    « Alors que les mises à jour de logiciels peuvent occasionnellement causer des perturbations, les incidents importants comme celui de CrowdStrike sont peu fréquents », a écrit David Weston, vice-président de Microsoft chargé de la sécurité des entreprises et des systèmes d'exploitation, dans un billet de blog. « Nous estimons actuellement que la mise à jour de CrowdStrike a affecté 8,5 millions d'appareils Windows, soit moins d'un pour cent de toutes les machines Windows. Bien que le pourcentage soit faible, les impacts économiques et sociétaux importants reflètent l'utilisation de CrowdStrike par des entreprises qui gèrent de nombreux services critiques ».

    La solution « facile » documentée à la fois par CrowdStrike (dont c'est la faute directe) et par Microsoft (qui a été largement blâmé dans les rapports grand public, en partie à cause d'une panne d'Azure sans rapport avec le problème, survenue peu avant le 18 juillet) consistait à redémarrer les systèmes concernés à plusieurs reprises dans l'espoir qu'ils téléchargent un nouveau fichier de mise à jour avant qu'ils ne tombent en panne. Pour les systèmes sur lesquels cette méthode n'a pas fonctionné - et Microsoft a recommandé aux clients de redémarrer jusqu'à 15 fois pour donner aux ordinateurs une chance de télécharger la mise à jour - la solution recommandée a été de supprimer manuellement le mauvais fichier .sys. Cela permet au système de démarrer et de télécharger un fichier corrigé, ce qui résout les problèmes sans laisser les machines sans protection.

    Pour faciliter ce processus, Microsoft a publié ce week-end un outil de récupération qui permet d'automatiser le processus de réparation sur certains systèmes concernés. Il s'agit de créer un support de démarrage à l'aide d'une clé USB de 1 à 32 Go, de démarrer à partir de cette clé USB et d'utiliser l'une des deux options pour réparer votre système. Pour les appareils qui ne peuvent pas démarrer via USB (cette option est parfois désactivée sur les systèmes d'entreprise pour des raisons de sécurité), Microsoft documente également une option de démarrage PXE pour le démarrage via un réseau.

    Nom : error.png
Affichages : 5821
Taille : 90,3 Ko

    WinPE à la rescousse

    Le disque amorçable utilise l'environnement WinPE, une version légère de Windows, pilotée par ligne de commande, généralement utilisée par les administrateurs informatiques pour appliquer des images Windows et effectuer des opérations de récupération et de maintenance.

    Une option de réparation démarre directement dans WinPE et supprime le fichier affecté sans nécessiter de privilèges d'administrateur. Mais si votre disque est protégé par BitLocker ou un autre produit de chiffrement de disque, vous devrez saisir manuellement votre clé de récupération pour que WinPE puisse lire les données sur le disque et supprimer le fichier. Selon la documentation de Microsoft, l'outil devrait automatiquement supprimer la mauvaise mise à jour CrowdStrike sans intervention de l'utilisateur une fois qu'il peut lire le disque.

    Si vous utilisez BitLocker, la deuxième option de récupération tente de démarrer Windows en mode sans échec en utilisant la clé de récupération stockée dans le TPM de votre appareil pour déverrouiller automatiquement le disque, comme cela se produit lors d'un démarrage normal. Le mode sans échec charge l'ensemble minimum de pilotes dont Windows a besoin pour démarrer, ce qui vous permet de localiser et de supprimer le fichier du pilote CrowdStrike sans rencontrer le problème du BSOD. Le fichier se trouve dans Windows/System32/Drivers/CrowdStrike/C-00000291*.sys sur les systèmes concernés. Les utilisateurs peuvent également exécuter « repair.cmd » à partir de la clé USB pour automatiser la correction.

    Pour sa part, CrowdStrike a mis en place un « centre de remédiation et d'orientation » pour les clients concernés. Dimanche, l'entreprise a déclaré qu'elle « testait une nouvelle technique pour accélérer la correction des systèmes touchés », mais elle n'a pas donné plus de détails à ce jour. Les autres correctifs décrits sur cette page comprennent le redémarrage à plusieurs reprises, la suppression manuelle du fichier concerné ou l'utilisation du support de démarrage de Microsoft pour automatiser le correctif.

    Le secteur de l'assurance s'attend à une augmentation des demandes d'indemnisation

    Les courtiers en assurance s'attendent à une augmentation des demandes d'indemnisation liées à la panne. Marsh, l'une des principales sociétés de courtage, a confirmé que des clients avaient informé les assureurs de leur intention de déposer des demandes d'indemnisation. « Il s'agit d'un événement qui devrait être couvert par la cyberassurance », a déclaré Meredith Schnur, responsable de la pratique cybernétique de Marsh pour les États-Unis et le Canada.

    Southern Cross Travel Insurance (SCTI) a détaillé les dispositions relatives aux demandes d'indemnisation découlant de la panne. « Cette panne a eu des répercussions sur de nombreux services, notamment les compagnies aériennes, les aéroports et d'autres fournisseurs de transport. Si vous avez été affecté par cet événement, nous vous demandons de contacter votre compagnie aérienne ou votre agence de voyage en premier lieu pour prendre d'autres dispositions ». Elle a précisé que les polices souscrites avant 17 heures le 19 juillet peuvent couvrir les frais encourus à la suite de l'incident, sous réserve des conditions générales de la police.

    De son côté, l'Agence nationale d'assurance invalidité (NDIA) a indiqué que ses systèmes n'avaient pas été affectés par la panne. Elle a toutefois conseillé aux Australiens de rester vigilants face à d'éventuelles escroqueries profitant de la situation.

    Sources : Microsoft, environnement WinPE, Southern Cross Travel Insurance

    Et vous ?

    Quelle est la responsabilité des entreprises de cybersécurité lorsqu’une mise à jour défectueuse provoque des perturbations majeures sur les systèmes des utilisateurs ?
    Comment pouvons-nous améliorer la communication entre les entreprises de sécurité et les utilisateurs lorsqu’un problème survient ?
    Quelles mesures devraient être prises pour minimiser l’impact économique et social de tels incidents à l’avenir ?
    Pensez-vous que les entreprises devraient être tenues responsables financièrement lorsqu’une mise à jour défectueuse entraîne des pertes importantes pour les utilisateurs ?
    Quelles alternatives à CrowdStrike recommanderiez-vous aux entreprises pour garantir la sécurité de leurs systèmes ?

  8. #88
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Octobre 2017
    Messages
    2 011
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Octobre 2017
    Messages : 2 011
    Points : 6 307
    Points
    6 307
    Par défaut
    Citation Envoyé par weed Voir le message
    Il faudrait intérroger longuement les DSI des grands groupes, des institutions publics qui font les choix des OS. Connaitre la vrai raison de l'usage de tel OS plutot qu'un autre. Je reste persuadé qu'il y a du lobby, et donc on ne peut pas partler de lobby.

    Après il ne faut pas allé dans l'exagération de dire qu'il est le buggé. Aller dans les extrèmes n'est jamais bon. Il faut avant tout de la diversité, et ne pas avoir de dés pipés sur le marché des OS..
    Parler de "lobby"? Mais c'est proprement scandaleux comme affirmation

    Par contre les petits week-end prolongés pour Monsieur et madame, tout frais payé, débutant le jeudi jusqu'au lundi suivant, dans un hôtel de luxe, dans un pays chaud pour présenter une nouvelle solution à quelques DSI bien choisis, présentation qui dure 1 heure sur toute la durée du week-end, sans qu'une présence soit exigée... ça oui! Mais franchement parler de "lobby"

  9. #89
    Chroniqueur Actualités
    Avatar de Anthony
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Novembre 2022
    Messages
    1 274
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Rédacteur technique

    Informations forums :
    Inscription : Novembre 2022
    Messages : 1 274
    Points : 20 986
    Points
    20 986
    Par défaut CrowdStrike accuse un bogue dans le logiciel de test d'avoir mis hors service 8,5 millions de machines Windows
    CrowdStrike accuse un bogue dans le logiciel de test d'avoir mis hors service 8,5 millions de machines Windows, car il n'a pas validé correctement la mise à jour du contenu qui a été diffusée sur les machines

    CrowdStrike a réagi à l'incident récent au cours duquel une mise à jour défectueuse a perturbé 8,5 millions de machines Windows. L'analyse de l'entreprise après l'incident attribue le problème à un bogue dans son logiciel de test, qui n'a pas réussi à valider correctement une mise à jour de contenu diffusée le vendredi 19 juillet dernier. En promettant d'améliorer les protocoles de test et d'échelonner les déploiements, CrowdStrike entend prévenir des perturbations similaires à l'avenir.

    Le 19 juillet 2024, une panne informatique chez Microsoft a touché des entreprises, des aéroports et des médias à travers le monde entier. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan. Les écrans bleus de la mort ont perturbé le fonctionnement normal de millions de machines Windows, affichant le message : “Recovery: It looks like Windows didn’t load correctly.”

    CrowdStrike a publié une analyse post incident (PIR) de la mise à jour boguée qu'elle a publiée et qui a entraîné la mise hors service de 8,5 millions de machines Windows la semaine dernière. Le rapport détaillé accuse un bogue dans le logiciel de test qui n'a pas validé correctement la mise à jour de contenu qui a été envoyée à des millions d'ordinateurs vendredi. CrowdStrike promet de tester plus minutieusement ses mises à jour de contenu, d'améliorer sa gestion des erreurs et de mettre en œuvre un déploiement échelonné afin d'éviter que ce désastre ne se reproduise.

    Nom : crowdstrike.PNG
Affichages : 14874
Taille : 23,6 Ko

    L'Analyse préliminaire après incident (PIR) de CrowdStrike est présentée ci-dessous :

    Ceci est l'analyse préliminaire après incident (PIR) de CrowdStrike. Nous détaillerons notre enquête complète dans l'analyse des causes fondamentales qui sera rendue publique. Tout au long de ce PIR, nous avons utilisé une terminologie généralisée pour décrire la plateforme Falcon afin d'améliorer la lisibilité. La terminologie utilisée dans d'autres documents peut être plus spécifique et technique.

    Que s'est-il passé ?

    Le vendredi 19 juillet 2024 à 04:09 UTC, dans le cadre des opérations régulières, CrowdStrike a publié une mise à jour de la configuration du contenu pour le capteur Windows afin de recueillir des données télémétriques sur d'éventuelles nouvelles techniques de menace.

    Ces mises à jour font partie intégrante des mécanismes de protection dynamique de la plateforme Falcon. La mise à jour problématique de la configuration de Rapid Response Content a entraîné un crash du système Windows.

    Les systèmes concernés sont les hôtes Windows utilisant la version 7.11 et supérieure du capteur qui étaient en ligne entre le vendredi 19 juillet 2024 04:09 UTC et le vendredi 19 juillet 2024 05:27 UTC et qui ont reçu la mise à jour. Les hôtes Mac et Linux n'ont pas été touchés.

    Le défaut dans la mise à jour du contenu a été annulé le vendredi 19 juillet 2024 à 05:27 UTC. Les systèmes mis en ligne après cette heure, ou qui ne se sont pas connectés pendant la fenêtre, n'ont pas été affectés.

    Qu'est-ce qui n'a pas fonctionné et pourquoi ?

    CrowdStrike fournit des mises à jour de configuration du contenu de sécurité à ses capteurs de deux manières : Sensor Content qui est livré directement avec nos capteurs, et Rapid Response Content qui est conçu pour répondre à l'évolution du paysage des menaces à la vitesse opérationnelle.

    Le problème survenu vendredi concernait une mise à jour Rapid Response Content avec une erreur non détectée.

    Sensor Content

    Sensor Content fournit un large éventail de capacités pour aider à la réponse de l'adversaire. Il fait toujours partie de la publication d'un capteur et n'est pas mis à jour de manière dynamique à partir du cloud. Sensor Content comprend des modèles d'IA et d'apprentissage automatique sur le capteur, et comprend du code écrit expressément pour fournir des capacités réutilisables à plus long terme pour les ingénieurs de CrowdStrike chargés de la détection des menaces.

    Ces capacités comprennent des Template Types (types de modèle), qui comportent des champs prédéfinis que les ingénieurs de détection des menaces peuvent exploiter dans le Rapid Response Content Les Template Types sont exprimés en code. Tous les Sensor Content, y compris les Template Types, sont soumis à un processus d'assurance qualité approfondi, qui comprend des tests automatisés, des tests manuels, des étapes de validation et de déploiement.

    Le processus de mise à disposition des capteurs commence par des tests automatisés, avant et après l'intégration dans notre base de code. Cela comprend des tests unitaires, des tests d'intégration, des tests de performance et des tests de stress. Cela aboutit à un processus de déploiement du capteur par étapes, qui commence par un test interne chez CrowdStrike, suivi par les utilisateurs précoces. Le capteur est ensuite mis à la disposition des clients. Les clients ont alors la possibilité de sélectionner les parties de leur flotte qui doivent installer la dernière version du capteur (« N »), ou une version plus ancienne (« N-1 ») ou deux versions plus anciennes (« N-2 ») par le biais des politiques de mise à jour des capteurs.

    L'événement du vendredi 19 juillet 2024 n'a pas été déclenché par Sensor Content, qui n'est livré qu'avec la sortie d'une mise à jour du capteur Falcon. Les clients ont un contrôle total sur le déploiement du capteur - qui comprend le Sensor Content et les Template Types.

    Rapid Response Content

    Rapid Response Content est utilisé pour effectuer une variété d'opérations de mise en correspondance de modèles comportementaux sur le capteur à l'aide d'un moteur hautement optimisé. Le Rapid Response Content est une représentation des champs et des valeurs, avec le filtrage associé. Ce Rapid Response Content est stocké dans un fichier binaire propriétaire qui contient des données de configuration. Il ne s'agit pas d'un code ou d'un pilote de noyau.

    Le Rapid Response Content est fourni sous la forme de Template Instances (instances de modèles), qui sont des instanciations d'un Template Type donné. Chaque Template Instance correspond à des comportements spécifiques que le capteur doit observer, détecter ou prévenir. Les Template Instances disposent d'un ensemble de champs qui peuvent être configurés pour correspondre au comportement désiré.

    En d'autres termes, les Template Types représentent une capacité de capteur qui permet de nouvelles télémétries et détections, et leur comportement en cours d'exécution est configuré dynamiquement par un Template Instance (c'est-à-dire un Rapid Response Content).

    Rapid Response Content fournit une visibilité et des détections sur le capteur sans qu'il soit nécessaire de modifier le code du capteur. Cette capacité est utilisée par les ingénieurs chargés de la détection des menaces pour recueillir des données télémétriques, identifier les indicateurs du comportement de l'adversaire et effectuer des détections et des préventions. Rapid Response Content est une heuristique comportementale, séparée et distincte des capacités de prévention et de détection de l'IA sur le capteur de CrowdStrike.

    Test et déploiement du Rapid Response Content

    Le Rapid Response Content est fourni sous forme de mises à jour de la configuration du contenu au capteur Falcon. Il existe trois systèmes principaux : le Content Configuration System (système de configuration du contenu), le Content Interpreter (interpréteur de contenu) et le Sensor Detection Engine (moteur de détection du capteur).

    Le Content Configuration System fait partie de la plateforme Falcon dans le cloud, tandis que le Content Interpreter et le Sensor Detection Engine sont des composants du capteur Falcon. Le Content Configuration System est utilisé pour créer des instances de modèles, qui sont validées et déployées sur le capteur par le biais d'un mécanisme appelé « Channel Files ». Le capteur stocke et met à jour ses données de configuration de contenu par le biais de fichiers de canaux, qui sont écrits sur le disque de l'hôte.

    Le Content Interpreter du capteur lit le fichier de canal et interprète le Rapid Response Content, ce qui permet au moteur de détection du capteur d'observer, de détecter ou de prévenir les activités malveillantes, en fonction de la configuration de la politique du client. L'interprète de contenu est conçu pour gérer de manière élégante les exceptions liées à un contenu potentiellement problématique.

    Les Template Types nouvellement publiés sont soumis à des tests de résistance sur de nombreux aspects, tels que l'utilisation des ressources, l'impact sur les performances du système et le volume d'événements. Pour chaque Template Types, une Template Instance spécifique est utilisée pour tester le Template Types en le comparant à toutes les valeurs possibles des champs de données associés afin d'identifier les interactions négatives du système.

    Les Template Instances sont créées et configurées à l'aide du Content Configuration System, qui comprend le Content Validator qui effectue des contrôles de validation sur le contenu avant qu'il ne soit publié.

    Chronologie des événements : Essais et déploiement du Template Type InterProcessCommunication (IPC)

    Publication de Sensor Content : Le 28 février 2024, le capteur 7.11 a été mis à la disposition générale des clients, introduisant un nouveau Template Type IPC pour détecter les nouvelles techniques d'attaque qui abusent des Named Pipes. Cette version a suivi toutes les procédures de test du Sensor Content décrites ci-dessus dans la section Sensor Content.

    Test de stress du Template Type : Le 05 mars 2024, un test de stress du Template Type IPC a été exécuté dans notre environnement de préparation, qui se compose d'une variété de systèmes d'exploitation et de charges de travail. Le Template Type IPC a réussi le test de stress et a été validé pour l'utilisation.

    Publication du Template Instance via le Channel File 291 : Le 5 mars 2024, après la réussite du test de stress, une Template Instance IPC a été mise en production dans le cadre d'une mise à jour de la configuration du contenu. Par la suite, trois autres Template Instances IPC ont été déployées entre le 8 avril 2024 et le 24 avril 2024. Ces Template Instances ont fonctionné comme prévu en production.

    Que s'est-il passé le 19 juillet 2024 ?

    Le 19 juillet 2024, deux Template Instances IPC supplémentaires ont été déployées. En raison d'un bogue dans le Content Validator, l'une des deux Template Instances a passé la validation bien qu'elle contienne des données de contenu problématiques.

    Sur la base des tests effectués avant le déploiement initial du Template Type (le 05 mars 2024), de la confiance dans les vérifications effectuées dans le Content Validator et des précédents déploiements réussis des Template Instances IPC, ces instances ont été déployées en production.

    Lorsqu'il a été reçu par le capteur et chargé dans le Content Interpreter, le contenu problématique du Channel File 291 a entraîné une lecture hors limites de la mémoire, ce qui a déclenché une exception. Cette exception inattendue n'a pas pu être gérée de manière élégante, ce qui a entraîné un plantage du système d'exploitation Windows (BSOD).

    Comment éviter que cela ne se reproduise ?

    Résilience des logiciels et tests

    • Améliorer les tests Rapid Response Content en utilisant des types de tests tels que :
      • Tests auprès des développeurs locaux
      • Mise à jour du contenu et rollback des tests
      • Tests de stress, fuzzing et injection de fautes
      • Tests de stabilité
      • Tests d'interface de contenu
    • Ajout de contrôles de validation supplémentaires au Content Validator pour le Rapid Response Content. Un nouveau contrôle est en cours pour éviter que ce type de contenu problématique ne soit déployé à l'avenir.
    • Améliorer la gestion des erreurs dans le Content Interpreter.

    Déploiement du Rapid Response Content

    • Mettre en œuvre une stratégie de déploiement échelonné pour le Rapid Response Content dans laquelle les mises à jour sont progressivement déployées sur des parties plus importantes de la base de capteurs, en commençant par un déploiement Canary.
    • Améliorer la surveillance des performances des capteurs et du système, en recueillant des feedbacks pendant le déploiement de Rapid Response Content afin d'orienter un déploiement progressif.
    • Offrir aux clients un plus grand contrôle sur la diffusion des mises à jour de Rapid Response Content en permettant une sélection granulaire du moment et de l'endroit où ces mises à jour sont déployées.
    • Fournir des détails sur les mises à jour de contenu par le biais de notes de mise à jour, auxquelles les clients peuvent s'abonner.

    En plus de cette analyse préliminaire après incident, CrowdStrike s'engage à rendre publique l'analyse complète des causes profondes une fois l'enquête terminée.

    État de la classification du dossier

    Le fichier de canal responsable des pannes du système le vendredi 19 juillet 2024 à partir de 04:09 UTC a été identifié et déprécié sur les systèmes opérationnels. Lorsqu'il y a dépréciation, un nouveau fichier est déployé, mais l'ancien fichier peut rester dans le répertoire du capteur.

    Par excès de prudence, et pour éviter que les systèmes Windows ne subissent d'autres perturbations, la version impactée du fichier de canal a été ajoutée à la liste des erreurs connues de Falcon dans le Cloud de CrowdStrike.

    Aucune mise à jour de capteur, aucun nouveau fichier de canal ni aucun code n'a été déployé à partir du Cloud CrowdStrike.

    Pour les machines opérationnelles, il s'agit d'une mesure d'hygiène. Pour les systèmes impactés disposant d'une forte connectivité réseau, cette action pourrait également entraîner la récupération automatique des systèmes en boucle de démarrage.

    Ceci a été configuré en US-1, US-2, et EU le 23 juillet, 2024 UTC. Les clients de Gov-1 et Gov-2 peuvent demander la classification known-bad du fichier 291 de channel en contactant le support de CrowdStrike.
    Face aux dommages causés, George Kurtz, fondateur et PDG de CrowdStrike, a rédigé une déclaration destinée aux clients et partenaires de la société de cybersécurité.

    Chers clients et partenaires,

    Je tiens à m'excuser sincèrement auprès de vous tous pour la panne. Tout le personnel de CrowdStrike comprend la gravité et l'impact de la situation. Nous avons rapidement identifié le problème et déployé un correctif, ce qui nous a permis de nous concentrer avec diligence sur la restauration des systèmes des clients, qui est notre priorité absolue.

    La panne a été causée par un défaut trouvé dans une mise à jour du contenu de Falcon pour les hôtes Windows. Les hôtes Mac et Linux ne sont pas concernés. Il ne s'agit pas d'une cyberattaque.

    Nous travaillons en étroite collaboration avec les clients et les partenaires concernés pour veiller à ce que tous les systèmes soient restaurés, afin que vous puissiez fournir les services sur lesquels vos clients comptent.

    CrowdStrike fonctionne normalement et ce problème n'affecte pas les systèmes de notre plateforme Falcon. Il n'y a pas d'impact sur la protection si le capteur Falcon est installé. Les services Falcon Complete et Falcon OverWatch ne sont pas perturbés.

    Nous fournirons des mises à jour continues via notre portail d'assistance à l'adresse https://supportportal.crowdstrike.com/s/login/.

    Nous avons mobilisé l'ensemble de CrowdStrike pour vous aider, vous et vos équipes. Si vous avez des questions ou si vous avez besoin d'une assistance supplémentaire, veuillez contacter votre représentant CrowdStrike ou l'assistance technique.

    Nous savons que les adversaires et les mauvais acteurs essaieront d'exploiter des événements comme celui-ci. J'encourage tout le monde à rester vigilant et à s'assurer que vous vous adressez à des représentants officiels de CrowdStrike. Notre blog et notre support technique resteront les canaux officiels pour les dernières mises à jour.

    Rien n'est plus important pour moi que la confiance que nos clients et partenaires ont placée en CrowdStrike. Alors que nous résolvons cet incident, je m'engage à vous fournir une transparence totale sur la façon dont cela s'est produit et sur les mesures que nous prenons pour éviter qu'une telle situation ne se reproduise.

    George Kurtz
    Fondateur et PDG de CrowdStrike
    Source : "Remediation and guidance hub: Falcon content update for Windows hosts" (CrowdStrike)

    Et vous ?

    Quel est votre avis sur le sujet ?

    Voir aussi :

    Le PDG de CrowdStrike est appelé à témoigner devant le Congrès sur le rôle déterminant de l'entreprise spécialiste en cybersécurité dans la panne qui a affecté de nombreux services à l'échelle mondiale

    Microsoft annonce que 8,5 millions de systèmes ont été touchés par le BSOD de CrowdStrike et lance un outil de récupération USB pour les entreprises affectées

  10. #90
    Membre expérimenté Avatar de AaâÂäÄàAaâÂäÄàAaâÂäÄ
    Homme Profil pro
    db@
    Inscrit en
    Septembre 2021
    Messages
    518
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : db@

    Informations forums :
    Inscription : Septembre 2021
    Messages : 518
    Points : 1 516
    Points
    1 516
    Par défaut
    Les procédures de test ne sont pas testées...
    Ce qui est assez drôle mais que ne m'aurait pas fait rire vendredi !

  11. #91
    Chroniqueur Actualités
    Avatar de Anthony
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Novembre 2022
    Messages
    1 274
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Rédacteur technique

    Informations forums :
    Inscription : Novembre 2022
    Messages : 1 274
    Points : 20 986
    Points
    20 986
    Par défaut La Malaisie demande à Microsoft et CrowdStrike de couvrir les pertes liées à la panne mondiale
    La Malaisie demande à Microsoft et CrowdStrike de couvrir les pertes liées à la panne mondiale, après qu'une mise à jour défectueuse de CrowdStrike ait mis hors service les ordinateurs fonctionnant sous Windows

    Le ministre malaisien du numérique a déclaré le mercredi 24 juillet qu'il avait demandé aux entreprises technologiques internationales Microsoft et CrowdStrike d'envisager de dédommager les entreprises qui ont subi des pertes lors de la panne technologique mondiale de la semaine dernière.

    Le 19 juillet 2024, une panne informatique mondiale de Microsoft a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan. Les écrans bleus de la mort ont perturbé le fonctionnement normal des machines Windows, affichant le message : “Recovery: It looks like Windows didn’t load correctly.”


    Une mise à jour défectueuse du logiciel de sécurité CrowdStrike a mis hors service les ordinateurs fonctionnant sous le système d'exploitation Windows de Microsoft le vendredi 19 juillet, perturbant les services internet dans le monde entier et affectant un large éventail d'industries.

    Cinq agences gouvernementales et neuf entreprises actives dans les secteurs de l'aviation, de la banque et des soins de santé figurent parmi les personnes touchées en Malaisie, a déclaré le ministre Gobind Singh Deo à la presse.

    Gobind a indiqué qu'il avait rencontré des représentants de Microsoft et de CrowdStrike afin d'obtenir un rapport complet sur l'incident et de demander aux entreprises de prendre des mesures pour éviter qu'une telle panne ne se reproduise.

    « S'il y a des dommages ou des pertes, si des parties ont fait des réclamations, je leur ai demandé d'examiner ces réclamations et de voir dans quelle mesure elles peuvent aider à résoudre le problème », a déclaré M. Gobind, ajoutant que le gouvernement apporterait également son aide pour les réclamations dans la mesure du possible.

    Mardi 23 juillet, le directeur général de la société malaisienne Capital A, qui exploite la compagnie aérienne à bas prix AirAsia, a déclaré que les compagnies aériennes touchées par la panne informatique méritaient d'être indemnisées pour les pertes subies, ont rapporté les médias.

    « Le principe est que si nous faisons quelque chose de mal, nous devons compenser. Nous, d'autres compagnies aériennes et d'autres entreprises avons perdu beaucoup d'argent ».

    « Ils devraient nous offrir une compensation, et pour l'instant, nous devons attendre et voir », a déclaré Tony Fernandes, cité par l'agence de presse nationale Bernama.

    Source : Le ministre malaisien du numérique

    Et vous ?

    Quel est votre avis sur le sujet ?
    Trouvez-vous que la demande de dédommagement lancée par la Malaisie est pertinente et justifiée ?

    Voir aussi :

    Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars, mais il est plus difficile de savoir qui paiera la facture

    Microsoft annonce que 8,5 millions de systèmes ont été touchés par le BSOD de CrowdStrike et lance un outil de récupération USB pour les entreprises affectées

    Le PDG de CrowdStrike est appelé à témoigner devant le Congrès sur le rôle déterminant de l'entreprise spécialiste en cybersécurité dans la panne qui a affecté de nombreux services à l'échelle mondiale

  12. #92
    Membre éclairé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Février 2008
    Messages
    171
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 60
    Localisation : France, Calvados (Basse Normandie)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Février 2008
    Messages : 171
    Points : 773
    Points
    773
    Par défaut
    Je n'ai pas été longtemps à l'école, mais bon, dans leurs procédures de validation, est-ce qu'il ne serait pas judicieux de (en plus) mettre à jour quelque centaines de PC de test contenant des configurations diverses et variées ?

  13. #93
    Expert confirmé
    Homme Profil pro
    ingénieur qualité
    Inscrit en
    Mars 2015
    Messages
    1 365
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : ingénieur qualité
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Mars 2015
    Messages : 1 365
    Points : 4 131
    Points
    4 131
    Par défaut
    Citation Envoyé par Anthony Voir le message
    Trouvez-vous que la demande de dédommagement lancée par la Malaisie est pertinente et justifiée ?
    Oui bien sûr mais je penses qu'on ignore bien souvent les aspects IT.

    Les entreprises devraient toutes identifier un risque de panne logicielle bloquante.
    Qu'elles devraient avoir traiter soit par
    • contrat (Je sais que dans mon entreprise nous avons, pour certains logiciels, un contrats qui exigent un taux de disponibilité minimum à assurer.)
    • prévention technique
    • assurance
    • moyen de remplacement (par exemple en cas de panne électrique nous avons des groupes électrogènes qui tiennent le temps nécessaire)
    • Processus (les processus rédigés servent entre autres à être capable de travailler manuellement en cas de pépin)


    Toute entreprise critique (hôpitaux) par exemple devrait avoir un plan de continuité d'activité qui leur assure des plans de secours pour chaque panne possible.

  14. #94
    Membre extrêmement actif Avatar de ddoumeche
    Homme Profil pro
    Ingénieur recherche et développement
    Inscrit en
    Octobre 2007
    Messages
    1 687
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Singapour

    Informations professionnelles :
    Activité : Ingénieur recherche et développement

    Informations forums :
    Inscription : Octobre 2007
    Messages : 1 687
    Points : 2 015
    Points
    2 015
    Par défaut
    Citation Envoyé par i5evangelist Voir le message
    Je n'ai pas été longtemps à l'école, mais bon, dans leurs procédures de validation, est-ce qu'il ne serait pas judicieux de (en plus) mettre à jour quelque centaines de PC de test contenant des configurations diverses et variées ?
    Inutile de mettre à jour des centaines de serveurs, un échantillon représentatif suffit mais encore faut-il que les tests fonctionnels suivent.

  15. #95
    Chroniqueur Actualités

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Juin 2023
    Messages
    927
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juin 2023
    Messages : 927
    Points : 16 513
    Points
    16 513
    Par défaut CrowdStrike offre une maigre carte-cadeau de 10 $ pour s'excuser de la panne mondiale et suscite un tollé
    CrowdStrike offre une maigre carte-cadeau de 10 $ pour s'excuser de la panne mondiale dont les dégâts sont évalués à 5,4 Mds $ pour les seules entreprises du Fortune 500
    une compensation qui suscite un tollé

    CrowdStrike tente de s'excuser auprès des victimes de la panne informatique mondiale provoquée par sa mise à jour bâclée avec une carte-cadeau de 10 $. Mais l'initiative a été accueillie avec dérision sur les médias sociaux, les victimes ayant trouvé le geste insuffisant, voire humoristique. De plus, certains bénéficiaires ont constaté que leurs cartes-cadeaux ont été annulées et n'étaient plus valables. La panne mondiale du 19 juillet 2024, décrite comme la plus grande panne informatique de l'histoire, a touché environ 8,5 millions d'appareils, pourrait coûter aux seules entreprises du Fortune 500 plus de 5 milliards de dollars en pertes directes.

    CrowdStrike : une compensation dérisoire qui suscite tollé et indignation sur la toile

    Bien que CrowdStrike ait présenté des excuses officielles, ses efforts pour atténuer la situation sont critiqués, ce qui démontre l'importance d'une réponse sincère et substantielle dans ce type d'incidents. Le géant de la cybersécurité a fait rire les médias sociaux en offrant une maigre carte-cadeau Uber Eats de 10 $ pour apaiser les nerfs des équipes informatiques et des partenaires embourbés dans la panne informatique catastrophique de vendredi dernier. La carte-cadeau indique que CrowdStrike reconnaît "le travail supplémentaire que l'incident du 19 juillet a causé", mais le message semble avoir manqué sa cible.

    La carte-cadeau ajoute : « pour cela, nous leur adressons nos remerciements et nos excuses les plus sincères pour la gêne occasionnée. Pour exprimer notre gratitude, votre prochaine tasse de café ou votre prochain en-cas de fin de soirée est à notre charge ! ». Mais de nombreux bénéficiaires de la carte-cadeau y voient de l'humour.

    Nombre des personnes l'ayant reçu ont partagé une capture d'écran du courriel de CrowdStrike sur les plateformes de médias sociaux tels que X et Reddit. Selon une capture d'écran partagé sur X, au Royaume-Uni, le bon d'achat valait 7,75 livres sterling, soit environ 10 dollars au taux de change actuel.

    Le message comprend un code pour la promotion Uber Eats, ou les utilisateurs pouvaient accéder à un code QR. Certains utilisateurs ont indiqué que le message a été signé par Daniel Bernard, directeur commercial de la société. Un critique s'indigne : « c'est bien pire que l'absence de carte-cadeau. C'est une insulte. Une maxime générale : lorsque quelque chose est important, votre réponse doit être plus importante que les plaintes. CrowdStrike dit "nous ne pensons pas que cela ait de l'importance" ».

    Un autre a déclaré : « je suppose qu'Uber les a payés pour qu'ils envoient ce message afin de promouvoir Uber Eats. Ils essaient donc de tirer profit de leur échec ». Il est également difficile de savoir la cible réelle des cartes-cadeaux. « Est-ce que CrowdStrike envoie une seule carte-cadeau Uber Eats de 10 $ à "toute une entreprise" qui a vu ses activités disparaître ou est-ce que tous les employés des entreprises concernées reçoivent une carte-cadeau ? », s'est interrogé un utilisateur.

    Par ailleurs, mercredi, certaines des personnes qui ont posté au sujet de la carte cadeau ont déclaré que lorsqu'elles ont voulu utiliser l'offre, elles ont reçu un message d'erreur indiquant que le bon avait été annulé. La page d'Uber Eats a affiché un message d'erreur indiquant que "la carte-cadeau a été annulée par la partie émettrice et n'est donc plus valide". Certaines personnes ont cru que la carte-cadeau était un canular de la part des pirates informatiques.

    Cependant, un porte-parole de CrowdStrike, Kevin Benacci, a confirmé que l'entreprise a bien envoyé les cartes-cadeaux. « Nous les avons envoyées à nos coéquipiers et partenaires qui ont aidé les clients dans cette situation. Uber a signalé qu'il s'agissait d'une fraude en raison des taux d'utilisation élevés », a déclaré Benacci.

    Le coût des dégâts causés par CrowdStrike est évalué à plus de 5 milliards de dollars

    Le 19 juillet 2024, CrowdStrike a publié une mise à jour défectueuse qui a mis hors service environ 8,5 millions d'appareils Windows. Cette mise à jour a bloqué les ordinateurs concernés sur le fameux "écran bleu de la mort" (BSOD), un écran d'erreur bleu vif accompagné d'un message qui s'affiche lorsque Windows se bloque ou ne peut pas se charger en raison d'une défaillance logicielle critique. L'évaluation des dégâts liés à l'incident n'est toujours pas terminée à ce jour.

    Nom : Capture d'écran 2024-07-25 105515.png
Affichages : 6000
Taille : 115,5 Ko

    La panne mondiale a entraîné des retards dans les aéroports d'Amsterdam, de Berlin, de Dubaï et de Londres, ainsi qu'aux États-Unis. Elle a également conduit plusieurs hôpitaux à interrompre des opérations chirurgicales et a paralysé d'innombrables entreprises de nombreux secteurs dans le monde entier. Ce qui explique en partie pourquoi la compensation offerte par CrowdStrike a suscité un tel tollé et est largement considérée comme du mépris envers les victimes.

    Les assureurs ont commencé à calculer les dommages financiers causés par la panne dévastatrice du logiciel CrowdStrike et le tableau n'est pas beau à voir. D'après une analyse de Parametrix, une société de surveillance et d'assurance du cloud computing, ce qui a été décrit comme la plus grande panne informatique de l'histoire coûtera aux seules entreprises du Fortune 500 plus de 5 milliards de dollars en pertes directes. En d'autres termes, CrowdStrike risque gros.

    L'analyse de Parametrix a été publiée mercredi. Cette évaluation préliminaire indique que les secteurs de la santé et de la banque ont été les plus durement touchés par la mésaventure de CrowdStrike, avec des pertes estimées à 1,94 milliard de dollars et 1,15 milliard de dollars, respectivement. Les compagnies aériennes du classement Fortune 500, telles qu'American et United, ont été les plus touchées, avec une perte collective de 860 millions de dollars.

    Selon Parametrix, au total, la panne pourrait avoir coûté aux entreprises Fortune 500 jusqu'à 5,4 milliards de dollars de revenus et de bénéfices bruts, sans compter les pertes secondaires qui peuvent être attribuées à la perte de productivité ou à l'atteinte à la réputation. Parametrix affirme que seule une petite partie, de l'ordre de 10 à 20 %, peut être couverte par des polices d'assurance en matière de cybersécurité. Ces chiffres pourraient être revus à la hausse prochainement.

    Fitch Ratings, l'une des plus grandes agences de notation américaines, a déclaré lundi que les types d'assurance susceptibles de recevoir le plus grand nombre de demandes d'indemnisation à la suite de la panne comprennent l'assurance contre les pertes d'exploitation, l'assurance voyage et l'assurance annulation d'événements.

    « Cet incident met en évidence le risque croissant de points de défaillance uniques », a déclaré Fitch dans un billet de blogue, avertissant que ces points de défaillance uniques sont susceptibles d'augmenter à mesure que les entreprises cherchent à se consolider pour tirer parti de l'échelle et de l'expertise, ce qui se traduit par un nombre réduit de fournisseurs détenant des parts de marché plus importantes. Selon les experts, il est important de tirer des leçons de cet incident.

    Les estimations des dommages, qui sont impressionnantes, montrent à quel point une erreur évitable commise par l'une des entreprises de cybersécurité les plus importantes au monde a eu des effets en cascade sur l'économie mondiale, et pourraient susciter de nouvelles demandes pour que CrowdStrike soit tenue pour responsable.

    Les excuses de CrowdStrike manquent leur cible et le coût de son action s'effondre

    En attendant une évaluation définitive du coût financier de la panne mondiale, les investisseurs en ont déjà fait les frais. L'incident a fait chuter le cours de l'action CrowdStrike, qui s'échangeait à près de 338 $ jeudi dernier. Vendredi, les actions sont tombées à 294 $ et, depuis mardi matin, elles se négocient à environ 264 $. Cela représente une baisse d'environ 22 % et, depuis le début du mois, la capitalisation boursière a diminué d'un tiers. Cette baisse pourrait se poursuivre.

    Nom : Capture d'écran 2024-07-25 105639.png
Affichages : 1621
Taille : 85,5 Ko

    En plus de se faire taper sur les doigts par le marché, CrowdStrike pourrait se voir infliger des amendes et des pénalités par les régulateurs. Étant donné que la panne de CrowdStrike aurait pu, à un certain niveau, impliquer des violations ou des problèmes liés aux données personnelles, elle pourrait se retrouver dans le collimateur des régulateurs européens. Elles peuvent imposer des amendes allant jusqu'à 4 % du chiffre d'affaires annuel aux entreprises qui enfreignent le RGPD.

    En outre, CrowdStrike pourrait voir ses clients partir vers des entreprises concurrentes. Là encore, il est difficile d'évaluer le nombre de clients que CrowdStrike pourrait perdre à ce stade, car beaucoup d'entre eux sont sous contrat et pourraient avoir du mal à couper immédiatement les ponts. Certains analystes estiment toutefois qu'environ 5 % de sa clientèle pourrait disparaître, et CrowdStrike devra également faire face à la perte de nouveaux clients potentiels.

    Cerise sur le gâteau, CrowdStrike pourrait également avoir à rembourser les clients qui ont subi des pertes ou des interruptions d'activité. Si l'on fait le compte, la panne a déjà coûté des milliards à CrowdStrike et à ses investisseurs, y compris les pertes boursières. Mais avec les litiges et les nombreuses actions en justice qui se profilent à l'horizon, il faut probablement s'attendre à des milliards supplémentaires en amendes, en frais de justice et en pertes de chiffre d'affaires.

    Depuis le début de la panne vendredi, CrowdStrike a régulièrement publié des mises à jour sur ses efforts pour comprendre la cause de la panne. Dans une mise à jour publiée mercredi, l'entreprise a indiqué qu'en raison d'un bogue intervenu au cours du processus de vérification de la fiabilité de la mise à jour, "le code défectueux a passé la validation malgré le fait qu'il contenait des données de contenu problématiques". Ce qui a ensuite occasionné un chaos mondial.

    Le PDG de CrowdStrike, George Kurtz, s'est excusé, affirmant : « tout le monde chez CrowdStrike comprend la gravité et l'impact de la situation. Rien n'est plus important pour moi que la confiance que nos clients et partenaires ont placée en CrowdStrike. Alors que nous résolvons cet incident, je m'engage à vous fournir une transparence totale sur la façon dont cela s'est produit et sur les mesures que nous prenons pour éviter qu'une telle situation ne se reproduise ».

    Le responsable de la sécurité Shawn Henry a déclaré : « cela fait près de 40 ans que je suis dans la vie professionnelle et mon étoile polaire a toujours été de protéger les bonnes personnes des mauvaises choses. Ces deux derniers jours ont été les 48 heures les plus difficiles pour moi en plus de 12 ans. La confiance que nous avons bâtie au compte-gouttes au fil des ans a été perdue par seaux en l'espace de quelques heures, et ce fut un coup de poing dans le dos ».

    Source : Fitch Ratings, Parametrix

    Et vous ?

    Quel est votre avis sur le sujet ?
    Que pensez-vous de la carte-cadeau de 10 $ offerte par CrowdStrike aux victimes de sa mise à jour défectueuse ?
    Pourquoi CrowdStrike offre-t-elle une carte-cadeau d'un montant dérisoire par rapport aux énormes dégâts qu'il a causés ?
    Partagez-vous l'avis selon lequel l'offre de CrowdStrike est une insulte envers les victimes de sa mise à jour bâclée ?
    Que pensez-vous du coût financier de l'incident pour CrowdStrike ? L'entreprise pourrait-elle suivre aux agitations qui l'attendent ?

    Voir aussi

    Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars, mais il est plus difficile de savoir qui paiera la facture

    Falcon Sensor de CrowdStrike a également causé des problèmes sur les machines Linux récemment, les professionnels estiment que la situation n'est pas comparable aux BSoD provoqués sur Windows

    CrowdStrike accuse un bogue dans le logiciel de test d'avoir mis hors service 8,5 millions de machines Windows, car il n'a pas validé correctement la mise à jour du contenu qui a été diffusée sur les machines

  16. #96
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 006
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 006
    Points : 208 278
    Points
    208 278
    Par défaut CrowdStrike pourrait être tenue pour responsable des dommages subis en France, sur la base du précédent OVH
    CrowdStrike pourrait être tenue pour responsable des dommages subis en France, sur la base du précédent OVH
    d'après un ingénieur. Mais son point de vue ne fait pas l'unanimité

    La question qui revient souvent est de savoir si CrowdStrike sera responsable des dommages subis. Un professionnel de l'informatique a fait le parallèle avec la situation d'OVH en France pour conclure par la positive, en tout cas en France.

    Les détails de l’incident
    • Origine du problème : La panne a été causée par un défaut dans le logiciel de test de CrowdStrike. Malgré des données problématiques, une mise à jour a été validée et déployée sur des millions d’ordinateurs Windows. Le résultat ? Une catastrophe mondiale.
    • Réaction de CrowdStrike : Face à la crise, CrowdStrike a fourni des explications. L’entreprise a annoncé qu’elle déploierait désormais les mises à jour progressivement pour détecter les problèmes avant qu’ils ne se propagent à grande échelle. Cependant, cette réponse est-elle suffisante pour atténuer les conséquences de l’incident ?
    • Responsabilité et précédent OVH : Malgré les pertes subies par les entreprises touchées, CrowdStrike a été considérée comme minimement responsable des dommages causés. Cela soulève des questions importantes sur la responsabilité des entreprises de cybersécurité lorsqu’une mise à jour provoque une panne mondiale. Le précédent OVH, où l’hébergeur français a été tenu partiellement responsable d’un incendie majeur dans son datacenter, pourrait-il influencer la décision concernant CrowdStrike ? Un professionnel répond par l'affirmative.

    Les arguments avancés

    OVH est un fournisseur français de centres de données et de cloud, prétendument le plus grand fournisseur d'hébergement en Europe. Il est surtout connu pour fournir des serveurs physiques et des machines virtuelles, ainsi qu'une variété de services en nuage. Le 10 mars 2021, un incendie s'est déclaré dans les locaux de la SGB. Il a brûlé deux centres de données SGB1 SGB2 avec peu ou pas de récupération et a rendu deux autres centres de données SGB3 SGB4 inopérants pendant un certain temps.

    Ce qui est intéressant, c'est la suite des événements. Plusieurs sites ont été détruits, entraînant une perte irrémédiable de services et de données pour leurs clients. Plusieurs clients les ont poursuivis en justice pour obtenir des dommages et intérêts et ils ont gagné.

    J'ai trouvé qu'il y avait quelques points intéressants soulevés et discutés par la cour :
    • Il y a eu une perte totale de service pendant et après l'événement.
    • Il y a eu une perte totale et irrémédiable de données après l'événement.
    • OVH fournissait un service de sauvegarde pour ses machines et ses services.
    • Perte totale et irrévocable des sauvegardes après l'événement.
    • Il y avait plusieurs centres de données dans des endroits proches, comme c'est la pratique courante pour assurer une certaine résilience : SGB1 SGB2 SGB3 SGB4
    • Plusieurs centres de données ont brûlé en même temps.
    • Les multiples centres de données se trouvaient en fait au même endroit, à quelques pas l'un de l'autre. Cette situation a été jugée inattendue et non raisonnable par le tribunal.
    • Les sauvegardes étaient stockées dans le même centre de données ou dans l'autre centre de données qui pouvait se trouver au même endroit. Cela n'a pas été considéré comme raisonnable par le tribunal.
    • OVH a tenté de faire valoir que les clients auraient dû suivre la bonne pratique consistant à disposer de plusieurs sauvegardes dans des lieux distincts. Le tribunal a reconnu qu'il s'agissait d'une bonne pratique.
    • Le tribunal a déterminé qu'OVH était le fournisseur de sauvegardes et qu'il lui incombait de fournir des sauvegardes d'un niveau raisonnable et de respecter les bonnes pratiques. Cela inclut le stockage d'une copie de la sauvegarde ailleurs, comme le veut la bonne pratique.
    • Le tribunal a jugé que le service de sauvegarde d'OVH n'était pas exploité selon des normes raisonnables et qu'il n'avait pas atteint son objectif.

    Je trouve cela intéressant pour les techniciens, la cour jugera votre technologie et ce qui peut vraiment être considéré comme les meilleures pratiques. C'est comme l'ultime examen du code.

    Pour résumer comment les choses fonctionnent : préjudice causé + intention de causer un préjudice ou négligence = possibilité de dommages-intérêts.

    Un préjudice important a été causé aux clients, car des entreprises entières ont été fermées, souvent pour une durée indéterminée, avec une perte totale de données et sans possibilité de récupération. Il existe de nombreuses occurrences de négligence, d'erreurs ou de pratiques douteuses dans la manière dont OVH exploitait le service, ce qui a conduit au problème. Il s'agit d'un dossier solide. De nombreux clients ont ouvert un dossier contre OVH et ont obtenu gain de cause. Il est possible que d'autres dossiers soient encore en cours de traitement.

    Cela nous amène à CrowdStrike. Les similitudes sont frappantes !


    À propos de CrowdStrike

    CrowdStrike est un logiciel antivirus installé sur les ordinateurs. Il est parfois appelé EDR (Endpoint Detection and Response) de nos jours. Il est principalement installé sur les appareils des grandes entreprises, qui sont tenues de disposer d'une solution de sécurité.

    CrowdStrike s'exécute au démarrage de l'ordinateur. Il s'intègre profondément dans le système d'exploitation (Windows ou Linux) au niveau du noyau, pour s'exécuter dès que possible et avant que d'autres choses ne démarrent. Il surveille ce qui s'exécute, il peut bloquer et signaler tout ce qu'il juge suspect.

    Le 19 juillet 2024, CrowdStrike a publié une mise à jour de son logiciel. La mise à jour était boguée et faisait planter tous les ordinateurs sur lesquels elle était déployée. Des millions d'ordinateurs ont reçu simultanément la mise à jour à travers le monde et ont été rendus non fonctionnels.

    Les clients subissent un préjudice important. Des entreprises ont été partiellement ou totalement fermées, pendant des jours ou des semaines. Il y a eu plusieurs cas de négligence, d'erreurs et de pratiques douteuses dans la manière dont CrowdStrike exploitait le service, ce qui a conduit au problème. Il ne s'agit pas d'un incident isolé, puisque des personnes ont signalé que la même chose s'était produite quelques semaines auparavant, à une moindre échelle.

    La responsabilité de CrowdStrike devrait donc être engagée et donner lieu à d'innombrables demandes de dommages-intérêts.

    Nom : crow.png
Affichages : 6938
Taille : 366,1 Ko

    Les points saillants qu'il a utilisé pour parvenir à cette conclusion

    Voici quelques éléments qu'il a évoqué :
    • D'après les discussions en ligne, les clients des hôpitaux se sont déjà plaints de ce problème et ont demandé à CrowdStrike de permettre un certain contrôle sur les mises à jour. Un client a indiqué qu'il avait reçu un mémo de 50 pages de CrowdStrike disant qu'il refusait de mettre en place quoi que ce soit.
    • La mise à jour a fait planter tous les ordinateurs sur lesquels elle a été déployée (BSOD).
    • Il ne s'agit pas d'un incident isolé. La même chose s'est produite quelques semaines plus tôt avec l'agent CrowdStrike sur Linux, détruisant le système, et il y a peut-être eu d'autres incidents auparavant.
    • Tous les ordinateurs ont été rendus inopérants par CrowdStrike, incapables de démarrer.
    • Pour les entreprises concernées, cela signifiait que tous leurs employés se retrouvaient avec un ordinateur mort, incapable de faire quoi que ce soit.
    • Les utilisateurs ne pouvaient pas « accéder » à l'ordinateur pour déposer un ticket ou le dépanner.
    • Il s'agissait d'une perte totale de service, sans possibilité de récupération.
    • L'un des moyens de réparer l'ordinateur consistait à confier l'ordinateur à l'équipe informatique et à le réinstaller complètement (réimage).
    • Un autre moyen, découvert plus tard dans la journée, consistait pour un administrateur à accéder physiquement à l'ordinateur ET à essayer de démarrer en mode sans échec ou en mode de récupération, puis à supprimer le fichier du pilote de CrowdStrike.
    • Cette correction ne peut être effectuée qu'avec un accès physique à l'ordinateur concerné ET par un administrateur disposant d'un mot de passe spécial (ou d'une clé USB contenant le mot de passe) pour démarrer un ordinateur portable en mode de récupération.
    • Il faudra des semaines aux entreprises concernées pour mettre la main sur chaque appareil, ordinateur portable, ordinateur de bureau et serveur. Il peut s'agir de milliers, voire de centaines de milliers d'appareils.
    • Cela prendra plus de temps pour les appareils qui sont enfermés ou difficiles d'accès, comme les terminaux d'écran dans un aéroport, les appareils médicaux et les machines dans un hôpital, les panneaux d'ascenseurs.
    • Il peut être impossible de restaurer l'appareil s'il est verrouillé d'une manière ou d'une autre (blocage physique ou mot de passe de récupération inconnu).
    • Les employés qui ont besoin d'un ordinateur pour travailler ne peuvent pas travailler pendant tout ce temps.
    • Il n'est pas possible de fournir un ordinateur de rechange aux utilisateurs concernés, car les ordinateurs de rechange ont également été touchés par le problème.

    Les limites de son raisonnement

    Cet avis ne fait pas l'unanimité.

    Un autre professionnel souligne que la responsabilité d'OVH a été engagée en raison de la perte de données et non de l'interruption du service. La perte de données est quelque chose d'irrémédiable, de permanent, de définitif. Certaines entreprises ont été pratiquement ruinées par cet incident parce qu'elles n'avaient plus de données pour fonctionner. Pour ne rien arranger, elles ont vendu des sauvegardes hors site dans le centre de données situé littéralement à quelques mètres de là. Une interruption de service, eh bien, ça arrive, et c'est géré par des contrats de niveau de service (SLA) que les deux parties acceptent. On ne ruine pas une entreprise (lire : on ne ferme pas une entreprise) pour quelques jours de panne.

    Je doute que CrowdStrike soit tenu responsable de beaucoup de choses, du moins de la part des entreprises. Ils ne peuvent pas rembourser les dommages causés, autrement ils seraient poussés à fermer boutique. Le secteur des soins de santé est une autre paire de manche, mais je pense qu'il y aura davantage de réglementations pour les entités critiques.

    Source : The HFT Guy

    Et vous ?

    Analyse de l'opinion : Partagez-vous ce point de vue ? CrowdStrike devrait-il / pourrait-il être tenu pour responsable des dommages subis dans votre pays ? Dans quelle mesure ? Si oui, à quelle hauteur (totalement ou partiellement) ?
    Responsabilité des entreprises de cybersécurité : Devrions-nous exiger davantage des entreprises comme CrowdStrike lorsqu’elles introduisent des mises à jour ? Comment pouvons-nous équilibrer l’innovation avec la sécurité ?
    Amélioration des processus de test : Comment les entreprises peuvent-elles améliorer leurs processus de test et de validation des mises à jour pour éviter de tels incidents à l’avenir ?
    Conséquences pour les utilisateurs et les entreprises : Quelles sont les conséquences réelles pour les utilisateurs et les entreprises touchés par une panne informatique mondiale ? Comment pouvons-nous mieux nous préparer à de telles situations ?
    Éthique de l’intelligence artificielle : L’incident de CrowdStrike soulève également des questions plus larges sur l’impact de l’IA sur notre société. Comment pouvons-nous garantir que les avancées technologiques ne nuisent pas aux utilisateurs ?

  17. #97
    Membre éclairé
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Septembre 2014
    Messages
    227
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Septembre 2014
    Messages : 227
    Points : 773
    Points
    773
    Par défaut
    Faut voir les contrats.
    Mais CrowdStrike n'a pas de SLA à respecter.
    Il n'y a pas eu de perte de données dans l'histoire, c'est surtout un manque de personnels IT pour rebooter les machines, qui a provoqué le fait d'avoir des pannes pendant des heures.

  18. #98
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Octobre 2017
    Messages
    2 011
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Octobre 2017
    Messages : 2 011
    Points : 6 307
    Points
    6 307
    Par défaut
    Il y a un petit détail qui échappe au pseudo-expert qui donne son avis... A l'inverse d'OVH, CrowdStrike n'est pas une société française!!!

  19. #99
    Chroniqueur Actualités
    Avatar de Bruno
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Mai 2019
    Messages
    1 954
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Mai 2019
    Messages : 1 954
    Points : 38 004
    Points
    38 004
    Par défaut CrowdStrike : les pannes causées par la MAJ logicielle révèlent des failles systémique dans la cybersécurité
    Incident logiciel de CrowdStrike : les pannes informatiques causées par la MAJ révèlent des failles systémiques dans la cybersécurité
    et soulignent l'importance de tests rigoureux avant tout déploiement

    Une mise à jour défectueuse du logiciel de cybersécurité de CrowdStrike a provoqué une panne informatique mondiale, affectant de nombreuses entreprises, notamment des banques, des compagnies aériennes et des détaillants. Les utilisateurs ont signalé des erreurs d'écran bleu sur des ordinateurs Windows. Cette panne a touché divers secteurs et entraîné des perturbations importantes, notamment dans les voyages et les systèmes bancaires. La CISA a observé que des acteurs malveillants tentaient de tirer parti de la situation pour des activités de phishing. Les actions de CrowdStrike ont chuté de 11 % suite à cet incident.

    Des entreprises à travers le monde signalent des pannes informatiques, notamment des erreurs d'écran bleu sur leurs ordinateurs, constituant l'une des perturbations informatiques les plus répandues de ces dernières années. Cette panne, causée par une mise à jour logicielle de CrowdStrike, a touché des ordinateurs Windows dans divers secteurs, y compris les compagnies aériennes, les banques, les détaillants, les maisons de courtage, les sociétés de médias et les réseaux ferroviaires, avec une forte incidence sur le secteur des voyages.

    Nom : Crowseck.jpg
Affichages : 7918
Taille : 39,7 Ko

    Le PDG de CrowdStrike, George Kurtz a confirmé dans un message sur X qu'un « défaut » dans une mise à jour de contenu pour les hôtes Windows était responsable de la panne, excluant la possibilité d'une cyberattaque et que les hôtes Mac et Linux n'étaient pas affectés.

    « CrowdStrike collabore activement avec les clients concernés par ce défaut dans une mise à jour de contenu pour les hôtes Windows. Les hôtes Mac et Linux ne sont pas touchés », a déclaré Kurtz sur X. « Il ne s'agit pas d'un incident de sécurité ou d'une cyberattaque. Le problème a été identifié, isolé, et un correctif est en cours de déploiement. Nous renvoyons les clients au portail d'assistance pour les dernières mises à jour et continuerons à fournir des informations complètes et continues sur notre site web. Nous recommandons également aux organisations de communiquer avec les représentants de CrowdStrike par les canaux officiels. Notre équipe est entièrement mobilisée pour assurer la sécurité et la stabilité de nos clients », a affirmé Kurtz.

    CrowdStrike fournit des mises à jour de configuration du contenu de sécurité à ses capteurs de deux manières : Sensor Content qui est livré directement avec ses capteurs, et Rapid Response Content qui est conçu pour répondre à l'évolution du paysage des menaces à la vitesse opérationnelle. Le problème concernait une mise à jour Rapid Response Content avec une erreur non détectée.

    Rapid Response Content est utilisé pour effectuer une variété d'opérations de mise en correspondance de modèles comportementaux sur le capteur à l'aide d'un moteur hautement optimisé. Le Rapid Response Content est une représentation des champs et des valeurs, avec le filtrage associé. Ce Rapid Response Content est stocké dans un fichier binaire propriétaire qui contient des données de configuration. Il ne s'agit pas d'un code ou d'un pilote de noyau.

    Le Rapid Response Content est fourni sous la forme de Template Instances (instances de modèles), qui sont des instanciations d'un Template Type donné. Chaque Template Instance correspond à des comportements spécifiques que le capteur doit observer, détecter ou prévenir. Les Template Instances disposent d'un ensemble de champs qui peuvent être configurés pour correspondre au comportement désiré. En d'autres termes, les Template Types représentent une capacité de capteur qui permet de nouvelles télémétries et détections, et leur comportement en cours d'exécution est configuré dynamiquement par un Template Instance (c'est-à-dire un Rapid Response Content).

    Rapid Response Content fournit une visibilité et des détections sur le capteur sans qu'il soit nécessaire de modifier le code du capteur. Cette capacité est utilisée par les ingénieurs chargés de la détection des menaces pour recueillir des données télémétriques, identifier les indicateurs du comportement de l'adversaire et effectuer des détections et des préventions. Rapid Response Content est une heuristique comportementale, séparée et distincte des capacités de prévention et de détection de l'IA sur le capteur de CrowdStrike.

    Plus tard vendredi, la CISA, l'agence américaine de cybercriminalité, a déclaré que même si la panne n'était pas due à une activité suspecte, des acteurs de la menace en profitaient pour mener des activités de phishing et d'autres actions malveillantes. Un message sur les forums d'assistance de CrowdStrike (accessibles uniquement par connexion) a également reconnu le problème tôt vendredi, indiquant que l'entreprise avait reçu des rapports de pannes liées à une mise à jour de contenu. CrowdStrike a précisé que ces rapports de crash étaient « liés à Falcon Sensor », son service de sécurité basé sur le cloud, décrit comme une solution de « détection des menaces en temps réel, de gestion simplifiée et de chasse proactive aux menaces ».

    Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars

    Dans un message publié sur les réseaux sociaux, CrowdStrike a indiqué qu'un « nombre important » des 8,5 millions d'appareils affectés étaient de nouveau opérationnels et s'est excusée pour la perturbation. L'entreprise a souligné qu'elle se concentrait sur la restauration rapide de tous les systèmes et a mis en place un système d'opt-in pour une nouvelle technique de restauration en collaboration avec ses clients. CrowdStrike a exprimé sa gratitude envers ses clients et partenaires pour leur travail acharné et leur patience pendant cette crise.

    Les experts estiment qu'il est trop tôt pour évaluer avec précision le coût de la panne mondiale survenue vendredi, mais selon Patrick Anderson, PDG d'Anderson Economic Group, ces coûts pourraient facilement dépasser le milliard de dollars. Anderson a rappelé que la récente cyberattaque contre CDK Global, une société de logiciels pour concessionnaires automobiles, avait également coûté environ un milliard de dollars. La panne actuelle touche un plus grand nombre de consommateurs et d'entreprises, engendrant des coûts importants, notamment pour les compagnies aériennes en raison des vols annulés et des retards, entraînant des pertes de revenus et des coûts supplémentaires de main-d'œuvre et de carburant.

    Malgré la position dominante de CrowdStrike dans le domaine de la cybersécurité et un chiffre d'affaires annuel légèrement inférieur à 4 milliards de dollars, l'entreprise pourrait bénéficier de protections juridiques stipulées dans ses contrats. James Lewis, chercheur au Center for Strategic and International Studies, a suggéré que les contrats de CrowdStrike pourraient les protéger contre toute responsabilité. Par ailleurs, Mark Friedlander, porte-parole de l'Insurance Information Institute, a souligné que les entreprises touchées par la panne pourraient découvrir que l'assurance traditionnelle contre les pertes d'exploitation ne les couvrira pas, car ces polices exigent généralement des dommages physiques pour les biens de l'entreprise. Les polices d'interruption du réseau d'entreprise pourraient couvrir ces pertes, mais souvent seulement en cas de piratages malveillants, excluant des incidents non malveillants comme celui-ci.

    Le PDG de CrowdStrike est convoqué à témoigner devant le Congrès sur la panne majeure

    Les dirigeants de la Chambre des représentants des États-Unis ont demandé à George Kurtz, PDG de CrowdStrike, de témoigner devant le Congrès concernant le rôle de son entreprise dans la panne technologique généralisée. Cette panne a cloué des vols au sol, mis hors service des banques et des systèmes hospitaliers, et affecté des services dans le monde entier.

    Cette demande fait suite à une déclaration de CrowdStrike indiquant qu'un « nombre significatif » d'ordinateurs s'étaient bloqués vendredi, causant des perturbations mondiales. Bien que de nombreux systèmes soient de nouveau opérationnels, les clients et les régulateurs attendent des explications détaillées sur les événements. Les républicains à la tête de la commission de la sécurité intérieure de la Chambre des représentants ont exprimé leur souhait d'obtenir des réponses rapidement. « Nous apprécions la réaction de CrowdStrike et la coordination avec les parties prenantes, mais nous ne pouvons pas ignorer l'ampleur de cet incident, que certains ont qualifié de plus grande panne informatique de l'histoire », ont écrit les députés Mark E. Green (Tennessee) et Andrew Garbarino (New York) dans une lettre adressée à Kurtz.


    La solution « facile » documentée à la fois par CrowdStrike (dont c'est la faute directe) et par Microsoft (qui a été largement blâmé dans les rapports grand public, en partie à cause d'une panne d'Azure sans rapport avec le problème, survenue peu avant le 18 juillet) consistait à redémarrer les systèmes concernés à plusieurs reprises dans l'espoir qu'ils téléchargent un nouveau fichier de mise à jour avant qu'ils ne tombent en panne. Pour les systèmes sur lesquels cette méthode n'a pas fonctionné - et Microsoft a recommandé aux clients de redémarrer jusqu'à 15 fois pour donner aux ordinateurs une chance de télécharger la mise à jour - la solution recommandée a été de supprimer manuellement le mauvais fichier .sys. Cela permet au système de démarrer et de télécharger un fichier corrigé, ce qui résout les problèmes sans laisser les machines sans protection.

    Pour faciliter ce processus, Microsoft a publié ce week-end un outil de récupération qui permet d'automatiser le processus de réparation sur certains systèmes concernés. Il s'agit de créer un support de démarrage à l'aide d'une clé USB de 1 à 32 Go, de démarrer à partir de cette clé USB et d'utiliser l'une des deux options pour réparer votre système. Pour les appareils qui ne peuvent pas démarrer via USB (cette option est parfois désactivée sur les systèmes d'entreprise pour des raisons de sécurité), Microsoft documente également une option de démarrage PXE pour le démarrage via un réseau.

    La dépendance des entreprises aux logiciels de sécurité exposée

    La panne informatique mondiale causée par une mise à jour défectueuse du logiciel de cybersécurité de CrowdStrike soulève plusieurs questions importantes concernant la fiabilité et la robustesse des solutions de cybersécurité. Tout d'abord, cette situation met en évidence la dépendance critique des entreprises à l'égard des logiciels de sécurité et la vulnérabilité potentielle qu'une simple mise à jour défectueuse peut engendrer.

    Malgré les assurances de George Kurtz, PDG de CrowdStrike, que cette panne n'était pas une cyberattaque, l'ampleur des perturbations, en particulier dans des secteurs vitaux comme les voyages et les systèmes bancaires, souligne l'importance de tests rigoureux avant le déploiement de mises à jour logicielles. La nécessité de mesures de sauvegarde et de plans de contingence devient évidente pour prévenir des interruptions de cette ampleur.

    La réponse rapide de la CISA, qui a noté l'exploitation de la situation par des acteurs malveillants pour mener des activités de phishing, ajoute une couche de complexité et montre que les incidents techniques peuvent rapidement devenir des opportunités pour des attaques plus ciblées. Enfin, la chute de 11 % des actions de CrowdStrike met en lumière l'impact financier immédiat que de tels incidents peuvent avoir sur une entreprise, affectant non seulement sa réputation mais aussi sa valeur marchande. Cette situation doit servir de leçon pour renforcer les processus de mise à jour et de déploiement dans le secteur de la cybersécurité afin de minimiser les risques de perturbations futures.

    Source : Crowdstrike

    Et vous ?

    Quel est votre avis sur ce sujet ?

    Comment les entreprises affectées par la panne peuvent-elles se préparer à de futures interruptions similaires ?

    Quels types de garanties de sécurité devraient rechercher les entreprises dans les solutions de cybersécurité ?

    Voir aussi :

    Le PDG de CrowdStrike est appelé à témoigner devant le Congrès sur le rôle déterminant de l'entreprise spécialiste en cybersécurité dans la panne, qui a affecté de nombreux services à l'échelle mondiale

    Falcon Sensor de CrowdStrike a également causé des problèmes sur les machines Linux récemment, les professionnels estiment que la situation n'est pas comparable aux BSoD provoqués sur Windows

    Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars, mais il est plus difficile de savoir qui paiera la facture

  20. #100
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 006
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 006
    Points : 208 278
    Points
    208 278
    Par défaut Microsoft appelle à des changements et à la résilience de Windows après la panne de CrowdStrike
    Réforme de l’accès au noyau Windows : Microsoft cherche à renforcer la sécurité après l’incident avec CrowdStrike,
    Windows deviendra-t-il un système plus fermé, à l’instar de macOS d’Apple ?

    La semaine dernière, une panne causée par une mise à jour défectueuse de CrowdStrike a touché environ 8,5 millions d’appareils Windows. En réponse à cet incident, Microsoft souhaite renforcer la résilience de son système d’exploitation en limitant l’accès des tiers au noyau Windows. Pour éviter une nouvelle panne de type CrowdStrike, Windows deviendra-t-il un système d'exploitation plus fermé, comme macOS d'Apple ?

    Microsoft continue d'aider CrowdStrike à réparer les dégâts causés il y a une semaine, lorsque 8,5 millions d'ordinateurs ont été mis hors service à cause d'une mise à jour boguée de CrowdStrike. Aujourd'hui, le géant du logiciel appelle à des modifications de Windows et laisse entendre subtilement que sa priorité est de rendre Windows plus résistant et qu'il est prêt à empêcher les fournisseurs de solutions de sécurité comme CrowdStrike d'accéder au noyau de Windows.

    Bien que CrowdStrike ait attribué sa mise à jour ratée à un bogue dans son logiciel de test, son logiciel fonctionne au niveau du noyau - la partie centrale d'un système d'exploitation qui a un accès illimité à la mémoire du système et au matériel. Cela signifie que si quelque chose ne va pas avec l'application de CrowdStrike, elle peut faire tomber les machines Windows avec un écran bleu de la mort.

    Le logiciel Falcon de CrowdStrike utilise un pilote spécial qui lui permet de fonctionner à un niveau inférieur à celui de la plupart des applications, de sorte qu'il peut détecter les menaces sur l'ensemble d'un système Windows. En 2006, Microsoft a tenté d'empêcher les tiers d'accéder au noyau de Windows Vista, mais s'est heurté au refus des fournisseurs de cybersécurité et des autorités de réglementation de l'UE. Toutefois, Apple a réussi à verrouiller son système d'exploitation macOS en 2020 afin que les développeurs ne puissent plus accéder au noyau.

    Aujourd'hui, il semble que Microsoft veuille rouvrir le débat sur la restriction de l'accès au niveau du noyau dans Windows.

    Nom : crow.png
Affichages : 22644
Taille : 17,9 Ko

    Que peut faire Microsoft ?

    Bien qu'il ne soit pas directement impliqué, Microsoft contrôle toujours l'expérience Windows, et il y a beaucoup de place pour l'amélioration dans la façon dont Windows gère des problèmes comme celui-ci.

    Au minimum, Windows pourrait désactiver les pilotes défectueux. Si Windows détermine qu'un pilote fait planter le système au démarrage et le force à passer en mode de récupération, Microsoft pourrait intégrer une logique plus intelligente permettant à un système de démarrer sans le pilote défectueux après plusieurs échecs de démarrage.

    Mais le changement le plus important consisterait à verrouiller l'accès au noyau de Windows afin d'empêcher les pilotes tiers de faire planter un PC entier. Ironiquement, Microsoft a essayé de faire exactement cela avec Windows Vista, mais s'est heurté à la résistance des fournisseurs de cybersécurité et des régulateurs de l'UE.

    En 2006, Microsoft a tenté de mettre en œuvre une fonction connue à l'époque sous le nom de PatchGuard dans Windows Vista, en empêchant les tiers d'accéder au noyau. McAfee et Symantec, les deux plus grands éditeurs d'antivirus de l'époque, se sont opposés aux changements de Microsoft, et Symantec s'est même plaint auprès de la Commission européenne. Microsoft a finalement fait marche arrière, autorisant à nouveau les fournisseurs de solutions de sécurité à accéder au noyau à des fins de contrôle de la sécurité.

    Apple a fini par prendre la même mesure, en verrouillant son système d'exploitation macOS en 2020 afin que les développeurs ne puissent plus accéder au noyau. « C'était certainement la bonne décision de la part d'Apple de rendre obsolètes les extensions tierces du noyau », déclare Patrick Wardle, PDG de DoubleYou et fondateur de Objective-See Foundation. « Mais le chemin à parcourir pour y parvenir a été semé d'embûches. Apple a connu quelques bogues de noyau où les outils de sécurité fonctionnant en mode utilisateur pouvaient encore déclencher un crash (panique du noyau), et Wardle dit qu'Apple « a également introduit quelques vulnérabilités d'exécution de privilèges, et il y a encore d'autres bogues qui pourraient permettre aux outils de sécurité sur Mac d'être déchargés par des logiciels malveillants ».

    Il est possible que des pressions réglementaires empêchent encore Microsoft d'agir dans ce domaine. Le Wall Street Journal a rapporté ce week-end « qu'un porte-parole de Microsoft a déclaré que la société ne pouvait pas légalement cloisonner son système d'exploitation de la même manière qu'Apple, en raison d'un accord conclu avec la Commission européenne à la suite d'une plainte ». Le Journal paraphrase le porte-parole anonyme et mentionne également un accord de 2009 visant à fournir aux éditeurs de solutions de sécurité le même niveau d'accès à Windows que Microsoft.

    En 2009, Microsoft a conclu un accord d'interopérabilité avec la Commission européenne. Il s'agissait d'un « engagement public » visant à permettre aux développeurs d'accéder à la documentation technique nécessaire à la création d'applications au-dessus de Windows. L'accord comprenait la mise en œuvre d'un écran de choix du navigateur dans Windows et l'offre de versions spéciales de Windows sans Internet Explorer intégré dans le système d'exploitation.

    Dans quelle direction l'entreprise a-t-elle décidé d'évoluer ?

    « Cet incident montre clairement que Windows doit donner la priorité au changement et à l'innovation dans le domaine de la résilience de bout en bout », déclare John Cable, vice-président de la gestion des programmes pour le service et la livraison de Windows, dans un billet de blog intitulé « Résilience de Windows : Les meilleures pratiques et la voie à suivre ». Cable appelle à une coopération plus étroite entre Microsoft et ses partenaires « qui se soucient également beaucoup de la sécurité de l'écosystème Windows » afin d'apporter des améliorations en matière de sécurité.

    Microsoft a attribué une partie de la panne de CrowdStrike à l'accord antitrust de l'Union européenne de 2009 qui oblige Redmond à ouvrir l'accès au niveau du noyau aux fournisseurs de logiciels tiers. En revanche, Apple a commencé à supprimer progressivement les extensions du noyau dans macOS en 2020 et a incité les éditeurs de logiciels à utiliser le « framework d'extension du système », en citant les avantages en termes de fiabilité et de sécurité.

    Cable ne demande pas à Microsoft de couper complètement l'accès au noyau Windows. Il propose plutôt des alternatives, telles que « les enclaves VBS récemment annoncées, qui fournissent un environnement informatique isolé qui ne nécessite pas que les pilotes du mode noyau soient résistants aux manipulations ».

    Citation Envoyé par John Cable
    Parmi les exemples d'innovation, citons les enclaves VBS récemment annoncées, qui fournissent un environnement de calcul isolé ne nécessitant pas que les pilotes en mode noyau soient résistants aux manipulations, et le service d'attestation Microsoft Azure, qui peut aider à déterminer la posture de sécurité du chemin d'amorçage. Ces exemples utilisent des approches modernes de confiance zéro et montrent ce qui peut être fait pour encourager les pratiques de développement qui ne reposent pas sur l'accès au noyau. Nous continuerons à développer ces capacités, à renforcer notre plateforme et à faire encore plus pour améliorer la résilience de l'écosystème Windows, en travaillant ouvertement et en collaboration avec l'ensemble de la communauté de la sécurité.

    Il est toujours possible qu'une panne ait un impact sur une organisation. Au cours des derniers jours, nous avons eu des milliers d'appels avec des organisations du monde entier. Nous avons observé que celles qui ont été en mesure de remédier à la situation et de se rétablir le plus rapidement ont suivi un ensemble de pratiques similaires. Nous souhaitons partager ces meilleures pratiques avec vous.
    L'industrie des solutions de cybersécurité suit l'évolution de la situation avec attention

    Malgré cela, le billet de Cable soulève la question de savoir si les efforts déployés par Microsoft pour sécuriser l'accès au noyau pourraient nuire aux éditeurs de logiciels tiers. Par exemple, les logiciels antivirus peuvent utiliser l'accès au niveau du noyau pour surveiller les changements malveillants apportés au système d'exploitation Windows dès les premières étapes.

    « Sans les privilèges du mode noyau, [les antivirus et les systèmes de détection et de réponse des points d'extrémité] sont extrêmement limités dans ce qu'ils peuvent faire. Cependant, nous ne pensons pas que Microsoft va vraiment révoquer l'accès au mode noyau pour les fournisseurs de sécurité », a tweeté le service de suivi des logiciels malveillants VX-Underground.

    Pour sa part, Matthew Prince, PDG de Cloudflare, a déjà mis en garde contre les effets d'un verrouillage plus poussé de Windows par Microsoft, qui devra donc prendre soigneusement en compte les besoins des fournisseurs de solutions de sécurité s'il souhaite opérer un véritable changement.

    Conclusion

    Microsoft cherche à éviter les pannes similaires à celle de CrowdStrike en renforçant la sécurité tout en préservant l’accès nécessaire aux éditeurs tiers. L’avenir de Windows sera-t-il plus fermé ? L’entreprise devra trouver un équilibre entre sécurité et flexibilité0

    Sources : Microsoft (1, 2) Apple

    Et vous ?

    Quelle est votre opinion sur l’accès au noyau Windows ? Pensez-vous que Microsoft devrait restreindre davantage l’accès des tiers pour améliorer la sécurité, ou est-ce une atteinte à la liberté des développeurs ?
    Quelles alternatives à l’accès au noyau Windows sont envisageables ? À part les “enclaves VBS”, existe-t-il d’autres moyens de garantir la sécurité sans compromettre la flexibilité ?
    Comment évaluez-vous la réaction de Microsoft suite à l’incident avec CrowdStrike ? Trouvez-vous qu’ils ont agi rapidement et de manière appropriée ?
    Quelles sont les implications pour les utilisateurs et les entreprises ? Comment cette réforme pourrait-elle affecter les performances, la compatibilité des logiciels tiers et la confiance des utilisateurs envers Windows ?

Discussions similaires

  1. Réponses: 0
    Dernier message: 25/06/2021, 21h02
  2. Réponses: 2
    Dernier message: 01/05/2020, 19h38
  3. Réponses: 0
    Dernier message: 13/05/2019, 13h11
  4. [Foreign Key] Un champ est-il une clé étrangère ?
    Par starch dans le forum Bases de données
    Réponses: 5
    Dernier message: 27/02/2004, 14h01
  5. Réponses: 14
    Dernier message: 17/03/2003, 19h31

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo