Discussion :

[Stéphane le calme]

CrowdStrike pourrait être tenue pour responsable des dommages subis en France, sur la base du précédent OVH
d'après un ingénieur. Mais son point de vue ne fait pas l'unanimité

La question qui revient souvent est de savoir si CrowdStrike sera responsable des dommages subis. Un professionnel de l'informatique a fait le parallèle avec la situation d'OVH en France pour conclure par la positive, en tout cas en France.

Les détails de l’incident

• Origine du problème : La panne a été causée par un défaut dans le logiciel de test de CrowdStrike. Malgré des données problématiques, une mise à jour a été validée et déployée sur des millions d’ordinateurs Windows. Le résultat ? Une catastrophe mondiale.
• Réaction de CrowdStrike : Face à la crise, CrowdStrike a fourni des explications. L’entreprise a annoncé qu’elle déploierait désormais les mises à jour progressivement pour détecter les problèmes avant qu’ils ne se propagent à grande échelle. Cependant, cette réponse est-elle suffisante pour atténuer les conséquences de l’incident ?
• Responsabilité et précédent OVH : Malgré les pertes subies par les entreprises touchées, CrowdStrike a été considérée comme minimement responsable des dommages causés. Cela soulève des questions importantes sur la responsabilité des entreprises de cybersécurité lorsqu’une mise à jour provoque une panne mondiale. Le précédent OVH, où l’hébergeur français a été tenu partiellement responsable d’un incendie majeur dans son datacenter, pourrait-il influencer la décision concernant CrowdStrike ? Un professionnel répond par l'affirmative.

Les arguments avancés

OVH est un fournisseur français de centres de données et de cloud, prétendument le plus grand fournisseur d'hébergement en Europe. Il est surtout connu pour fournir des serveurs physiques et des machines virtuelles, ainsi qu'une variété de services en nuage. Le 10 mars 2021, un incendie s'est déclaré dans les locaux de la SGB. Il a brûlé deux centres de données SGB1 SGB2 avec peu ou pas de récupération et a rendu deux autres centres de données SGB3 SGB4 inopérants pendant un certain temps.

Ce qui est intéressant, c'est la suite des événements. Plusieurs sites ont été détruits, entraînant une perte irrémédiable de services et de données pour leurs clients. Plusieurs clients les ont poursuivis en justice pour obtenir des dommages et intérêts et ils ont gagné.

J'ai trouvé qu'il y avait quelques points intéressants soulevés et discutés par la cour :

• Il y a eu une perte totale de service pendant et après l'événement.
• Il y a eu une perte totale et irrémédiable de données après l'événement.
• OVH fournissait un service de sauvegarde pour ses machines et ses services.
• Perte totale et irrévocable des sauvegardes après l'événement.
• Il y avait plusieurs centres de données dans des endroits proches, comme c'est la pratique courante pour assurer une certaine résilience : SGB1 SGB2 SGB3 SGB4
• Plusieurs centres de données ont brûlé en même temps.
• Les multiples centres de données se trouvaient en fait au même endroit, à quelques pas l'un de l'autre. Cette situation a été jugée inattendue et non raisonnable par le tribunal.
• Les sauvegardes étaient stockées dans le même centre de données ou dans l'autre centre de données qui pouvait se trouver au même endroit. Cela n'a pas été considéré comme raisonnable par le tribunal.
• OVH a tenté de faire valoir que les clients auraient dû suivre la bonne pratique consistant à disposer de plusieurs sauvegardes dans des lieux distincts. Le tribunal a reconnu qu'il s'agissait d'une bonne pratique.
• Le tribunal a déterminé qu'OVH était le fournisseur de sauvegardes et qu'il lui incombait de fournir des sauvegardes d'un niveau raisonnable et de respecter les bonnes pratiques. Cela inclut le stockage d'une copie de la sauvegarde ailleurs, comme le veut la bonne pratique.
• Le tribunal a jugé que le service de sauvegarde d'OVH n'était pas exploité selon des normes raisonnables et qu'il n'avait pas atteint son objectif.

Je trouve cela intéressant pour les techniciens, la cour jugera votre technologie et ce qui peut vraiment être considéré comme les meilleures pratiques. C'est comme l'ultime examen du code.

Pour résumer comment les choses fonctionnent : préjudice causé + intention de causer un préjudice ou négligence = possibilité de dommages-intérêts.

Un préjudice important a été causé aux clients, car des entreprises entières ont été fermées, souvent pour une durée indéterminée, avec une perte totale de données et sans possibilité de récupération. Il existe de nombreuses occurrences de négligence, d'erreurs ou de pratiques douteuses dans la manière dont OVH exploitait le service, ce qui a conduit au problème. Il s'agit d'un dossier solide. De nombreux clients ont ouvert un dossier contre OVH et ont obtenu gain de cause. Il est possible que d'autres dossiers soient encore en cours de traitement.

Cela nous amène à CrowdStrike. Les similitudes sont frappantes !

À propos de CrowdStrike

CrowdStrike est un logiciel antivirus installé sur les ordinateurs. Il est parfois appelé EDR (Endpoint Detection and Response) de nos jours. Il est principalement installé sur les appareils des grandes entreprises, qui sont tenues de disposer d'une solution de sécurité.

CrowdStrike s'exécute au démarrage de l'ordinateur. Il s'intègre profondément dans le système d'exploitation (Windows ou Linux) au niveau du noyau, pour s'exécuter dès que possible et avant que d'autres choses ne démarrent. Il surveille ce qui s'exécute, il peut bloquer et signaler tout ce qu'il juge suspect.

Le 19 juillet 2024, CrowdStrike a publié une mise à jour de son logiciel. La mise à jour était boguée et faisait planter tous les ordinateurs sur lesquels elle était déployée. Des millions d'ordinateurs ont reçu simultanément la mise à jour à travers le monde et ont été rendus non fonctionnels.

Les clients subissent un préjudice important. Des entreprises ont été partiellement ou totalement fermées, pendant des jours ou des semaines. Il y a eu plusieurs cas de négligence, d'erreurs et de pratiques douteuses dans la manière dont CrowdStrike exploitait le service, ce qui a conduit au problème. Il ne s'agit pas d'un incident isolé, puisque des personnes ont signalé que la même chose s'était produite quelques semaines auparavant, à une moindre échelle.

La responsabilité de CrowdStrike devrait donc être engagée et donner lieu à d'innombrables demandes de dommages-intérêts.

Les points saillants qu'il a utilisé pour parvenir à cette conclusion

Voici quelques éléments qu'il a évoqué :

• D'après les discussions en ligne, les clients des hôpitaux se sont déjà plaints de ce problème et ont demandé à CrowdStrike de permettre un certain contrôle sur les mises à jour. Un client a indiqué qu'il avait reçu un mémo de 50 pages de CrowdStrike disant qu'il refusait de mettre en place quoi que ce soit.
• La mise à jour a fait planter tous les ordinateurs sur lesquels elle a été déployée (BSOD).
• Il ne s'agit pas d'un incident isolé. La même chose s'est produite quelques semaines plus tôt avec l'agent CrowdStrike sur Linux, détruisant le système, et il y a peut-être eu d'autres incidents auparavant.
• Tous les ordinateurs ont été rendus inopérants par CrowdStrike, incapables de démarrer.
• Pour les entreprises concernées, cela signifiait que tous leurs employés se retrouvaient avec un ordinateur mort, incapable de faire quoi que ce soit.
• Les utilisateurs ne pouvaient pas « accéder » à l'ordinateur pour déposer un ticket ou le dépanner.
• Il s'agissait d'une perte totale de service, sans possibilité de récupération.
• L'un des moyens de réparer l'ordinateur consistait à confier l'ordinateur à l'équipe informatique et à le réinstaller complètement (réimage).
• Un autre moyen, découvert plus tard dans la journée, consistait pour un administrateur à accéder physiquement à l'ordinateur ET à essayer de démarrer en mode sans échec ou en mode de récupération, puis à supprimer le fichier du pilote de CrowdStrike.
• Cette correction ne peut être effectuée qu'avec un accès physique à l'ordinateur concerné ET par un administrateur disposant d'un mot de passe spécial (ou d'une clé USB contenant le mot de passe) pour démarrer un ordinateur portable en mode de récupération.
• Il faudra des semaines aux entreprises concernées pour mettre la main sur chaque appareil, ordinateur portable, ordinateur de bureau et serveur. Il peut s'agir de milliers, voire de centaines de milliers d'appareils.
• Cela prendra plus de temps pour les appareils qui sont enfermés ou difficiles d'accès, comme les terminaux d'écran dans un aéroport, les appareils médicaux et les machines dans un hôpital, les panneaux d'ascenseurs.
• Il peut être impossible de restaurer l'appareil s'il est verrouillé d'une manière ou d'une autre (blocage physique ou mot de passe de récupération inconnu).
• Les employés qui ont besoin d'un ordinateur pour travailler ne peuvent pas travailler pendant tout ce temps.
• Il n'est pas possible de fournir un ordinateur de rechange aux utilisateurs concernés, car les ordinateurs de rechange ont également été touchés par le problème.

Les limites de son raisonnement

Cet avis ne fait pas l'unanimité.

Un autre professionnel souligne que la responsabilité d'OVH a été engagée en raison de la perte de données et non de l'interruption du service. La perte de données est quelque chose d'irrémédiable, de permanent, de définitif. Certaines entreprises ont été pratiquement ruinées par cet incident parce qu'elles n'avaient plus de données pour fonctionner. Pour ne rien arranger, elles ont vendu des sauvegardes hors site dans le centre de données situé littéralement à quelques mètres de là. Une interruption de service, eh bien, ça arrive, et c'est géré par des contrats de niveau de service (SLA) que les deux parties acceptent. On ne ruine pas une entreprise (lire : on ne ferme pas une entreprise) pour quelques jours de panne.

Je doute que CrowdStrike soit tenu responsable de beaucoup de choses, du moins de la part des entreprises. Ils ne peuvent pas rembourser les dommages causés, autrement ils seraient poussés à fermer boutique. Le secteur des soins de santé est une autre paire de manche, mais je pense qu'il y aura davantage de réglementations pour les entités critiques.

Source : The HFT Guy

Et vous ?

Analyse de l'opinion : Partagez-vous ce point de vue ? CrowdStrike devrait-il / pourrait-il être tenu pour responsable des dommages subis dans votre pays ? Dans quelle mesure ? Si oui, à quelle hauteur (totalement ou partiellement) ?
Responsabilité des entreprises de cybersécurité : Devrions-nous exiger davantage des entreprises comme CrowdStrike lorsqu’elles introduisent des mises à jour ? Comment pouvons-nous équilibrer l’innovation avec la sécurité ?
Amélioration des processus de test : Comment les entreprises peuvent-elles améliorer leurs processus de test et de validation des mises à jour pour éviter de tels incidents à l’avenir ?
Conséquences pour les utilisateurs et les entreprises : Quelles sont les conséquences réelles pour les utilisateurs et les entreprises touchés par une panne informatique mondiale ? Comment pouvons-nous mieux nous préparer à de telles situations ?
Éthique de l’intelligence artificielle : L’incident de CrowdStrike soulève également des questions plus larges sur l’impact de l’IA sur notre société. Comment pouvons-nous garantir que les avancées technologiques ne nuisent pas aux utilisateurs ?

[Leruas]

Faut voir les contrats.
Mais CrowdStrike n'a pas de SLA à respecter.
Il n'y a pas eu de perte de données dans l'histoire, c'est surtout un manque de personnels IT pour rebooter les machines, qui a provoqué le fait d'avoir des pannes pendant des heures.

[Anselme45]

Il y a un petit détail qui échappe au pseudo-expert qui donne son avis... A l'inverse d'OVH, CrowdStrike n'est pas une société française!!!

[Bruno]

Incident logiciel de CrowdStrike : les pannes informatiques causées par la MAJ révèlent des failles systémiques dans la cybersécurité
et soulignent l'importance de tests rigoureux avant tout déploiement

Une mise à jour défectueuse du logiciel de cybersécurité de CrowdStrike a provoqué une panne informatique mondiale, affectant de nombreuses entreprises, notamment des banques, des compagnies aériennes et des détaillants. Les utilisateurs ont signalé des erreurs d'écran bleu sur des ordinateurs Windows. Cette panne a touché divers secteurs et entraîné des perturbations importantes, notamment dans les voyages et les systèmes bancaires. La CISA a observé que des acteurs malveillants tentaient de tirer parti de la situation pour des activités de phishing. Les actions de CrowdStrike ont chuté de 11 % suite à cet incident.

Des entreprises à travers le monde signalent des pannes informatiques, notamment des erreurs d'écran bleu sur leurs ordinateurs, constituant l'une des perturbations informatiques les plus répandues de ces dernières années. Cette panne, causée par une mise à jour logicielle de CrowdStrike, a touché des ordinateurs Windows dans divers secteurs, y compris les compagnies aériennes, les banques, les détaillants, les maisons de courtage, les sociétés de médias et les réseaux ferroviaires, avec une forte incidence sur le secteur des voyages.

Le PDG de CrowdStrike, George Kurtz a confirmé dans un message sur X qu'un « défaut » dans une mise à jour de contenu pour les hôtes Windows était responsable de la panne, excluant la possibilité d'une cyberattaque et que les hôtes Mac et Linux n'étaient pas affectés.

« CrowdStrike collabore activement avec les clients concernés par ce défaut dans une mise à jour de contenu pour les hôtes Windows. Les hôtes Mac et Linux ne sont pas touchés », a déclaré Kurtz sur X. « Il ne s'agit pas d'un incident de sécurité ou d'une cyberattaque. Le problème a été identifié, isolé, et un correctif est en cours de déploiement. Nous renvoyons les clients au portail d'assistance pour les dernières mises à jour et continuerons à fournir des informations complètes et continues sur notre site web. Nous recommandons également aux organisations de communiquer avec les représentants de CrowdStrike par les canaux officiels. Notre équipe est entièrement mobilisée pour assurer la sécurité et la stabilité de nos clients », a affirmé Kurtz.

CrowdStrike is actively working with customers impacted by a defect found in a single content update for Windows hosts. Mac and Linux hosts are not impacted. This is not a security incident or cyberattack. The issue has been identified, isolated and a fix has been deployed. We…

— George Kurtz (@George_Kurtz) July 19, 2024

CrowdStrike fournit des mises à jour de configuration du contenu de sécurité à ses capteurs de deux manières : Sensor Content qui est livré directement avec ses capteurs, et Rapid Response Content qui est conçu pour répondre à l'évolution du paysage des menaces à la vitesse opérationnelle. Le problème concernait une mise à jour Rapid Response Content avec une erreur non détectée.

Rapid Response Content est utilisé pour effectuer une variété d'opérations de mise en correspondance de modèles comportementaux sur le capteur à l'aide d'un moteur hautement optimisé. Le Rapid Response Content est une représentation des champs et des valeurs, avec le filtrage associé. Ce Rapid Response Content est stocké dans un fichier binaire propriétaire qui contient des données de configuration. Il ne s'agit pas d'un code ou d'un pilote de noyau.

Le Rapid Response Content est fourni sous la forme de Template Instances (instances de modèles), qui sont des instanciations d'un Template Type donné. Chaque Template Instance correspond à des comportements spécifiques que le capteur doit observer, détecter ou prévenir. Les Template Instances disposent d'un ensemble de champs qui peuvent être configurés pour correspondre au comportement désiré. En d'autres termes, les Template Types représentent une capacité de capteur qui permet de nouvelles télémétries et détections, et leur comportement en cours d'exécution est configuré dynamiquement par un Template Instance (c'est-à-dire un Rapid Response Content).

Rapid Response Content fournit une visibilité et des détections sur le capteur sans qu'il soit nécessaire de modifier le code du capteur. Cette capacité est utilisée par les ingénieurs chargés de la détection des menaces pour recueillir des données télémétriques, identifier les indicateurs du comportement de l'adversaire et effectuer des détections et des préventions. Rapid Response Content est une heuristique comportementale, séparée et distincte des capacités de prévention et de détection de l'IA sur le capteur de CrowdStrike.

Plus tard vendredi, la CISA, l'agence américaine de cybercriminalité, a déclaré que même si la panne n'était pas due à une activité suspecte, des acteurs de la menace en profitaient pour mener des activités de phishing et d'autres actions malveillantes. Un message sur les forums d'assistance de CrowdStrike (accessibles uniquement par connexion) a également reconnu le problème tôt vendredi, indiquant que l'entreprise avait reçu des rapports de pannes liées à une mise à jour de contenu. CrowdStrike a précisé que ces rapports de crash étaient « liés à Falcon Sensor », son service de sécurité basé sur le cloud, décrit comme une solution de « détection des menaces en temps réel, de gestion simplifiée et de chasse proactive aux menaces ».

Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars

Dans un message publié sur les réseaux sociaux, CrowdStrike a indiqué qu'un « nombre important » des 8,5 millions d'appareils affectés étaient de nouveau opérationnels et s'est excusée pour la perturbation. L'entreprise a souligné qu'elle se concentrait sur la restauration rapide de tous les systèmes et a mis en place un système d'opt-in pour une nouvelle technique de restauration en collaboration avec ses clients. CrowdStrike a exprimé sa gratitude envers ses clients et partenaires pour leur travail acharné et leur patience pendant cette crise.

Les experts estiment qu'il est trop tôt pour évaluer avec précision le coût de la panne mondiale survenue vendredi, mais selon Patrick Anderson, PDG d'Anderson Economic Group, ces coûts pourraient facilement dépasser le milliard de dollars. Anderson a rappelé que la récente cyberattaque contre CDK Global, une société de logiciels pour concessionnaires automobiles, avait également coûté environ un milliard de dollars. La panne actuelle touche un plus grand nombre de consommateurs et d'entreprises, engendrant des coûts importants, notamment pour les compagnies aériennes en raison des vols annulés et des retards, entraînant des pertes de revenus et des coûts supplémentaires de main-d'œuvre et de carburant.

Malgré la position dominante de CrowdStrike dans le domaine de la cybersécurité et un chiffre d'affaires annuel légèrement inférieur à 4 milliards de dollars, l'entreprise pourrait bénéficier de protections juridiques stipulées dans ses contrats. James Lewis, chercheur au Center for Strategic and International Studies, a suggéré que les contrats de CrowdStrike pourraient les protéger contre toute responsabilité. Par ailleurs, Mark Friedlander, porte-parole de l'Insurance Information Institute, a souligné que les entreprises touchées par la panne pourraient découvrir que l'assurance traditionnelle contre les pertes d'exploitation ne les couvrira pas, car ces polices exigent généralement des dommages physiques pour les biens de l'entreprise. Les polices d'interruption du réseau d'entreprise pourraient couvrir ces pertes, mais souvent seulement en cas de piratages malveillants, excluant des incidents non malveillants comme celui-ci.

Le PDG de CrowdStrike est convoqué à témoigner devant le Congrès sur la panne majeure

Les dirigeants de la Chambre des représentants des États-Unis ont demandé à George Kurtz, PDG de CrowdStrike, de témoigner devant le Congrès concernant le rôle de son entreprise dans la panne technologique généralisée. Cette panne a cloué des vols au sol, mis hors service des banques et des systèmes hospitaliers, et affecté des services dans le monde entier.

Cette demande fait suite à une déclaration de CrowdStrike indiquant qu'un « nombre significatif » d'ordinateurs s'étaient bloqués vendredi, causant des perturbations mondiales. Bien que de nombreux systèmes soient de nouveau opérationnels, les clients et les régulateurs attendent des explications détaillées sur les événements. Les républicains à la tête de la commission de la sécurité intérieure de la Chambre des représentants ont exprimé leur souhait d'obtenir des réponses rapidement. « Nous apprécions la réaction de CrowdStrike et la coordination avec les parties prenantes, mais nous ne pouvons pas ignorer l'ampleur de cet incident, que certains ont qualifié de plus grande panne informatique de l'histoire », ont écrit les députés Mark E. Green (Tennessee) et Andrew Garbarino (New York) dans une lettre adressée à Kurtz.

La solution « facile » documentée à la fois par CrowdStrike (dont c'est la faute directe) et par Microsoft (qui a été largement blâmé dans les rapports grand public, en partie à cause d'une panne d'Azure sans rapport avec le problème, survenue peu avant le 18 juillet) consistait à redémarrer les systèmes concernés à plusieurs reprises dans l'espoir qu'ils téléchargent un nouveau fichier de mise à jour avant qu'ils ne tombent en panne. Pour les systèmes sur lesquels cette méthode n'a pas fonctionné - et Microsoft a recommandé aux clients de redémarrer jusqu'à 15 fois pour donner aux ordinateurs une chance de télécharger la mise à jour - la solution recommandée a été de supprimer manuellement le mauvais fichier .sys. Cela permet au système de démarrer et de télécharger un fichier corrigé, ce qui résout les problèmes sans laisser les machines sans protection.

Pour faciliter ce processus, Microsoft a publié ce week-end un outil de récupération qui permet d'automatiser le processus de réparation sur certains systèmes concernés. Il s'agit de créer un support de démarrage à l'aide d'une clé USB de 1 à 32 Go, de démarrer à partir de cette clé USB et d'utiliser l'une des deux options pour réparer votre système. Pour les appareils qui ne peuvent pas démarrer via USB (cette option est parfois désactivée sur les systèmes d'entreprise pour des raisons de sécurité), Microsoft documente également une option de démarrage PXE pour le démarrage via un réseau.

La dépendance des entreprises aux logiciels de sécurité exposée

La panne informatique mondiale causée par une mise à jour défectueuse du logiciel de cybersécurité de CrowdStrike soulève plusieurs questions importantes concernant la fiabilité et la robustesse des solutions de cybersécurité. Tout d'abord, cette situation met en évidence la dépendance critique des entreprises à l'égard des logiciels de sécurité et la vulnérabilité potentielle qu'une simple mise à jour défectueuse peut engendrer.

Malgré les assurances de George Kurtz, PDG de CrowdStrike, que cette panne n'était pas une cyberattaque, l'ampleur des perturbations, en particulier dans des secteurs vitaux comme les voyages et les systèmes bancaires, souligne l'importance de tests rigoureux avant le déploiement de mises à jour logicielles. La nécessité de mesures de sauvegarde et de plans de contingence devient évidente pour prévenir des interruptions de cette ampleur.

La réponse rapide de la CISA, qui a noté l'exploitation de la situation par des acteurs malveillants pour mener des activités de phishing, ajoute une couche de complexité et montre que les incidents techniques peuvent rapidement devenir des opportunités pour des attaques plus ciblées. Enfin, la chute de 11 % des actions de CrowdStrike met en lumière l'impact financier immédiat que de tels incidents peuvent avoir sur une entreprise, affectant non seulement sa réputation mais aussi sa valeur marchande. Cette situation doit servir de leçon pour renforcer les processus de mise à jour et de déploiement dans le secteur de la cybersécurité afin de minimiser les risques de perturbations futures.

Source : Crowdstrike

Et vous ?

Quel est votre avis sur ce sujet ?

Comment les entreprises affectées par la panne peuvent-elles se préparer à de futures interruptions similaires ?

Quels types de garanties de sécurité devraient rechercher les entreprises dans les solutions de cybersécurité ?

Voir aussi :

Le PDG de CrowdStrike est appelé à témoigner devant le Congrès sur le rôle déterminant de l'entreprise spécialiste en cybersécurité dans la panne, qui a affecté de nombreux services à l'échelle mondiale

Falcon Sensor de CrowdStrike a également causé des problèmes sur les machines Linux récemment, les professionnels estiment que la situation n'est pas comparable aux BSoD provoqués sur Windows

Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars, mais il est plus difficile de savoir qui paiera la facture

[Stéphane le calme]

Réforme de l’accès au noyau Windows : Microsoft cherche à renforcer la sécurité après l’incident avec CrowdStrike,
Windows deviendra-t-il un système plus fermé, à l’instar de macOS d’Apple ?

La semaine dernière, une panne causée par une mise à jour défectueuse de CrowdStrike a touché environ 8,5 millions d’appareils Windows. En réponse à cet incident, Microsoft souhaite renforcer la résilience de son système d’exploitation en limitant l’accès des tiers au noyau Windows. Pour éviter une nouvelle panne de type CrowdStrike, Windows deviendra-t-il un système d'exploitation plus fermé, comme macOS d'Apple ?

Microsoft continue d'aider CrowdStrike à réparer les dégâts causés il y a une semaine, lorsque 8,5 millions d'ordinateurs ont été mis hors service à cause d'une mise à jour boguée de CrowdStrike. Aujourd'hui, le géant du logiciel appelle à des modifications de Windows et laisse entendre subtilement que sa priorité est de rendre Windows plus résistant et qu'il est prêt à empêcher les fournisseurs de solutions de sécurité comme CrowdStrike d'accéder au noyau de Windows.

Bien que CrowdStrike ait attribué sa mise à jour ratée à un bogue dans son logiciel de test, son logiciel fonctionne au niveau du noyau - la partie centrale d'un système d'exploitation qui a un accès illimité à la mémoire du système et au matériel. Cela signifie que si quelque chose ne va pas avec l'application de CrowdStrike, elle peut faire tomber les machines Windows avec un écran bleu de la mort.

Le logiciel Falcon de CrowdStrike utilise un pilote spécial qui lui permet de fonctionner à un niveau inférieur à celui de la plupart des applications, de sorte qu'il peut détecter les menaces sur l'ensemble d'un système Windows. En 2006, Microsoft a tenté d'empêcher les tiers d'accéder au noyau de Windows Vista, mais s'est heurté au refus des fournisseurs de cybersécurité et des autorités de réglementation de l'UE. Toutefois, Apple a réussi à verrouiller son système d'exploitation macOS en 2020 afin que les développeurs ne puissent plus accéder au noyau.

Aujourd'hui, il semble que Microsoft veuille rouvrir le débat sur la restriction de l'accès au niveau du noyau dans Windows.

Que peut faire Microsoft ?

Bien qu'il ne soit pas directement impliqué, Microsoft contrôle toujours l'expérience Windows, et il y a beaucoup de place pour l'amélioration dans la façon dont Windows gère des problèmes comme celui-ci.

Au minimum, Windows pourrait désactiver les pilotes défectueux. Si Windows détermine qu'un pilote fait planter le système au démarrage et le force à passer en mode de récupération, Microsoft pourrait intégrer une logique plus intelligente permettant à un système de démarrer sans le pilote défectueux après plusieurs échecs de démarrage.

Mais le changement le plus important consisterait à verrouiller l'accès au noyau de Windows afin d'empêcher les pilotes tiers de faire planter un PC entier. Ironiquement, Microsoft a essayé de faire exactement cela avec Windows Vista, mais s'est heurté à la résistance des fournisseurs de cybersécurité et des régulateurs de l'UE.

En 2006, Microsoft a tenté de mettre en œuvre une fonction connue à l'époque sous le nom de PatchGuard dans Windows Vista, en empêchant les tiers d'accéder au noyau. McAfee et Symantec, les deux plus grands éditeurs d'antivirus de l'époque, se sont opposés aux changements de Microsoft, et Symantec s'est même plaint auprès de la Commission européenne. Microsoft a finalement fait marche arrière, autorisant à nouveau les fournisseurs de solutions de sécurité à accéder au noyau à des fins de contrôle de la sécurité.

Apple a fini par prendre la même mesure, en verrouillant son système d'exploitation macOS en 2020 afin que les développeurs ne puissent plus accéder au noyau. « C'était certainement la bonne décision de la part d'Apple de rendre obsolètes les extensions tierces du noyau », déclare Patrick Wardle, PDG de DoubleYou et fondateur de Objective-See Foundation. « Mais le chemin à parcourir pour y parvenir a été semé d'embûches. Apple a connu quelques bogues de noyau où les outils de sécurité fonctionnant en mode utilisateur pouvaient encore déclencher un crash (panique du noyau), et Wardle dit qu'Apple « a également introduit quelques vulnérabilités d'exécution de privilèges, et il y a encore d'autres bogues qui pourraient permettre aux outils de sécurité sur Mac d'être déchargés par des logiciels malveillants ».

Il est possible que des pressions réglementaires empêchent encore Microsoft d'agir dans ce domaine. Le Wall Street Journal a rapporté ce week-end « qu'un porte-parole de Microsoft a déclaré que la société ne pouvait pas légalement cloisonner son système d'exploitation de la même manière qu'Apple, en raison d'un accord conclu avec la Commission européenne à la suite d'une plainte ». Le Journal paraphrase le porte-parole anonyme et mentionne également un accord de 2009 visant à fournir aux éditeurs de solutions de sécurité le même niveau d'accès à Windows que Microsoft.

En 2009, Microsoft a conclu un accord d'interopérabilité avec la Commission européenne. Il s'agissait d'un « engagement public » visant à permettre aux développeurs d'accéder à la documentation technique nécessaire à la création d'applications au-dessus de Windows. L'accord comprenait la mise en œuvre d'un écran de choix du navigateur dans Windows et l'offre de versions spéciales de Windows sans Internet Explorer intégré dans le système d'exploitation.

Dans quelle direction l'entreprise a-t-elle décidé d'évoluer ?

« Cet incident montre clairement que Windows doit donner la priorité au changement et à l'innovation dans le domaine de la résilience de bout en bout », déclare John Cable, vice-président de la gestion des programmes pour le service et la livraison de Windows, dans un billet de blog intitulé « Résilience de Windows : Les meilleures pratiques et la voie à suivre ». Cable appelle à une coopération plus étroite entre Microsoft et ses partenaires « qui se soucient également beaucoup de la sécurité de l'écosystème Windows » afin d'apporter des améliorations en matière de sécurité.

Microsoft a attribué une partie de la panne de CrowdStrike à l'accord antitrust de l'Union européenne de 2009 qui oblige Redmond à ouvrir l'accès au niveau du noyau aux fournisseurs de logiciels tiers. En revanche, Apple a commencé à supprimer progressivement les extensions du noyau dans macOS en 2020 et a incité les éditeurs de logiciels à utiliser le « framework d'extension du système », en citant les avantages en termes de fiabilité et de sécurité.

Cable ne demande pas à Microsoft de couper complètement l'accès au noyau Windows. Il propose plutôt des alternatives, telles que « les enclaves VBS récemment annoncées, qui fournissent un environnement informatique isolé qui ne nécessite pas que les pilotes du mode noyau soient résistants aux manipulations ».

Parmi les exemples d'innovation, citons les enclaves VBS récemment annoncées, qui fournissent un environnement de calcul isolé ne nécessitant pas que les pilotes en mode noyau soient résistants aux manipulations, et le service d'attestation Microsoft Azure, qui peut aider à déterminer la posture de sécurité du chemin d'amorçage. Ces exemples utilisent des approches modernes de confiance zéro et montrent ce qui peut être fait pour encourager les pratiques de développement qui ne reposent pas sur l'accès au noyau. Nous continuerons à développer ces capacités, à renforcer notre plateforme et à faire encore plus pour améliorer la résilience de l'écosystème Windows, en travaillant ouvertement et en collaboration avec l'ensemble de la communauté de la sécurité.

Il est toujours possible qu'une panne ait un impact sur une organisation. Au cours des derniers jours, nous avons eu des milliers d'appels avec des organisations du monde entier. Nous avons observé que celles qui ont été en mesure de remédier à la situation et de se rétablir le plus rapidement ont suivi un ensemble de pratiques similaires. Nous souhaitons partager ces meilleures pratiques avec vous.

L'industrie des solutions de cybersécurité suit l'évolution de la situation avec attention

Malgré cela, le billet de Cable soulève la question de savoir si les efforts déployés par Microsoft pour sécuriser l'accès au noyau pourraient nuire aux éditeurs de logiciels tiers. Par exemple, les logiciels antivirus peuvent utiliser l'accès au niveau du noyau pour surveiller les changements malveillants apportés au système d'exploitation Windows dès les premières étapes.

« Sans les privilèges du mode noyau, [les antivirus et les systèmes de détection et de réponse des points d'extrémité] sont extrêmement limités dans ce qu'ils peuvent faire. Cependant, nous ne pensons pas que Microsoft va vraiment révoquer l'accès au mode noyau pour les fournisseurs de sécurité », a tweeté le service de suivi des logiciels malveillants VX-Underground.

Bad. Without kernel mode privileges, AVs and EDRs are extremely restricted in what they can do. However, we don't believe Microsoft will truly revoke kernel mode access to security vendors.

— vx-underground (@vxunderground) July 26, 2024

Pour sa part, Matthew Prince, PDG de Cloudflare, a déjà mis en garde contre les effets d'un verrouillage plus poussé de Windows par Microsoft, qui devra donc prendre soigneusement en compte les besoins des fournisseurs de solutions de sécurité s'il souhaite opérer un véritable changement.

Here’s the scary thing that’s likely to happen based on the facts of the day if we don’t pay attention. Microsoft, who competes with @CrowdStrike, will argue that they should lock all third-party security vendors out of their OS. “It’s the only way we can be safe,” they’ll…

— Matthew Prince 🌥 (@eastdakota) July 20, 2024

Conclusion

Microsoft cherche à éviter les pannes similaires à celle de CrowdStrike en renforçant la sécurité tout en préservant l’accès nécessaire aux éditeurs tiers. L’avenir de Windows sera-t-il plus fermé ? L’entreprise devra trouver un équilibre entre sécurité et flexibilité0

Sources : Microsoft (1, 2) Apple

Et vous ?

Quelle est votre opinion sur l’accès au noyau Windows ? Pensez-vous que Microsoft devrait restreindre davantage l’accès des tiers pour améliorer la sécurité, ou est-ce une atteinte à la liberté des développeurs ?
Quelles alternatives à l’accès au noyau Windows sont envisageables ? À part les “enclaves VBS”, existe-t-il d’autres moyens de garantir la sécurité sans compromettre la flexibilité ?
Comment évaluez-vous la réaction de Microsoft suite à l’incident avec CrowdStrike ? Trouvez-vous qu’ils ont agi rapidement et de manière appropriée ?
Quelles sont les implications pour les utilisateurs et les entreprises ? Comment cette réforme pourrait-elle affecter les performances, la compatibilité des logiciels tiers et la confiance des utilisateurs envers Windows ?

[OuftiBoy]

Réforme de l’accès au noyau Windows : Microsoft cherche à renforcer la sécurité après l’incident avec CrowdStrike,
Windows deviendra-t-il un système plus fermé, à l’instar de macOS d’Apple ?

La semaine dernière, une panne causée par une mise à jour défectueuse de CrowdStrike a touché environ 8,5 millions d’appareils Windows. En réponse à cet incident, Microsoft souhaite renforcer la résilience de son système d’exploitation en limitant l’accès des tiers au noyau Windows. Pour éviter une nouvelle panne de type CrowdStrike, Windows deviendra-t-il un système d'exploitation plus fermé, comme macOS d'Apple ?

Ce n'est que du bon sens.

[B][SIZE=4]Microsoft continue d'aider CrowdStrike à réparer les dégâts causés il y a une semaine, lorsque 8,5 millions d'ordinateurs ont été mis hors service à cause d'une mise à jour boguée de CrowdStrike. Aujourd'hui, le géant du logiciel appelle à des modifications de Windows et laisse entendre subtilement que sa priorité est de rendre Windows plus résistant et qu'il est prêt à empêcher les fournisseurs de solutions de sécurité comme CrowdStrike d'accéder au noyau de Windows.

Bien que CrowdStrike ait attribué sa mise à jour ratée à un bogue dans son logiciel de test, son logiciel fonctionne au niveau du noyau - la partie centrale d'un système d'exploitation qui a un accès illimité à la mémoire du système et au matériel. Cela signifie que si quelque chose ne va pas avec l'application de CrowdStrike, elle peut faire tomber les machines Windows avec un écran bleu de la mort.

Que l'OS soit ouvert pour les applications classiques, c'est tout a fait normal. Pour ce qui est critique, ils doivent protèger leur OS.

[B][SIZE=4]Le logiciel Falcon de CrowdStrike utilise un pilote spécial qui lui permet de fonctionner à un niveau inférieur à celui de la plupart des applications, de sorte qu'il peut détecter les menaces sur l'ensemble d'un système Windows. En 2006, Microsoft a tenté d'empêcher les tiers d'accéder au noyau de Windows Vista, mais s'est heurté au refus des fournisseurs de cybersécurité et des autorités de réglementation de l'UE. Toutefois, Apple a réussi à verrouiller son système d'exploitation macOS en 2020 afin que les développeurs ne puissent plus accéder au noyau.

C'est dommage, cela aurait rendu windows plus stable.

[B][SIZE=4]Aujourd'hui, il semble que Microsoft veuille rouvrir le débat sur la restriction de l'accès au niveau du noyau dans Windows.

Que peut faire Microsoft ?

Bien qu'il ne soit pas directement impliqué, Microsoft contrôle toujours l'expérience Windows, et il y a beaucoup de place pour l'amélioration dans la façon dont Windows gère des problèmes comme celui-ci.

Au minimum, Windows pourrait désactiver les pilotes défectueux. Si Windows détermine qu'un pilote fait planter le système au démarrage et le force à passer en mode de récupération, Microsoft pourrait intégrer une logique plus intelligente permettant à un système de démarrer sans le pilote défectueux après plusieurs échecs de démarrage.

Ce serait un bon début.

[B][SIZE=4]Mais le changement le plus important consisterait à verrouiller l'accès au noyau de Windows afin d'empêcher les pilotes tiers de faire planter un PC entier. Ironiquement, Microsoft a essayé de faire exactement cela avec Windows Vista, mais s'est heurté à la résistance des fournisseurs de cybersécurité et des régulateurs de l'UE.

En 2006, Microsoft a tenté de mettre en œuvre une fonction connue à l'époque sous le nom de PatchGuard dans Windows Vista, en empêchant les tiers d'accéder au noyau. McAfee et Symantec, les deux plus grands éditeurs d'antivirus de l'époque, se sont opposés aux changements de Microsoft, et Symantec s'est même plaint auprès de la Commission européenne. Microsoft a finalement fait marche arrière, autorisant à nouveau les fournisseurs de solutions de sécurité à accéder au noyau à des fins de contrôle de la sécurité.

Apple a fini par prendre la même mesure, en verrouillant son système d'exploitation macOS en 2020 afin que les développeurs ne puissent plus accéder au noyau. « C'était certainement la bonne décision de la part d'Apple de rendre obsolètes les extensions tierces du noyau », déclare Patrick Wardle, PDG de DoubleYou et fondateur de Objective-See Foundation. « Mais le chemin à parcourir pour y parvenir a été semé d'embûches. Apple a connu quelques bogues de noyau où les outils de sécurité fonctionnant en mode utilisateur pouvaient encore déclencher un crash (panique du noyau), et Wardle dit qu'Apple « a également introduit quelques vulnérabilités d'exécution de privilèges, et il y a encore d'autres bogues qui pourraient permettre aux outils de sécurité sur Mac d'être déchargés par des logiciels malveillants ».

Il est possible que des pressions réglementaires empêchent encore Microsoft d'agir dans ce domaine. Le Wall Street Journal a rapporté ce week-end « qu'un porte-parole de Microsoft a déclaré que la société ne pouvait pas légalement cloisonner son système d'exploitation de la même manière qu'Apple, en raison d'un accord conclu avec la Commission européenne à la suite d'une plainte ». Le Journal paraphrase le porte-parole anonyme et mentionne également un accord de 2009 visant à fournir aux éditeurs de solutions de sécurité le même niveau d'accès à Windows que Microsoft.

En 2009, Microsoft a conclu un accord d'interopérabilité avec la Commission européenne. Il s'agissait d'un « engagement public » visant à permettre aux développeurs d'accéder à la documentation technique nécessaire à la création d'applications au-dessus de Windows. L'accord comprenait la mise en œuvre d'un écran de choix du navigateur dans Windows et l'offre de versions spéciales de Windows sans Internet Explorer intégré dans le système d'exploitation.

Un navigateur n'est pas un logiciel "critique" (du moins, il ne devrait pas l'être). Que l'Europe oblige microsoft à laisser le choix d'autres navigateur, c'est normal.

[B][SIZE=4]Dans quelle direction l'entreprise a-t-elle décidé d'évoluer ?

« Cet incident montre clairement que Windows doit donner la priorité au changement et à l'innovation dans le domaine de la résilience de bout en bout », déclare John Cable, vice-président de la gestion des programmes pour le service et la livraison de Windows, dans un billet de blog intitulé « Résilience de Windows : Les meilleures pratiques et la voie à suivre ». Cable appelle à une coopération plus étroite entre Microsoft et ses partenaires « qui se soucient également beaucoup de la sécurité de l'écosystème Windows » afin d'apporter des améliorations en matière de sécurité.

Microsoft a attribué une partie de la panne de CrowdStrike à l'accord antitrust de l'Union européenne de 2009 qui oblige Redmond à ouvrir l'accès au niveau du noyau aux fournisseurs de logiciels tiers. En revanche, Apple a commencé à supprimer progressivement les extensions du noyau dans macOS en 2020 et a incité les éditeurs de logiciels à utiliser le « framework d'extension du système », en citant les avantages en termes de fiabilité et de sécurité.

Cable ne demande pas à Microsoft de couper complètement l'accès au noyau Windows. Il propose plutôt des alternatives, telles que « les enclaves VBS récemment annoncées, qui fournissent un environnement informatique isolé qui ne nécessite pas que les pilotes du mode noyau soient résistants aux manipulations ».



L'industrie des solutions de cybersécurité suit l'évolution de la situation avec attention

Malgré cela, le billet de Cable soulève la question de savoir si les efforts déployés par Microsoft pour sécuriser l'accès au noyau pourraient nuire aux éditeurs de logiciels tiers. Par exemple, les logiciels antivirus peuvent utiliser l'accès au niveau du noyau pour surveiller les changements malveillants apportés au système d'exploitation Windows dès les premières étapes.

« Sans les privilèges du mode noyau, [les antivirus et les systèmes de détection et de réponse des points d'extrémité] sont extrêmement limités dans ce qu'ils peuvent faire. Cependant, nous ne pensons pas que Microsoft va vraiment révoquer l'accès au mode noyau pour les fournisseurs de sécurité », a tweeté le service de suivi des logiciels malveillants VX-Underground.

Bad. Without kernel mode privileges, AVs and EDRs are extremely restricted in what they can do. However, we don't believe Microsoft will truly revoke kernel mode access to security vendors.

— vx-underground (@vxunderground) July 26, 2024

Pour sa part, Matthew Prince, PDG de Cloudflare, a déjà mis en garde contre les effets d'un verrouillage plus poussé de Windows par Microsoft, qui devra donc prendre soigneusement en compte les besoins des fournisseurs de solutions de sécurité s'il souhaite opérer un véritable changement.

Here’s the scary thing that’s likely to happen based on the facts of the day if we don’t pay attention. Microsoft, who competes with @CrowdStrike, will argue that they should lock all third-party security vendors out of their OS. “It’s the only way we can be safe,” they’ll…

— Matthew Prince 🌥 (@eastdakota) July 20, 2024

Conclusion

Microsoft cherche à éviter les pannes similaires à celle de CrowdStrike en renforçant la sécurité tout en préservant l’accès nécessaire aux éditeurs tiers. L’avenir de Windows sera-t-il plus fermé ? L’entreprise devra trouver un équilibre entre sécurité et flexibilité0

Sources : Microsoft (1, 2) Apple

Et vous ?

Quelle est votre opinion sur l’accès au noyau Windows ? Pensez-vous que Microsoft devrait restreindre davantage l’accès des tiers pour améliorer la sécurité, ou est-ce une atteinte à la liberté des développeurs ?
Quelles alternatives à l’accès au noyau Windows sont envisageables ? À part les “enclaves VBS”, existe-t-il d’autres moyens de garantir la sécurité sans compromettre la flexibilité ?
Comment évaluez-vous la réaction de Microsoft suite à l’incident avec CrowdStrike ? Trouvez-vous qu’ils ont agi rapidement et de manière appropriée ?
Quelles sont les implications pour les utilisateurs et les entreprises ? Comment cette réforme pourrait-elle affecter les performances, la compatibilité des logiciels tiers et la confiance des utilisateurs envers Windows ?

BàV et Peace & Love.

[Mathis Lucas]

CrowdStrike déclare qu'aucun client n'a encore poursuivi l'entreprise et espère que les menaces juridiques s'estomperont avec le temps
après la panne mondiale provoquée par sa mise à jour défectueuse

Le directeur financier de CrowdStrike, Burt Podbere, a révélé que les retombées de la panne informatique majeure du 19 juillet sont loin d'être terminées. Il a reconnu que les clients ont été frustrés au lendemain de la panne, mais ont ensuite apprécié la transparence et la rapidité de résolution de CrowdStrike. Il a déclaré que CrowdStrike n'a pas encore fait l'objet de poursuites judiciaires malgré les pertes financières causées aux clients et les annulations massives de vols. Il espère également que les menaces juridiques s'estomperont avec le temps. Mais CrowdStrike pourrait être poursuivi par les clients tels que Delta Air Lines et les régulateurs de divers pays.

CrowdStrike espère qu'il ne sera pas poursuivi en justice après la panne de juillet

Des entreprises du monde entier ont été confrontées le 19 juillet au redoutable écran bleu de la mort (BSOD) de Windows après une mise à jour défectueuse lancée par CrowdStrike. L'incident a perturbé les services Internet, affecté 8,5 millions d'appareils Microsoft Windows et provoqué des annulations massives de vols, paralysant de nombreuses entreprises de nombreux secteurs. Certaines entreprises ont subi des pertes financières importantes. Depuis, CrowdStrike est confronté à une pression croissante en raison de l'effondrement du système informatique mondial et des menaces juridiques qui pèsent sur lui.

Lors d'une récente conférence technologique organisée par Citi, le directeur financier de CrowdStrike a déclaré que la société essaie d'entamer un dialogue avec les clients mécontents à la suite de la panne de juillet. « À court terme, les gens ont été contrariés », a-t-il déclaré. Podbere a ajouté que « les clients se sont repris et ont apprécié les efforts de CrowdStrike pour expliquer les perturbations liées à sa mise à jour défectueuse et les remettre en marche ».

Cependant, il a semblé éluder les questions sur les récents changements apportés aux prévisions de l'entreprise, notamment la réduction de ses prévisions pour l'ensemble de l'année en raison des mesures d'incitation liées à un programme d'engagement des clients. Podbere n'a pas non plus mentionné le tollé provoqué par les cartes-cadeaux UberEats de 10 $, qui ont été distribués aux partenaires et aux coéquipiers au moment où le chaos s'est installé.

Podbere a également déclaré : « à ma connaissance, aucun client n'a intenté de procès contre nous à la suite de cet incident ». Le spectre de poursuites judiciaires imminentes plane toutefois sur l'entreprise et il est difficile de ne pas imaginer que les avocats aiguisent leurs griffes. Le mois dernier, par exemple, Delta Air Lines a fait entendre de sombres rumeurs, menaçant d'intenter une action en justice contre CrowdStrike pour négligence grave présumée.

Ed Bastian, PDG de Delta Air Lines, a demandé à CrowdStrike et à Microsoft de dédommager la compagnie pour les 500 millions de dollars qu'elle a perdus à cause de la panne informatique. À l'époque, la direction de CrowdStrike a réitéré ses excuses en déclarant : « la prise de position publique sur la possibilité d'intenter un procès sans fondement contre CrowdStrike en tant que partenaire de longue date n'est constructive pour aucune des parties ».

Microsoft, quant à lui, a révélé que Delta a refusé son aide gratuite à plusieurs reprises et a même ignoré un courriel du PDG Satya Nadella à la direction de la compagnie. Delta affirme que la panne lui a coûté 500 millions de dollars à la suite de l'annulation de plus de 6 000 vols, mais Microsoft réfute ces allégations. Microsoft a également suggéré que les problèmes rencontrés de Delta pourraient être liés à l'infrastructure vieillissante de la compagnie.

CrowdStrike très critiqué pour ses pratiques laxistes en matière de cybersécurité

Le PDG de Delta a qualifié Microsoft de "plateforme probablement la plus fragile" de l'écosystème informatique. Lors de la conférence, Podbere a déclaré : « nous ne savons pas comment tout cela va se terminer. Tout ce que nous faisons et essayons de faire, c'est d'éloigner la discussion juridique de notre interaction avec les clients et de la déplacer vers la discussion commerciale. Et avec le temps, cela devient plus facile, car nous nous éloignons de plus en plus du soleil, n'est-ce pas ? C'est ainsi que nous voyons les choses ». Malheureusement pour Podbere, les retombées de la panne ne sont pas près de s'estomper.

Les législateurs et les régulateurs américains veulent comprendre pourquoi la panne s'est produite. Un vice-président de la société a été appelé à témoigner devant la commission de la sécurité intérieure de la Chambre des représentants des États-Unis dans le courant du mois. Les actionnaires de CrowdStrike sont également mécontents et ont poursuivi le fournisseur de services de cybersécurité « pour sa technologie matériellement fausse et trompeuse ».

Au début de l'année, Podbere a indiqué lors d'une conférence téléphonique avec des analystes que les accords avec les clients de l'entreprise contenaient des limitations de responsabilité et que l'entreprise détenait des polices d'assurance et maintenait des réserves de liquidités pour atténuer les effets d'éventuelles réclamations juridiques. Cependant, les investisseurs ont continué à faire baisser le cours de l'action de CrowdStrike en réaction à la panne.

Parallèlement, Crowdstrike devrait participer à un sommet organisé par Microsoft le mois prochain afin de discuter des mesures concrètes à prendre pour améliorer la sécurité et la résilience de leurs clients communs. Le géant de la technologie intensifie ses projets visant à rendre Windows plus résistant aux logiciels bogués. Microsoft pourrait de nouveau envisager de réformer l'accès au noyau Windows et limiter l'accès des entreprises tierces telles que CrowdStrike.

Selon un rapport publié le mois dernier par le Wall Street Journal, pour l'agence allemande de cybersécurité, il est important de tirer des leçons de cet incident et saisir l'occasion pour redéfinir l'interaction entre les produits de sécurité et les systèmes d'exploitation. L'agence allemande de cybersécurité vise spécifiquement l'accès que Microsoft accorde aux prestataires de services de sécurité à son noyau Windows, une partie critique de son système d'exploitation.

Malgré cela, à la fin du mois d'août, l'entreprise a déclaré que son chiffre d'affaires avait augmenté de 32 % par rapport à la même période de l'année dernière. Podbere affirme que la réaction de CrowdStrike à la panne majeure de juillet avait en fait encouragé les clients à rester fidèles. Il a déclaré : « ils ont vu une entreprise qui a tendu la main à ses clients, qui n'a pas essayé de se cacher, qui s'est montrée à la hauteur. Ils ont donc apprécié cette attitude ».

CrowdStrike aurait commis une erreur qu'un débutant en programmation apprend à éviter

CrowdStrike a publié son analyse des causes racines (RCA) de la mise à jour logicielle défectueuse à l'origine de la panne informatique la plus importante de l'histoire. Selon les experts, CrowdStrike doit se sentir "très embarrassé" après avoir publié son analyse, car il s'agit d'une erreur que les étudiants en programmation de première année apprennent à éviter. Le rapport de 12 pages confirme l'origine du problème : un seul capteur non détecté.

L'accès privilégié de Falcon

CrowdStrike propose des produits de sécurité pour Internet et contre les ransomwares et les maliciels, presque exclusivement aux entreprises et aux grandes organisations. La panne géante a été déclenchée par son logiciel de détection Falcon, qui est installé pour détecter les menaces et aider à les bloquer. Sigi Goode, professeur de systèmes d'information à l'Australian National University, a déclaré que le logiciel de sécurité Falcon disposait d'un accès très privilégié.

Il se situe au niveau de ce que l'on appelle le noyau de Windows. « Il est aussi proche que possible du moteur qui alimente le système d'exploitation. Le mode kernel observe en permanence ce que vous faites et écoute les requêtes des applications que vous utilisez, et les traite de manière transparente », note Goode. Il décrit le mode kernel comme la police de la circulation à côté de laquelle Falcon est assis, en disant : « je n'aime pas l'aspect de ce véhicule, nous devrions y jeter un coup d'œil ».

Le capteur 21 coupable

CrowdStrike met constamment Falcon à jour. Le 19 juillet, il a envoyé une mise à jour "Rapid Response Content" à certains hôtes Windows. Dans la RCA, CrowdStrike a évoqué "un incident du canal 291", au cours duquel une nouvelle capacité a été introduite dans les capteurs de Falcon. Les capteurs sont comme une voie d'accès aux preuves, qui indique le type d'activité suspecte à rechercher. Falcon examine une série de capteurs (indicateurs) pour voir si quelque chose ne va pas. Lorsque des mises à jour sont envoyées, il modifie l'emplacement ou le nombre de capteurs pour vérifier s'il y a une attaque potentielle.

Dans le cas présent, Falcon s'attendait à ce que la mise à jour comporte 20 champs de saisie, mais elle en comportait 21. C'est cette "discordance de comptage" qui a provoqué la panne géante. « L'interpréteur de contenu ne s'attendait qu'à 20 valeurs. Par conséquent, la tentative d'accès à la 21e valeur a produit une lecture de la mémoire hors limites au-delà de la fin du tableau de données d'entrée et a entraîné un plantage du système », indique le rapport.

Falcon étant étroitement intégré au cœur de Windows, sa défaillance a entraîné l'arrêt de l'ensemble du système et la survenue d'une panne de système (BSOD). Le professeur Goode a déclaré que l'une des façons les plus courantes de compromettre un système consistait à inonder la mémoire. Il s'agit essentiellement de dire à l'ordinateur de chercher quelque chose "hors limites". « Il cherchait quelque chose qui n'existait pas », a déclaré le professeur Goode.

Cette panne mondiale souligne l’importance de la vigilance en matière de cybersécurité et de la nécessité de mettre en place des protocoles de gestion des mises à jour. Les entreprises doivent investir dans des solutions de sécurité robustes et communiquer efficacement avec leurs clients pour réduire les perturbations en cas de défaillance du système. Elle met également en exergue la vulnérabilité des solutions basées sur le cloud, qui peuvent entraîner un effet boule de neige.

Source : Burt Podbere, directeur financier de CrowdStrike

Et vous ?

Quel est votre avis sur le sujet ?
Selon vous, quelle est la responsabilité de CrowdStrike dans la panne majeure du 19 juillet ?
Que pensez-vous de la gestion de la crise par CrowdStrike ? Pourquoi l'entreprise semble-t-elle échapper aux poursuites ?
Pensez-vous que Crowdstrike ne fera finalement pas l'objet de poursuites de la part des clients impactés par la panne ?

Voir aussi

Le PDG de Delta qualifie Microsoft de "plateforme probablement la plus fragile" tout en louant Apple, la panne CrowdStrike a coûté environ 500 millions $ à Delta, qui va donc poursuivre Microsoft et CrowdStrike

CrowdStrike est poursuivie par des actionnaires suite à la panne mondiale, pour sa technologie matériellement fausse et trompeuse, après la chute de 32% de l'action, oblitérant 25 milliards $ de valorisation

CrowdStrike accuse un bogue dans le logiciel de test d'avoir mis hors service 8,5 millions de machines Windows, car il n'a pas validé correctement la mise à jour du contenu qui a été diffusée sur les machines

[Stéphane le calme]

Au-delà de CrowdStrike : l'entreprise n'est pas la seule à être vulnérable, mais tout le secteur de la cybersécurité,
les solutions technologiques sur lesquelles nous comptons sont souvent moins abouties qu'il n'y paraît

L’incident de panne chez CrowdStrike a mis en lumière la vulnérabilité du secteur de la cybersécurité. Une mise à jour défectueuse du logiciel Falcon Sensor de CrowdStrike a entraîné des plantages massifs d’ordinateurs Windows dans le monde entier. Cela souligne les problèmes majeurs de notre infrastructure informatique. D’autres entreprises du même modèle commercial pourraient également être touchées.

Il faut en moyenne 62 minutes à des adversaires malveillants pour faire tomber votre entreprise, avertit le site web de CrowdStrike. En l'occurrence, l'entreprise de cybersécurité chargée de protéger de dizaines milliers de clients contre les pirates informatiques a réussi à faire tomber une grande partie des entreprises mondiales. Le coupable n'était autre qu'une seule mise à jour de contenu défectueuse qu'elle a diffusée sur son produit Falcon Sensor auprès des utilisateurs de Microsoft dans le monde entier.

En effet, CrowdStrike a déclaré dans un communiqué qu'il avait « identifié et isolé la faille et qu'un correctif avait été déployé ».

Microsoft a indiqué que 8,5 millions d'utilisateurs ont été impactés. Le phénomène a eu une répercussion mondiale, des entreprises d'Asie, d'Europe et des États-Unis ayant signalé des problèmes. Les retombées se sont étendues à de larges pans de l'économie mondiale, affectant les compagnies aériennes, les trains, les banques, les radiodiffuseurs et presque tout le reste. Les entreprises concernées affirment avoir mis en place un correctif. Mais les premiers rapports suggèrent que le processus est à la fois manuel et complexe, ce qui signifie que la remise en service des PC endommagés pourrait être un processus laborieux.

Les entreprises concernées en subiront évidemment les conséquences. Un échec aussi généralisé soulèvera, à tout le moins, de sérieuses questions sur le contrôle de la qualité et les processus de test internes. Cela devrait effrayer les clients. L'action semble également vulnérable. CrowdStrike a connu une croissance rapide, sa capitalisation boursière ayant plus que doublé au cours des 12 derniers mois pour atteindre 83,5 milliards de dollars. Cependant, le jour de la médiatisation de ces incidents, les actions de la société ont chuté.

D'autres entreprises, fonctionnant selon un modèle commercial similaire, pourraient également être touchées. Les clients seront conscients du risque que représente l'externalisation de ces fonctions critiques à des tiers, en particulier ceux qui sont en mesure d'envoyer automatiquement des mises à jour aux systèmes des clients. L'une des conséquences pourrait bien être l'expansion des équipes informatiques internes. Une autre conséquence devrait être la recherche d'un plus grand nombre de fournisseurs de logiciels et d'autres applications de sécurité.

Des leçons à retenir de cet incident ?

L'incident va exacerber les inquiétudes concernant le risque de concentration dans le secteur de la cybersécurité. Selon SecurityScorecard, 15 entreprises seulement dans le monde représentent 62 % du marché des produits et services de cybersécurité. Dans le domaine de la sécurité des terminaux modernes, qui consiste à sécuriser les PC, les ordinateurs portables et d'autres appareils, le problème est pire : trois entreprises, dont Microsoft et CrowdStrike sont de loin les plus importantes, contrôlaient la moitié du marché l'année dernière, selon IDC.

Nous sommes aujourd'hui confrontés à une prise de conscience importante et terrifiante : De nombreuses personnes en charge de nos systèmes numériques mondiaux dépendent d'un seul fournisseur de logiciels comme point de défaillance (une estimation suggère que CrowdStrike représente 24 % du marché de la sécurité), et lorsque ce fournisseur lui-même commet une erreur, nous sommes tous amenés à en subir les conséquences.

Alors que le Cyber Safety Review Board américain dissèque les cyberattaques de grande ampleur pour en tirer des enseignements, il n'existe pas d'organisme évident chargé d'analyser ces défaillances techniques afin d'améliorer la résilience de l'infrastructure technologique mondiale, a déclaré Ciaran Martin, ancien directeur du National Cyber Security Centre du Royaume-Uni.

La panne qui a frappé le monde devrait inciter les clients - et peut-être même les gouvernements et les régulateurs - à réfléchir davantage à la manière d'intégrer la diversification et la redondance dans leurs systèmes.

Peu probable que cela arrive

« Ce qui est unique dans cet incident, c'est l'échelle à laquelle il s'est produit, qui a probablement fait perdre des milliards à l'économie mondiale en raison des temps d'arrêt généralisés », a déclaré Neatsun Ziv, PDG d'OX Security, une société de cybersécurité. Elle a également fait perdre des milliards au bilan de CrowdStrike, dont le cours de l'action a chuté au début de la journée de l'incident.

Ce n'est pourtant pas le premier exemple de défaillance d'une seule entreprise affectant d'immenses réseaux mondiaux. Nous avons assisté à des dizaines de pannes massives de l'internet à la suite de défaillances de la part d'hébergeurs de sites sur le cloud et d'autres fournisseurs de systèmes. Le monde aurait dû tirer les leçons de l'un ou l'autre de ces incidents, qu'il s'agisse de la panne du logiciel Microsoft 365 en septembre 2020, de la panne de téléphone cellulaire à l'échelle nationale en février 2024 ou même de l'attaque des services publics américains en avril de cette année.

« Il est important de tirer les leçons de l'incident [de CrowdStrike] afin de réduire la probabilité qu'il se reproduise », déclare Simon Newman, cofondateur de Cyber London et membre du conseil consultatif de la Cyber Expo internationale. « J'encourage toutes les organisations à revoir régulièrement la résilience de leur chaîne d'approvisionnement ».

Cependant, nous ne l'avons pas fait, et nous ne le ferons probablement pas cette fois-ci non plus. Les solutions technologiques de pointe dont nous dépendons au quotidien sont souvent moins sophistiquées qu'il n'y paraît. Bien qu'elles semblent avoir été développées et codées avec soin, et qu'elles soient, à des fins de marketing, sans visage, elles sont le résultat d'un travail humain acharné qui a codé chaque ligne et vérifié chaque élément de ces solutions. Et les humains font des erreurs.

Le fait que cela se produise - et continue de se produire - devrait contribuer à mettre fin à l'idée que ces systèmes sont en quelque sorte infaillibles et que rien ne peut jamais leur arriver de mal. Dans un monde parfait, nous pourrions planifier des jeux autour de ces inévitabilités et créer des sécurités appropriées. Mais ce n'est pas le monde dans lequel nous vivons.

Microsoft cherche à renforcer la sécurité après l'incident avec CrowdStrike

« Cet incident montre clairement que Windows doit donner la priorité au changement et à l'innovation dans le domaine de la résilience de bout en bout », déclare John Cable, vice-président de la gestion des programmes pour le service et la livraison de Windows, dans un billet de blog intitulé « Résilience de Windows : Les meilleures pratiques et la voie à suivre ». Cable appelle à une coopération plus étroite entre Microsoft et ses partenaires « qui se soucient également beaucoup de la sécurité de l'écosystème Windows » afin d'apporter des améliorations en matière de sécurité.

Microsoft a attribué une partie de la panne de CrowdStrike à l'accord antitrust de l'Union européenne de 2009 qui oblige Redmond à ouvrir l'accès au niveau du noyau aux fournisseurs de logiciels tiers. En revanche, Apple a commencé à supprimer progressivement les extensions du noyau dans macOS en 2020 et a incité les éditeurs de logiciels à utiliser le « framework d'extension du système », en citant les avantages en termes de fiabilité et de sécurité.

Cable ne demande pas à Microsoft de couper complètement l'accès au noyau Windows. Il propose plutôt des alternatives, telles que « les enclaves VBS récemment annoncées, qui fournissent un environnement informatique isolé qui ne nécessite pas que les pilotes du mode noyau soient résistants aux manipulations ».

Malgré cela, le billet de Cable soulève la question de savoir si les efforts déployés par Microsoft pour sécuriser l'accès au noyau pourraient nuire aux éditeurs de logiciels tiers. Par exemple, les logiciels antivirus peuvent utiliser l'accès au niveau du noyau pour surveiller les changements malveillants apportés au système d'exploitation Windows dès les premières étapes.

« Sans les privilèges du mode noyau, [les antivirus et les systèmes de détection et de réponse des points d'extrémité] sont extrêmement limités dans ce qu'ils peuvent faire. Cependant, nous ne pensons pas que Microsoft va vraiment révoquer l'accès au mode noyau pour les fournisseurs de sécurité », a tweeté le service de suivi des logiciels malveillants VX-Underground.

Pour sa part, Matthew Prince, PDG de Cloudflare, a déjà mis en garde contre les effets d'un verrouillage plus poussé de Windows par Microsoft, qui devra donc prendre soigneusement en compte les besoins des fournisseurs de solutions de sécurité s'il souhaite opérer un véritable changement.

Sources : parts de marché de CrowdStrike, Microsoft (1, 2)

Et vous ?

Faut-il repenser notre confiance envers les entreprises de cybersécurité après l’incident chez CrowdStrike ? Dans quelle mesure ?
CrowdStrike : un avertissement pour les autres entreprises de cybersécurité ?

[Stéphane le calme]

La panne de Crowdstrike prouve-t-elle les dangers d'une société sans argent comptant ?
Plusieurs entreprises, qui dépendent fortement des systèmes de paiements numériques, n'étaient plus en mesure de traiter les paiements

L’incident mondial de panne informatique a entraîné des perturbations significatives dans divers secteurs, en particulier pour les entreprises qui dépendent fortement des systèmes de paiement numériques et sans argent comptant. L’Alliance pour le Choix des Paiements (PCA) soutient que l’incident de Crowdstrike devrait servir d’avertissement contre les changements majeurs dans la gestion de l’argent et des paiements dans la société moderne

Les supermarchés, les banques, les pubs, les cafés, les gares et les aéroports ont tous été touchés par la défaillance des systèmes Microsoft; de sorte que nombre d'entre eux n'ont pas pu accepter les paiements électroniques. L'impact a été particulièrement sévère pour les entreprises qui n'acceptent plus de paiement en liquide.

Waitrose a annoncé à ses clients qu'il n'était pas en mesure de traiter les paiements sans contact, tandis que la panne informatique mondiale semait le chaos au Royaume-Uni. Le supermarché de classe moyenne ne pouvait traiter que les paiements par carte à puce ou accepter des espèces dans les magasins, avant de confirmer que ses systèmes étaient de nouveau opérationnels. Les clients ont été informés qu'ils devaient retirer de l'argent aux distributeurs de cartes situés à proximité pour payer leurs achats.

Un panneau dans un Waitrose de Petersfield a été photographié indiquant que le magasin n'acceptait que les paiements en espèces car tous les « lecteurs de cartes étaient en panne », avec des excuses pour la gêne occasionnée. Une station de radio locale a rapporté que des files d'attente s'étaient formées à un guichet automatique au coin de la rue, les clients essayant de mettre la main sur des billets de banque.

Petersfield @waitrose is among the stores unable to process card payments this morning. It's linked to the global IT outage. People have been queuing at nearby Santander for cash. pic.twitter.com/kg7v9rZwp4

— Petersfield's Shine Radio (@shineradio) July 19, 2024

Les paiements en espèces ne sont pas obsolètes

La Payment Choice Alliance (PCA), qui fait campagne contre l'évolution vers une société sans numéraire, a énuméré 23 entreprises et groupes dont au moins une partie des points de vente n'acceptent que les cartes de crédit ou de débit. « Il y aura toujours des pannes », a déclaré Ron Delnevo, président de la PCA. « Mais s'il n'y a pas d'alternative, tout peut s'effondrer autour de vous ».

Selon UK Finance, qui représente les banques, les paiements en espèces ont augmenté l'année dernière pour la première fois depuis dix ans. Le nombre de personnes qui n'utilisent jamais de paiement en espèces, ou qui l'utilisent moins d'une fois par mois, a atteint 23,1 millions en 2021, mais est retombé à 21,6 millions l'année dernière. UK Finance a déclaré qu'il y avait « certainement encore une place » pour le paiement en espèces. « C'est à chaque entreprise de décider, mais nous pensons qu'il est bon de laisser le choix aux gens. La plupart des entreprises proposent encore des paiements en espèces ».

Le syndicat GMB a déclaré que cette panne confirmait ce qu'il disait depuis des années, à savoir que « l'argent en espèces est un élément essentiel du fonctionnement de nos communautés ». « Lorsque l'argent en espèces est retiré du système, les gens n'ont plus rien sur lequel s'appuyer, ce qui a un impact sur la façon dont ils s'acquittent de leurs tâches quotidiennes ».

Dennis Reed, directeur du groupe de campagne Silver Voices, qui représente les personnes âgées, a déclaré :

« C'est extrêmement inquiétant. Cela devrait constituer un avertissement important pour le gouvernement. Il est évident que les personnes âgées ont été particulièrement touchées, non seulement par l'aspect financier, mais aussi par les rendez-vous chez le médecin généraliste et tout le reste. Si les gens ne peuvent pas payer parce qu'ils ne peuvent pas utiliser leur téléphone, lorsque les systèmes tombent en panne - et c'est toujours le cas - les gens ne pourront pas accéder aux services vitaux, à la nourriture et aux choses essentielles de la vie.

« Avec cette société de plus en plus numérique, nous sommes tributaires de son bon fonctionnement. Mais nous n'avons aucun contrôle là-dessus. Nous mettons tous nos œufs dans le même panier. La sécurité future de la nation est en danger ».

Martin Quinn, directeur de campagne à la Payment Choice Alliance, a déclaré : « Avec les pannes informatiques qui se produisent maintenant avec une régularité alarmante, les entreprises devraient être attentives à n'accepter que les paiements par carte ».

Pourtant, de nombreux supermarchés préfèrent mettre en place des caisses en libre-service n'acceptant que les cartes, ce qui donne aux utilisateurs d'argent en espèces l'impression d'être des citoyens de seconde zone.

La Grande-Bretagne est en train de devenir une société sans argent en espèces, avec environ 25 millions de personnes âgées de plus de 16 ans, soit 45 % des Britanniques, qui déclarent ne pas emporter leur portefeuille lorsqu'ils sortent, selon le Daily Mail. Il est également devenu plus difficile de retirer de l'argent, et 23 000 distributeurs automatiques de billets devraient fermer d'ici à 2030.

Plusieurs pannes moins importantes et sans rapport avec le problème avaient déjà affecté les détaillants cette année

En mars, McDonald's, Tesco, Sainsbury's et Gregg's ont connu des problèmes avec leurs systèmes de paiement. Tous ces points de vente acceptent également les espèces.

En Chine et aux États-Unis, les autorités ont infligé des amendes aux commerces qui n'acceptaient pas les paiements en espèces. Delnevo a déclaré que le Royaume-Uni devrait adopter une loi obligeant tous les commerces à accepter les espèces.

Martin Quinn, directeur de campagne de la PCA, a déclaré que l'utilisation d'argent liquide permettait l'anonymat. « Je ne veux pas que mes données soient vendues et je ne veux pas que les banques, les sociétés de cartes de crédit et même les détaillants en ligne connaissent toutes les facettes de ma vie », a-t-il déclaré. Pour certains, il est également plus facile d'établir un budget en utilisant de l'argent en espèces ».

« Si je sors pour une soirée et que je décide de dépenser 50 livres sterling, je risque de me réveiller avec des éclats d'obus dans les poches. Mais si je suis au pub et que je me contente de taper, taper, taper, le lendemain matin, je me réveillerai et je découvrirai que j'ai dépassé mon découvert ».

Link a déclaré que, dans l'ensemble, ses distributeurs automatiques de billets étaient à des niveaux normaux, mais qu'ils étaient plus fréquentés aux abords des supermarchés.

Les avantages et les inconvénients d’une société sans argent en liquide

Avantages

• Efficacité et commodité : Les paiements numériques offrent une rapidité et une commodité inégalées. Plus besoin de transporter des espèces, de faire la queue aux guichets automatiques ou de compter des pièces de monnaie.
• Traçabilité : Les transactions numériques laissent des traces, ce qui peut être utile pour la lutte contre la fraude et le blanchiment d’argent.
• Réduction des coûts : Les paiements numériques sont souvent moins coûteux à gérer pour les entreprises et les gouvernements.

Les inconvénients et les risques

• Dépendance technologique : L’incident de Crowdstrike a montré à quel point nous sommes vulnérables aux pannes informatiques. Si les systèmes de paiement numériques échouent, cela pourrait paralyser l’économie.
• Perte d’anonymat : L’utilisation d’argent liquide permet de préserver l’anonymat des transactions. Avec les paiements numériques, chaque achat peut être suivi et analysé.
• Exclusion financière : Tout le monde n’a pas accès à des services bancaires ou à Internet. Une société sans argent liquide pourrait marginaliser davantage les populations défavorisées.

Conclusion

L’incident de Crowdstrike soulève des questions importantes sur la dépendance croissante aux paiements numériques et les risques potentiels d’une société sans argent en espèces. Il est essentiel de trouver un équilibre entre les avantages de la technologie et la nécessité de préserver l’anonymat, la résilience et la simplicité que l’argent liquide offre encore à de nombreuses personnes

Source : Payment Choice Alliance

Et vous ?

Quels sont les avantages et les inconvénients d’une société sans cash ? Explorez les aspects positifs et négatifs de la transition vers des paiements numériques exclusivement.
Comment pouvons-nous garantir la sécurité et la résilience des systèmes de paiement numériques ? Abordez la nécessité de protéger les infrastructures numériques contre les pannes et les cyberattaques.
Quelles alternatives au cash pourraient être envisagées pour préserver l’anonymat et la simplicité ? Une réflexion sur d’autres moyens de paiement qui pourraient offrir des avantages similaires au cash.
Quel rôle les gouvernements et les entreprises devraient-ils jouer dans la promotion ou la limitation de l’utilisation du cash ? Explorez les responsabilités des différentes parties prenantes dans la transition vers une société sans cash.
Comment pouvons-nous éduquer le public sur les risques et les avantages des paiements numériques ? Une discussion sur la sensibilisation et l’éducation des consommateurs concernant les choix de paiement.

[Jade Emy]

Microsoft analyse techniquement l'incident CrowdStrike, tout en étant aussi diplomatique que possible, il s'agit d'une gifle pour CrowdStrike qui a causé des pannes graves à d'autres systèmes d'exploitation.

Dans un billet de blog, Microsoft examine la récente panne de CrowdStrike et fournit un aperçu technique de la cause première. Tout en étant aussi diplomatique que possible, Microsoft explique comment les clients et les fournisseurs de solutions de sécurité peuvent mieux exploiter les capacités de sécurité intégrées de Windows pour améliorer la sécurité et la fiabilité. Pour CrowdStrike, il s'agit certainement d'une gifle, surtout après que Crowdstrike ait tué un système d'exploitation tous les mois.

Le 19 juillet 2024, une panne informatique mondiale a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan. Les écrans bleus de la mort ont perturbé le fonctionnement normal des machines Windows, affichant le message : “Recovery: It looks like Windows didn’t load correctly.”

Plus de 1 000 vols ont été annulés, principalement dans le secteur du transport aérien. Des aéroports tels que Hong Kong International Airport, l’aéroport de Berlin, l’aéroport de Zurich et l’aéroport de Budapest ont été touchés. La compagnie aérienne Ryanair a signalé des problèmes de réservation et d’enregistrement. De plus, les systèmes de réservation de Cathay Pacific, Hong Kong Express et Hong Kong Airlines sont restés indisponibles pendant plusieurs heures, entraînant des retards et des désagréments pour les voyageurs.

L’entreprise de cybersécurité américaine CrowdStrike a reconnu être à l’origine de ces problèmes. Le directeur général de CrowdStrike, George Kurtz, a confirmé qu'un « défaut » dans une mise à jour de contenu pour les hôtes Windows était à l'origine de la panne, et Kurtz a exclu une cyberattaque. Il a ajouté que l'entreprise était en train de déployer un correctif et que les hôtes Mac et Linux n'étaient pas affectés.

Voici l'analyse technique de Microsoft de cet incident, tout en étant partageant les meilleures pratiques en matière de sécurité Windows :

Rapport d'incident : Les meilleures pratiques en matière de sécurité Windows pour l'intégration et la gestion des outils de sécurité

Windows est une plateforme ouverte et flexible utilisée par de nombreuses entreprises parmi les plus importantes au monde pour des cas d'utilisation à haute disponibilité où la sécurité et la disponibilité ne sont pas négociables.

Pour répondre à ces besoins :

1. Windows offre une gamme de modes d'exploitation parmi lesquels les clients peuvent choisir. Il est notamment possible de limiter l'exécution aux seuls logiciels et pilotes approuvés. Cela permet d'améliorer la sécurité et la fiabilité en faisant fonctionner Windows dans un mode plus proche des téléphones mobiles ou des appareils.
   
2. Les clients peuvent opter pour les fonctions intégrées de surveillance et de détection de la sécurité qui sont incluses dans Windows. Ils peuvent également choisir de remplacer ou de compléter cette sécurité par un large éventail de choix provenant d'un écosystème ouvert et dynamique de fournisseurs.

Dans ce billet de blog, nous examinons la récente panne de CrowdStrike et fournissons un aperçu technique de la cause première. Nous expliquons également pourquoi les produits de sécurité utilisent aujourd'hui des pilotes en mode noyau et les mesures de sécurité que Windows offre aux solutions tierces. En outre, nous expliquons comment les clients et les fournisseurs de solutions de sécurité peuvent mieux exploiter les capacités de sécurité intégrées de Windows pour améliorer la sécurité et la fiabilité. Enfin, nous donnons un aperçu de la manière dont Windows améliorera l'extensibilité des futurs produits de sécurité.

CrowdStrike a récemment publié une analyse préliminaire de la panne. Dans son billet de blog, CrowdStrike décrit la cause première comme un problème de sécurité de la mémoire, en particulier une violation d'accès hors limites en lecture dans le pilote CSagent. Nous utilisons le débogueur de noyau Microsoft WinDBG et plusieurs extensions qui sont disponibles gratuitement pour tout le monde afin d'effectuer cette analyse. Les clients qui disposent de fichiers de crash peuvent reproduire nos étapes à l'aide de ces outils.

Sur la base de l'analyse par Microsoft des fichiers de crash du noyau Windows Error Reporting (WER) relatifs à l'incident, nous observons des schémas de crash globaux qui reflètent ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
FAULTING_THREAD:  ffffe402fe868040
 
READ_ADDRESS:  ffff840500000074 Paged pool
 
MM_INTERNAL_CODE:  2
 
IMAGE_NAME:  csagent.sys
 
MODULE_NAME: csagent
 
FAULTING_MODULE: fffff80671430000 csagent
 
PROCESS_NAME:  System
 
TRAP_FRAME:  ffff94058305ec20 -- (.trap 0xffff94058305ec20)
.trap 0xffff94058305ec20
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=ffff94058305f200 rbx=0000000000000000 rcx=0000000000000003
rdx=ffff94058305f1d0 rsi=0000000000000000 rdi=0000000000000000
rip=fffff806715114ed rsp=ffff94058305edb0 rbp=ffff94058305eeb0
 r8=ffff840500000074  r9=0000000000000000 r10=0000000000000000
r11=0000000000000014 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0         nv up ei ng nz na po nc
csagent+0xe14ed:
fffff806`715114ed 458b08          mov     r9d,dword ptr [r8] ds:ffff8405`00000074=????????
.trap
Resetting default scope
 
STACK_TEXT:  
ffff9405`8305e9f8 fffff806`5388c1e4     : 00000000`00000050 ffff8405`00000074 00000000`00000000 ffff9405`8305ec20 : nt!KeBugCheckEx 
ffff9405`8305ea00 fffff806`53662d8c     : 00000000`00000000 00000000`00000000 00000000`00000000 ffff8405`00000074 : nt!MiSystemFault+0x1fcf94  
ffff9405`8305eb00 fffff806`53827529     : ffffffff`00000030 ffff8405`af8351a2 ffff9405`8305f020 ffff9405`8305f020 : nt!MmAccessFault+0x29c 
ffff9405`8305ec20 fffff806`715114ed     : 00000000`00000000 ffff9405`8305eeb0 ffff8405`b0bcd00c ffff8405`b0bc505c : nt!KiPageFault+0x369 
ffff9405`8305edb0 fffff806`714e709e     : 00000000`00000000 00000000`e01f008d ffff9405`8305f102 fffff806`716baaf8 : csagent+0xe14ed
ffff9405`8305ef50 fffff806`714e8335     : 00000000`00000000 00000000`00000010 00000000`00000002 ffff8405`b0bc501c : csagent+0xb709e
ffff9405`8305f080 fffff806`717220c7     : 00000000`00000000 00000000`00000000 ffff9405`8305f382 00000000`00000000 : csagent+0xb8335
ffff9405`8305f1b0 fffff806`7171ec44     : ffff9405`8305f668 fffff806`53eac2b0 ffff8405`afad4ac0 00000000`00000003 : csagent+0x2f20c7
ffff9405`8305f430 fffff806`71497a31     : 00000000`0000303b ffff9405`8305f6f0 ffff8405`afb1d140 ffffe402`ff251098 : csagent+0x2eec44
ffff9405`8305f5f0 fffff806`71496aee     : ffff8405`afb1d140 fffff806`71541e7e 00000000`000067a0 fffff806`7168f8f0 : csagent+0x67a31
ffff9405`8305f760 fffff806`7149685b     : ffff9405`8305f9d8 ffff8405`afb1d230 ffff8405`afb1d140 ffffe402`fe8644f8 : csagent+0x66aee
ffff9405`8305f7d0 fffff806`715399ea     : 00000000`4a8415aa ffff8eee`1c68ca4f 00000000`00000000 ffff8405`9e95fc30 : csagent+0x6685b
ffff9405`8305f850 fffff806`7148efbb     : 00000000`00000000 ffff9405`8305fa59 ffffe402`fe864050 ffffe402`fede62c0 : csagent+0x1099ea
ffff9405`8305f980 fffff806`7148edd7     : ffffffff`ffffffa1 fffff806`7152e5c1 ffffe402`fe864050 00000000`00000001 : csagent+0x5efbb
ffff9405`8305fac0 fffff806`7152e681     : 00000000`00000000 fffff806`53789272 00000000`00000002 ffffe402`fede62c0 : csagent+0x5edd7
ffff9405`8305faf0 fffff806`53707287     : ffffe402`fe868040 00000000`00000080 fffff806`7152e510 006fe47f`b19bbdff : csagent+0xfe681
ffff9405`8305fb30 fffff806`5381b8e4     : ffff9680`37651180 ffffe402`fe868040 fffff806`53707230 00000000`00000000 : nt!PspSystemThreadStartup+0x57 
ffff9405`8305fb80 00000000`00000000     : ffff9405`83060000 ffff9405`83059000 00000000`00000000 00000000`00000000 : nt!KiStartSystemThread+0x34

En creusant davantage dans ce crash dump, nous pouvons restaurer le stack frame au moment de la violation d'accès afin d'en savoir plus sur son origine. Malheureusement, avec les données WER, nous ne recevons qu'une version compressée de l'état et nous ne pouvons donc pas désassembler à l'envers pour voir un ensemble plus large d'instructions avant le crash, mais nous pouvons voir dans le désassemblage qu'il y a une vérification de NULL avant d'effectuer une lecture à l'adresse spécifiée dans le registre R8 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
6: kd> .trap 0xffff94058305ec20
.trap 0xffff94058305ec20
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=ffff94058305f200 rbx=0000000000000000 rcx=0000000000000003
rdx=ffff94058305f1d0 rsi=0000000000000000 rdi=0000000000000000
rip=fffff806715114ed rsp=ffff94058305edb0 rbp=ffff94058305eeb0
 r8=ffff840500000074  r9=0000000000000000 r10=0000000000000000
r11=0000000000000014 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=000000000000
000
iopl=0         nv up ei ng nz na po nc
csagent+0xe14ed:
fffff806`715114ed 458b08          mov     r9d,dword ptr [r8] ds:ffff8405`00000074=????????
6: kd> !pte ffff840500000074
!pte ffff840500000074
                                           VA ffff840500000074
PXE at FFFFABD5EAF57840    PPE at FFFFABD5EAF080A0    PDE at FFFFABD5E1014000    PTE at FFFFABC202800000
contains 0A00000277200863  contains 0000000000000000
pfn 277200    ---DA--KWEV  contains 0000000000000000
not valid
 
6: kd> ub fffff806`715114ed
ub fffff806`715114ed
csagent+0xe14d9:
fffff806`715114d9 04d8            add     al,0D8h
fffff806`715114db 750b            jne     csagent+0xe14e8 (fffff806`715114e8)
fffff806`715114dd 4d85c0          test    r8,r8
fffff806`715114e0 7412            je      csagent+0xe14f4 (fffff806`715114f4)
fffff806`715114e2 450fb708        movzx   r9d,word ptr [r8]
fffff806`715114e6 eb08            jmp     csagent+0xe14f0 (fffff806`715114f0)
fffff806`715114e8 4d85c0          test    r8,r8
fffff806`715114eb 7407            je      csagent+0xe14f4 (fffff806`715114f4)
6: kd> ub fffff806`715114d9
ub fffff806`715114d9
                          ^ Unable to find valid previous instruction for 'ub fffff806`715114d9'
6: kd> u fffff806`715114eb
u fffff806`715114eb
csagent+0xe14eb:
fffff806`715114eb 7407            je      csagent+0xe14f4 (fffff806`715114f4)
fffff806`715114ed 458b08          mov     r9d,dword ptr [r8]
fffff806`715114f0 4d8b5008        mov     r10,qword ptr [r8+8]
fffff806`715114f4 4d8bc2          mov     r8,r10
fffff806`715114f7 488d4d90        lea     rcx,[rbp-70h]
fffff806`715114fb 488bd6          mov     rdx,rsi
fffff806`715114fe e8212c0000      call    csagent+0xe4124 (fffff806`71514124)
fffff806`71511503 4533d2          xor     r10d,r10d
 
6: kd> db ffff840500000074
db ffff840500000074
ffff8405`00000074  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
ffff8405`00000084  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
ffff8405`00000094  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
ffff8405`000000a4  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
ffff8405`000000b4  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
ffff8405`000000c4  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
ffff8405`000000d4  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????
ffff8405`000000e4  ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??  ????????????????

Nos observations confirment l'analyse de CrowdStrike selon laquelle il s'agit d'une erreur de sécurité de lecture hors limites dans le pilote CSagent.sys développé par CrowdStrike.

Nous pouvons également constater que le module csagent.sys est enregistré en tant que pilote de filtre de système de fichiers couramment utilisé par les agents anti-malware pour recevoir des notifications sur les opérations de fichiers telles que la création ou la modification d'un fichier. Les produits de sécurité s'en servent souvent pour analyser tout nouveau fichier enregistré sur le disque, comme le téléchargement d'un fichier via le navigateur.

Les filtres de système de fichiers peuvent également être utilisés comme un signal pour les solutions de sécurité qui tentent de surveiller le comportement du système. CrowdStrike a indiqué sur son blog qu'une partie de la mise à jour du contenu consistait à modifier la logique du capteur en ce qui concerne les données relatives à la création de tuyaux nommés. L'API du pilote de filtrage du système de fichiers permet au pilote de recevoir un appel lorsque l'activité d'un tuyau nommé (par exemple, la création d'un tuyau nommé) se produit sur le système et pourrait permettre la détection d'un comportement malveillant. La fonction générale du pilote correspond aux informations communiquées par CrowdStrike.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
6: kd>!reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csagent
 
Hive         ffff84059ca7b000
KeyNode      ffff8405a6f67f9c
 
[SubKeyAddr]         [SubKeyName]
ffff8405a6f683ac     Instances
ffff8405a6f6854c     Sim
 
 Use '!reg keyinfo ffff84059ca7b000 <SubKeyAddr>' to dump the subkey details
 
[ValueType]         [ValueName]                   [ValueData]
REG_DWORD           Type                          2
REG_DWORD           Start                         1
REG_DWORD           ErrorControl                  1
REG_EXPAND_SZ       ImagePath                     \??\C:\Windows\system32\drivers\CrowdStrike\csagent.sys
REG_SZ              DisplayName                   CrowdStrike Falcon
REG_SZ              Group                         FSFilter Activity Monitor
REG_MULTI_SZ        DependOnService               FltMgr\0
REG_SZ              CNFG                          Config.sys
REG_DWORD           SupportedFeatures             f

Nous pouvons voir que la version 291 du fichier du canal de contrôle spécifiée dans l'analyse de CrowdStrike est également présente dans le crash, ce qui indique que le fichier a été lu.

Déterminer la corrélation entre le fichier lui-même et la violation d'accès observée dans le crash dump nécessiterait un débogage supplémentaire du pilote à l'aide de ces outils, mais n'entre pas dans le cadre de ce billet de blog.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
!ca ffffde8a870a8290
 
ControlArea  @ ffffde8a870a8290
  Segment      ffff880ce0689c10  Flink      ffffde8a87267718  Blink        ffffde8a870a7d98
  Section Ref                 0  Pfn Ref                   b  Mapped Views                0
  User Ref                    0  WaitForDel                0  Flush Count                 0
  File Object  ffffde8a879b29a0  ModWriteCount             0  System Views                0
  WritableRefs                0  PartitionId                0  
  Flags (8008080) File WasPurged OnUnusedList 
 
      \Windows\System32\drivers\CrowdStrike\C-00000291-00000000-00000032.sys
 
1: kd> !ntfskd.ccb ffff880ce06f6970
!ntfskd.ccb ffff880ce06f6970
 
   Ccb: ffff880c`e06f6970
 Flags: 00008003 Cleanup OpenAsFile IgnoreCase
Flags2: 00000841 OpenComplete AccessAffectsOplocks SegmentObjectReferenced
  Type: UserFileOpen
FileObj: ffffde8a879b29a0
 
(018)  ffff880c`db937370  FullFileName [\Windows\System32\drivers\CrowdStrike\C-00000291-00000000-00000032.sys]
(020) 000000000000004C  LastFileNameOffset 
(022) 0000000000000000  EaModificationCount 
(024) 0000000000000000  NextEaOffset 
(048) FFFF880CE06F69F8  Lcb 
(058) 0000000000000002  TypeOfOpen

Nous pouvons exploiter le crash dump pour déterminer si d'autres pilotes fournis par CrowdStrike peuvent exister sur le système en cours d'exécution lors du crash.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
6: kd> lmDvmCSFirmwareAnalysis
lmDvmCSFirmwareAnalysis
Browse full module list
start             end                 module name
fffff806`58920000 fffff806`5893c000   CSFirmwareAnalysis   (deferred)             
    Image path: \SystemRoot\system32\DRIVERS\CSFirmwareAnalysis.sys
    Image name: CSFirmwareAnalysis.sys
    Browse all global symbols  functions  data  Symbol Reload
    Timestamp:        Mon Mar 18 11:32:14 2024 (65F888AE)
    CheckSum:         0002020E
    ImageSize:        0001C000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4
    Information from resource tables:
6: kd> lmDvmcspcm4
lmDvmcspcm4
Browse full module list
start             end                 module name
fffff806`71870000 fffff806`7187d000   cspcm4     (deferred)             
    Image path: \??\C:\Windows\system32\drivers\CrowdStrike\cspcm4.sys
    Image name: cspcm4.sys
    Browse all global symbols  functions  data  Symbol Reload
    Timestamp:        Mon Jul  8 18:33:22 2024 (668C9362)
    CheckSum:         00012F69
    ImageSize:        0000D000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4
    Information from resource tables:
6: kd> lmDvmcsboot.sys
lmDvmcsboot.sys
Browse full module list
start             end                 module name
 
Unloaded modules:
fffff806`587d0000 fffff806`587dc000   CSBoot.sys
    Timestamp: unavailable (00000000)
    Checksum:  00000000
    ImageSize:  0000C000
 
6: kd> !reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csboot
!reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csboot
 
Hive         ffff84059ca7b000
KeyNode      ffff8405a6f68924
 
[ValueType]         [ValueName]                   [ValueData]
REG_DWORD           Type                          1
REG_DWORD           Start                         0
REG_DWORD           ErrorControl                  1
REG_EXPAND_SZ       ImagePath                     system32\drivers\CrowdStrike\CSBoot.sys
REG_SZ              DisplayName                   CrowdStrike Falcon Sensor Boot Driver
REG_SZ              Group                         Early-Launch
6: kd> !reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csdevicecontrol
!reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csdevicecontrol
 
Hive         ffff84059ca7b000
KeyNode      ffff8405a6f694ac
 
[SubKeyAddr]         [VolatileSubKeyName]
ffff84059ce196c4     Enum
 
 Use '!reg keyinfo ffff84059ca7b000 <SubKeyAddr>' to dump the subkey details
 
[ValueType]         [ValueName]                   [ValueData]
REG_DWORD           Type                          1
REG_DWORD           Start                         3
REG_DWORD           ErrorControl                  1
REG_DWORD           Tag                           1f
REG_EXPAND_SZ       ImagePath                     \SystemRoot\System32\drivers\CSDeviceControl.sys
REG_SZ              DisplayName                   @oem40.inf,%DeviceControl.SVCDESC%;CrowdStrike Device Control Service
REG_SZ              Group                         Base
REG_MULTI_SZ        Owners                        oem40.inf\0!csdevicecontrol.inf_amd64_b6725a84d4688d5a\0!csdevicecontrol.inf_amd64_016e965488e83578\0
REG_DWORD           BootFlags                     14
6: kd> !reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csagent
!reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csagent
 
Hive         ffff84059ca7b000
KeyNode      ffff8405a6f67f9c
 
[SubKeyAddr]         [SubKeyName]
ffff8405a6f683ac     Instances
ffff8405a6f6854c     Sim
 
 Use '!reg keyinfo ffff84059ca7b000 <SubKeyAddr>' to dump the subkey details
 
[ValueType]         [ValueName]                   [ValueData]
REG_DWORD           Type                          2
REG_DWORD           Start                         1
REG_DWORD           ErrorControl                  1
REG_EXPAND_SZ       ImagePath                     \??\C:\Windows\system32\drivers\CrowdStrike\csagent.sys
REG_SZ              DisplayName                   CrowdStrike Falcon
REG_SZ              Group                         FSFilter Activity Monitor
REG_MULTI_SZ        DependOnService               FltMgr\0
REG_SZ              CNFG                          Config.sys
REG_DWORD           SupportedFeatures             f
 
6: kd> lmDvmCSFirmwareAnalysis
lmDvmCSFirmwareAnalysis
Browse full module list
start             end                 module name
fffff806`58920000 fffff806`5893c000   CSFirmwareAnalysis   (deferred)             
    Image path: \SystemRoot\system32\DRIVERS\CSFirmwareAnalysis.sys
    Image name: CSFirmwareAnalysis.sys
    Browse all global symbols  functions  data  Symbol Reload
    Timestamp:        Mon Mar 18 11:32:14 2024 (65F888AE)
    CheckSum:         0002020E
    ImageSize:        0001C000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4
    Information from resource tables:
6: kd> !reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csfirmwareanalysis
!reg querykey \REGISTRY\MACHINE\system\ControlSet001\services\csfirmwareanalysis
 
Hive         ffff84059ca7b000
KeyNode      ffff8405a6f69d9c
 
[SubKeyAddr]         [VolatileSubKeyName]
ffff84059ce197cc     Enum
 
 Use '!reg keyinfo ffff84059ca7b000 <SubKeyAddr>' to dump the subkey details
 
[ValueType]         [ValueName]                   [ValueData]
REG_DWORD           Type                          1
REG_DWORD           Start                         0
REG_DWORD           ErrorControl                  1
REG_DWORD           Tag                           6
REG_EXPAND_SZ       ImagePath                     system32\DRIVERS\CSFirmwareAnalysis.sys
REG_SZ              DisplayName                   @oem43.inf,%FirmwareAnalysis.SVCDESC%;CrowdStrike Firmware Analysis Service
REG_SZ              Group                         Boot Bus Extender
REG_MULTI_SZ        Owners                        oem43.inf\0!csfirmwareanalysis.inf_amd64_12861fc608fb1440\0
6: kd> !reg querykey \REGISTRY\MACHINE\system\Controlset001\control\earlylaunch
!reg querykey \REGISTRY\MACHINE\system\Controlset001\control\earlylaunch

Comme le montre l'analyse ci-dessus, CrowdStrike charge quatre modules de pilote. L'un de ces modules reçoit un contrôle dynamique et des mises à jour de contenu fréquemment basées sur la chronologie de l'examen préliminaire post-incident de CrowdStrike.

Nous pouvons exploiter la pile unique et les attributs de ce crash pour identifier les rapports de crash Windows générés par cette erreur de programmation spécifique de CrowdStrike. Il convient de noter que le nombre d'appareils ayant généré des rapports de crash est un sous-ensemble du nombre d'appareils impactés précédemment partagé par Microsoft dans notre article de blog, car les rapports de crash sont échantillonnés et collectés uniquement auprès des clients qui choisissent de télécharger leurs crashs à Microsoft. Les clients qui choisissent d'activer le partage des rapports de panne aident les fournisseurs de pilotes et Microsoft à identifier les problèmes de qualité et les pannes et à y remédier.

Nous mettons ces informations à la disposition des propriétaires de pilotes afin qu'ils puissent évaluer leur propre fiabilité via le tableau de bord analytique du Hardware Dev Center. Comme nous pouvons le voir ci-dessus, tout problème de fiabilité tel que ce problème d'accès invalide à la mémoire peut entraîner des problèmes de disponibilité généralisés s'il n'est pas associé à des pratiques de déploiement sûres. Voyons pourquoi les solutions de sécurité s'appuient sur les pilotes du noyau sous Windows.

Pourquoi les solutions de sécurité s'appuient-elles sur les pilotes du noyau ?

De nombreux fournisseurs de solutions de sécurité, tels que CrowdStrike et Microsoft, s'appuient sur une architecture de pilotes de noyau, et ce pour plusieurs raisons.

• Visibilité et application des événements liés à la sécurité
  
  Les pilotes de noyau permettent une visibilité à l'échelle du système et la capacité de charger en début de démarrage pour détecter les menaces telles que les kits de démarrage et les kits racine qui peuvent se charger avant les applications en mode utilisateur. En outre, Microsoft fournit un ensemble riche de fonctionnalités telles que les rappels d'événements système pour la création de processus et de threads et les pilotes de filtre qui peuvent surveiller des événements tels que la création, la suppression ou la modification de fichiers. L'activité du noyau peut également déclencher des rappels pour que les pilotes décident quand bloquer des activités telles que la création de fichiers ou de processus. De nombreux fournisseurs utilisent également des pilotes pour collecter diverses informations réseau dans le noyau à l'aide de la classe de pilotes NDIS.
  
  
• Performances
  
  Les pilotes du noyau sont souvent utilisés par les fournisseurs de solutions de sécurité pour leurs avantages potentiels en termes de performances. Par exemple, l'analyse ou la collecte de données pour une activité réseau à haut débit peut bénéficier d'un pilote de noyau. Il existe de nombreux scénarios dans lesquels la collecte et l'analyse de données peuvent être optimisées pour un fonctionnement en dehors du mode noyau et Microsoft continue de s'associer à l'écosystème pour améliorer les performances et fournir les meilleures pratiques pour atteindre la parité en dehors du mode noyau.
  
  
• Résistance à la falsification
  
  Un deuxième avantage du chargement en mode noyau est la résistance à la falsification. Les produits de sécurité veulent s'assurer que leurs logiciels ne peuvent pas être désactivés par des logiciels malveillants, des attaques ciblées ou des personnes internes malveillantes, même lorsque ces attaquants ont des privilèges de niveau administrateur. Ils veulent également s'assurer que leurs pilotes se chargent le plus tôt possible afin de pouvoir observer les événements du système le plus tôt possible. C'est pour cette raison que Windows fournit un mécanisme permettant de lancer les pilotes marqués comme Early Launch Antimalware (ELAM) au début du processus de démarrage. CrowdStrike marque le pilote CSboot ci-dessus comme ELAM, ce qui lui permet de se charger au début de la séquence de démarrage.
  
  Dans le cas général, il existe un compromis que les fournisseurs de sécurité doivent rationaliser lorsqu'il s'agit de pilotes de noyau. Les pilotes de noyau offrent les propriétés susmentionnées au détriment de la résilience. Étant donné que les pilotes de noyau s'exécutent au niveau le plus fiable de Windows, où les capacités de confinement et de récupération sont par nature limitées, les fournisseurs de sécurité doivent soigneusement équilibrer des besoins tels que la visibilité et la résistance à la falsification avec le risque d'opérer en mode noyau.
  
  Tout code fonctionnant au niveau du noyau nécessite une validation approfondie parce qu'il ne peut pas tomber en panne et redémarrer comme une application utilisateur normale. Ce principe est universel dans tous les systèmes d'exploitation. En interne, chez Microsoft, nous avons investi dans le transfert de services Windows complexes du mode noyau vers le mode utilisateur, comme l'analyse des fichiers de police.
  
  Il est aujourd'hui possible pour les outils de sécurité d'équilibrer la sécurité et la fiabilité. Par exemple, les fournisseurs d'outils de sécurité peuvent utiliser des capteurs minimaux fonctionnant en mode noyau pour la collecte de données et la mise en œuvre, ce qui limite l'exposition aux problèmes de disponibilité. Le reste des fonctionnalités clés du produit, notamment la gestion des mises à jour, l'analyse du contenu et d'autres opérations, peuvent être effectuées de manière isolée en mode utilisateur, où la récupération est possible. Cela démontre la meilleure pratique qui consiste à minimiser l'utilisation du noyau tout en maintenant une posture de sécurité robuste et une forte visibilité.
  
  
  
  
  Windows propose plusieurs approches de protection en mode utilisateur pour lutter contre la falsification, comme les Enclaves de sécurité basées sur la virtualisation (VBS) et les Processus protégés que les fournisseurs peuvent utiliser pour protéger leurs processus de sécurité clés. Windows fournit également des événements ETW et des interfaces en mode utilisateur telles que l'interface d'analyse antimalware pour la visibilité des événements. Ces mécanismes robustes peuvent être utilisés pour réduire la quantité de code du noyau nécessaire pour créer une solution de sécurité, ce qui permet d'équilibrer la sécurité et la robustesse.

Comment Windows contribue-t-il à garantir la qualité des produits tiers liés à la sécurité ?

Microsoft collabore avec des fournisseurs de sécurité tiers dans le cadre d'un forum industriel appelé Microsoft Virus Initiative (MVI). Ce groupe, composé de Microsoft et de l'industrie de la sécurité, a été créé pour établir un dialogue et une collaboration au sein de l'écosystème de sécurité Windows afin d'améliorer la robustesse de l'utilisation de la plateforme par les produits de sécurité. Avec MVI, Microsoft et les fournisseurs collaborent sur la plateforme Windows pour définir des points d'extension fiables et des améliorations de la plateforme, ainsi que pour partager des informations sur la meilleure façon de protéger nos clients.

Microsoft travaille avec les membres du MVI pour assurer la compatibilité avec les mises à jour de Windows, améliorer les performances et résoudre les problèmes de fiabilité. Les partenaires MVI qui participent activement au programme contribuent à rendre l'écosystème plus résilient et bénéficient d'avantages tels que des briefings techniques, des boucles de retour d'information avec les équipes Produits de Microsoft et l'accès à des fonctionnalités de la plateforme antimalware telles que ELAM et Protected Processes. Microsoft fournit également une protection en cours d'exécution, telle que Patch Guard, afin d'éviter tout comportement perturbateur de la part des types de pilotes du noyau, tels que les logiciels anti-malveillants.

En outre, tous les pilotes signés par le Microsoft Windows Hardware Quality Labs (WHQL) doivent subir une série de tests et attester d'un certain nombre de contrôles de qualité, notamment l'utilisation de fuzzers, l'exécution d'une analyse statique du code et la vérification du pilote en cours d'exécution, entre autres techniques. Ces tests ont été mis au point pour garantir le respect des meilleures pratiques en matière de sécurité et de fiabilité. Microsoft inclut tous ces outils dans le kit de pilote Windows utilisé par tous les développeurs de pilotes. Une liste des ressources et des outils est disponible ici.

Tous les pilotes signés WHQL sont soumis aux contrôles d'ingestion et aux analyses de logiciels malveillants de Microsoft et doivent passer avec succès avant d'être approuvés pour la signature. En outre, si un fournisseur tiers choisit de distribuer son pilote via Windows Update (WU), le pilote passe également par les processus de pilotage et de déploiement progressif de Microsoft afin d'observer la qualité et de s'assurer que le pilote répond aux critères de qualité nécessaires pour une diffusion à grande échelle.

Les clients peuvent-ils déployer Windows dans un mode de sécurité plus élevé afin d'accroître la fiabilité ?

Windows est un système d'exploitation ouvert et polyvalent, et il peut facilement être verrouillé pour une sécurité accrue à l'aide d'outils intégrés. En outre, Windows augmente constamment les paramètres de sécurité par défaut, y compris des dizaines de nouvelles fonctions de sécurité activées par défaut dans Windows 11.

Windows a intégré des fonctions de sécurité pour se défendre. Il s'agit notamment de fonctions anti-programmes malveillants clés activées par défaut, telles que :

1. Secure Boot, qui aide à prévenir les logiciels malveillants de démarrage précoce et les rootkits en appliquant la signature de manière cohérente à tous les démarrages de Windows.
   
2. Measured Boot, qui fournit des mesures cryptographiques matérielles basées sur le TPM sur les propriétés de démarrage disponibles par le biais de services d'attestation intégrés tels que Device Health Attestation.
   
3. Intégrité de la mémoire(également connue sous le nom d'intégrité du code protégé par l'hyperviseur ou HVCI), qui empêche la génération de code dynamique au cours de l'exécution dans le noyau et contribue à garantir l'intégrité du flux de contrôle.
   
4. La liste de blocage des pilotes vulnérables, qui est activée par défaut, intégrée au système d'exploitation et gérée par Microsoft. Elle complète la liste de blocage des pilotes malveillants.
   
5. L'autorité de sécurité locale protégée est activée par défaut dans Windows 11 pour protéger une série d'informations d'identification. La protection des informations d'identification basée sur le matériel est activée par défaut pour les versions d'entreprise de Windows.
   
6. Microsoft Defender Antivirus est activé par défaut dans Windows et offre des fonctionnalités anti-malware dans l'ensemble du système d'exploitation.

Ces fonctions de sécurité fournissent des couches de protection contre les logiciels malveillants et les tentatives d'exploitation dans les versions modernes de Windows. De nombreux clients Windows ont tiré parti de notre base de sécurité et des technologies de sécurité Windows pour renforcer leurs systèmes, et ces capacités ont collectivement réduit la surface d'attaque de manière significative.

L'utilisation des fonctions de sécurité intégrées de Windows pour prévenir les attaques adverses telles que celles présentées dans le framework ATT&CK® de MITRE renforce la sécurité tout en réduisant les coûts et la complexité. Il s'appuie sur les meilleures pratiques pour atteindre une sécurité et une fiabilité maximales. Ces meilleures pratiques sont les suivantes :

1. Grâce à App Control for Business (anciennement Windows Defender Application Control), vous pouvez élaborer une politique de sécurité qui n'autorise que les applications de confiance et/ou critiques pour l'entreprise. Cette politique peut être conçue pour empêcher de manière déterministe et durable la quasi-totalité des logiciels malveillants et des attaques du type « vivre aux crochets de l'entreprise ». Elle peut également spécifier quels pilotes de noyau sont autorisés par votre organisation afin de garantir durablement que seuls ces pilotes se chargeront sur les terminaux gérés.
   
2. Utilisez l'intégrité de la mémoire avec une politique de liste d'autorisations spécifique pour protéger davantage le noyau Windows à l'aide de la sécurité basée sur la virtualisation (VBS). Associée à App Control for Business, l'intégrité de la mémoire peut réduire la surface d'attaque des logiciels malveillants ou des kits de démarrage du noyau. Elle peut également être utilisée pour limiter les pilotes susceptibles d'avoir un impact sur la fiabilité des systèmes.
   
3. Exécution en tant qu'utilisateur standard et élévation uniquement si nécessaire. Les entreprises qui suivent les meilleures pratiques en matière d'exécution en tant qu'utilisateur standard et de réduction des privilèges atténuent bon nombre des techniques ATT&CK® de MITRE.
   
4. Utiliser Device Health Attestation (DHA) pour surveiller les appareils afin d'appliquer la bonne politique de sécurité, y compris les mesures matérielles de la posture de sécurité de l'appareil. Il s'agit d'une approche moderne et exceptionnellement durable pour garantir la sécurité dans les scénarios de haute disponibilité et utiliser l'architecture Zero Trust de Microsoft.

Que se passera-t-il ensuite ?

Windows est un système d'exploitation autoprotégé qui a produit des dizaines de nouvelles fonctionnalités de sécurité et de changements architecturaux dans les versions récentes. Nous prévoyons de collaborer avec l'écosystème de lutte contre les logiciels malveillants afin de tirer parti de ces fonctions intégrées pour moderniser leur approche, en contribuant à soutenir et même à renforcer la sécurité et la fiabilité.

Il s'agit notamment d'aider l'écosystème en

1. fournissant des conseils, des meilleures pratiques et des technologies pour un déploiement sûr afin de rendre plus sûre la mise à jour des produits de sécurité.
2. réduisant le besoin de pilotes de noyau pour accéder à d'importantes données de sécurité
3. améliorant les capacités d'isolation et de lutte contre la falsification grâce à des technologies telles que les enclaves VBS récemment annoncées
4. permettant des approches de confiance zéro comme l'attestation d'intégrité élevée qui fournit une méthode pour déterminer l'état de sécurité de la machine sur la base de l'état des fonctions de sécurité natives de Windows.

Windows continue d'innover et d'offrir aux outils de sécurité de nouveaux moyens de détecter les menaces émergentes et d'y répondre en toute sécurité. Windows a annoncé un engagement autour du langage de programmation Rust dans le cadre de la Secure Future Initiative (SFI) de Microsoft et a récemment étendu le noyau Windows pour prendre en charge Rust.

Les informations contenues dans ce billet de blog sont fournies dans le cadre de notre engagement à communiquer les enseignements et les prochaines étapes après l'incident CrowdStrike. Nous continuerons à partager des conseils sur les meilleures pratiques de sécurité pour Windows et à travailler avec notre large écosystème de clients et de partenaires pour développer de nouvelles capacités de sécurité sur la base de vos commentaires.

CrowdStrike face aux incidents de panne graves

CrowdStrike a été à l'origine d'une panne informatique mondiale majeure en 2024 affectant Windows. Des problèmes similaires affectant certaines distributions Linux dans le passé ont ensuite été révélés sur des forums Internet. Il s'agissait parfois de problèmes relativement isolés, affectant une application spécifique ou un système d'exploitation qui n'est pas aussi largement déployé que d'autres.

• Avril 2024 : Un utilisateur de Hacker News a affirmé que dans la soirée du vendredi 19 avril 2024, Crowdstrike a publié une mise à jour logicielle défectueuse qui a fait planter les ordinateurs fonctionnant sous Debian Linux et les a empêchés de redémarrer normalement. L'utilisateur affirme également que CrowdStrike a reconnu le bogue un jour plus tard et en a déterminé la cause quelques semaines plus tard.
  
• Mai 2024 : Le 13 mai 2024, il a été signalé sur les forums de Rocky Linux que les serveurs équipés du logiciel CrowdStrike pouvaient se figer après une mise à niveau vers Rocky Linux 9.4. CrowdStrike a déclaré qu'ils étaient au courant du problème car il s'agissait du même problème dû à un capteur Linux en mode utilisateur combiné à des versions spécifiques du noyau 6.x.
  
• Juin 2024, incident chez Red Hat : Le 4 juin 2024, Red Hat a publié un article de solution relatif aux paniques du noyau et au processus du capteur Falcon qui a eu un impact sur Red Hat Enterprise Linux 9.4 utilisant le noyau 5.14.0 et un capteur Falcon de Crowdstrike.

Et récemment, il y a eu l'incident avec Microsoft Windows. Le 19 juillet 2024, CrowdStrike a publié une mise à jour logicielle du scanner de vulnérabilités Falcon Sensor. Des failles dans cette mise à jour ont provoqué des écrans bleus de la mort sur les machines Microsoft Windows, perturbant des millions d'ordinateurs Windows dans le monde entier. Les machines affectées ont été forcées de démarrer en boucle, ce qui les a rendues inutilisables.

Ce phénomène est dû à la mise à jour d'un fichier de configuration, le Channel File 291, qui, selon CrowdStrike, a déclenché une erreur de logique et provoqué le plantage du système d'exploitation. Bien que CrowdStrike ait publié un correctif pour corriger l'erreur, les ordinateurs bloqués dans une boucle de démarrage n'ont pas pu se connecter à Internet pour télécharger le correctif avant que Falcon ne se charge et ne fasse à nouveau planter l'appareil.

La solution recommandée par CrowdStrike consistait à démarrer en mode sans échec ou en mode de récupération Windows et à supprimer manuellement le fichier Channel 291, ce qui nécessite un accès administrateur local et, si l'appareil est chiffré par BitLocker, une clé de récupération. Microsoft a signalé que certains clients ont pu remédier au problème en redémarrant les appareils concernés jusqu'à 15 fois.

Le 22 juillet 2024, les actions de CrowdStrike ont clôturé la journée au prix de 263,91 $, avec une perte de 41,05 $ ou 13,46 %. Le 24 juillet 2024, CrowdStrike aurait contacté les clients concernés avec des courriels d'excuses contenant des cartes-cadeaux Uber Eats d'une valeur de 10 $. CrowdStrike a remporté les 2024 Pwnie Awards pour l'échec le plus épique.

Source : Microsoft

Et vous ?

Pensez-vous que cette analyse technique de Microsoft est crédible ou pertinente ?
Selon vous, quelles seront les impacts de ces différents incidents sur CrowdStrike ?

Voir aussi :

Une panne chez Microsoft provoquée par une mise à jour logicielle de CrowdStrike a des répercussions mondiales, touchant divers secteurs tels que les compagnies aériennes, les banques, les organismes de santé

Réforme de l'accès au noyau Windows : Microsoft cherche à renforcer la sécurité après l'incident avec CrowdStrike. Windows deviendra-t-il un système plus fermé, à l'instar de macOS d'Apple ?

Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars, mais il est plus difficile de savoir qui paiera la facture

[kain_tn]

Tout en étant aussi diplomatique que possible, Microsoft explique comment les clients et les fournisseurs de solutions de sécurité peuvent mieux exploiter les capacités de sécurité intégrées de Windows pour améliorer la sécurité et la fiabilité.

Ils ont tout intérêt à faire une réponse diplomatique: une partie de Azure était par terre pendant les soucis CrowdStrike.

Plus sérieusement, on voit clairement la limite du tout connecté ET tout centralisé.

[Fagus]

Mais le changement le plus important consisterait à verrouiller l'accès au noyau de Windows afin d'empêcher les pilotes tiers de faire planter un PC entier. Ironiquement, Microsoft a essayé de faire exactement cela avec Windows Vista, mais s'est heurté à la résistance des fournisseurs de cybersécurité et des régulateurs de l'UE.

ça ressemble à de la com' de mauvaise foi de microsoft.

J'ai vite fait balayé du regard cet accord. Je ne sais pas ce qu'en diraient les juristes, mais le législateur peut imposer des objectifs mais (en principe) pas des solutions techniques.
En gros l'accord dit que microsoft doit documenter ses API et les ouvrir aux concurrents comme à ses propres produits. Il n'est pas dit que microsoft doit donner les privilèges kernel à quiconque le demande, ni que le noyaux doit planter s'il n'arrive pas à charger un pilote.

[Eric80]

Si Windows détermine qu'un pilote fait planter le système au démarrage et le force à passer en mode de récupération, Microsoft pourrait intégrer une logique plus intelligente permettant à un système de démarrer sans le pilote défectueux après plusieurs échecs de démarrage.

je ne comprends pas pourquoi c est pas déjà implémenté: cela me semble assez basique pour atteindre un peu plus de robustesse!

[stardeath]

je ne comprends pas pourquoi c est pas déjà implémenté: cela me semble assez basique pour atteindre un peu plus de robustesse!

peut être parce que une machine qui démarre avec succès mais sans crowdstrike est une machine inutile pour le client de crowdstrike?

faut remarquer le positionnement de ce logiciel particulier, il sert à surveiller tout ce qui se passe sur une machine, accès disque, noyau, internet, la machine à café et j'en passe ; donc imaginons un serveur en finance, capable de récupérer les cours des marchés et de passer des ordres, le proprio de cette machine, ne veut donc pas que cette machine ait accès à internet sans protection entre autre.
si demain, cette machine démarre sans crowdstrike, comment tu dis au client que la machine a bien démarré mais que non, cette machine ne peut pas assurer sa fonction car crowdstrike est en échec?

là, on a l'exemple "simple", mais donc, quelque soit le logiciel ayant accès au kernel, il va falloir une policy pour savoir quoi faire en cas d'échec de chargement du logiciel, et quelle ressource cette machine à droit et comment y accéder pour résoudre le problème.
j'avais lu quelque part, "laissons la machine en mode sans échec" soit, mais pareil, la machine a accès à quoi? de quelles comptes autorisent-on les connexions, etc...

bref, c'est tout sauf trivial comme question.

[bmayesky]

Bla, bla, bla, nous n'avons rien testé parce que c'est trop cher et c'est long et ça demande de faire confiance à des gens, tout ce dont nous ne voulons pas dans notre société (ça coûte de l'argent et ça oblige à mettre des vraies personnes qui réfléchissent et risque de nous contredire), bla, bla, bla, c'est pas nous, c'est le logiciel de test, croyez-nous et achetez nos produits pareil qu'avant, bla, bla, bla, même Microsoft disent que c'est pas eux, c'est l'UE, alors croyez-les et achetez, bla, bla, bla,

Comme si une décision d'interopérabilité des années avant pouvait prédire un crash qui n'avait pas été ni écrit ni voulu par qui que ce soit à l'époque ou maintenant. Et qu'un logiciel de test empêche de faire le test de base que fait tout informaticien, même idiot: un test réel. Et il est clair qu'un PC sous windows n'est pas vraiment difficile et cher à trouver pour le faire (sans compter qu'on peut le réutiliser). Franchement on nous prend pour des c**s.

En fait c'est la défense classique en cas de crise lorsque vous vous êtes fait prendre la main dans le sac:
- Nier, nier même l'évidence, ça prendra pour un 50-50 ceux qui ne sont pas attentifs à votre cas au lieu d'un 100 à 0 en votre défaveur.
- Reporter la faute ailleurs, même si c'est capillotracté, c'est ce que fait Crowdstrike avec son logiciel de test et Microsoft avec l'UE; c'est de leur faute entière mais, là encore il y a une frange qui fera du 50-50 au lieu du 100-0 qui les desserts.
- Accepter, bien après la vague médiatique, que c'était peut-être éventuellement un peu de votre faute mais seulement pour montrer tout ce que vous avez fait (et prouver que vous avez fait) pour que cela ne puisse pas se reproduire. Mentir est une option possible si vous vous assurer que personne ne puisse vous contredire. Ça c'est que pour les fainéants qui voudrait reprendre affaire avec vous et vos commerciaux puissent balayer les suspicieux qui rappelleraient l'incident et continuer le business as usual.

En fait, tout ces articles avec de vrais ou de faux coupables masquent très bien quelque chose de plus important à mon avis: l'échec structurel des systèmes propriétaires à livrer du logiciel fiable.

Effectivement, l'utilisation de logiciels propriétaires demande à faire confiance au propriétaire et aucune garantie n'est possible que cela soit vrai et dure dans le temps. Et plus vous multipliez le nombre de logiciels propriétaires nécessaires à votre solution informatique, plus elle est fragile parce que vous multipliez les points de fragilités et ils se combinent et diminuent d'autant la fiabilité de votre solution.

Alors pourquoi prendre cet angle du logiciel propriétaire ? Parce que le logiciel libre fonctionne sur des principes différents qui augmentent la qualité de manière drastique. Le "c'est prêt quand c'est prêt" n'est pas très amis avec les projets de lancement et autres actions planifiées mais très fiable et d'une qualité logicielle très supérieure. Le fait que l'ensemble des couches logicielles soient connues évite radicalement les erreurs de conceptions qui font planter les autres couches logicielles proches. Et évidemment, les process de boot et autres n'ayant aucun besoin d'être cachés sont beaucoup plus souples et laissent beaucoup plus de moyens d'agir.

Cela m'étonne toujours que ce plantage mondial ne soit pas abordé par l'angle du process de construction du logiciel alors que c'est manifestement là qu'il y a eu un problème et qu'une analyse sur la façon de construire le logiciel avec un esprit ouvert permet de trouver une solution à ce type de problèmes.

[bmayesky]

Il n'y a pas de réduction des coûts: les banques prélèvent de l'argent sur chaque paiement fait en carte. Ce qui se retrouve directement dans la facture de tout ceux qui achètent parce que les commerçants doivent répercuter les frais bancaires sans compter les frais d'abonnement et d'entretien des terminaux. Le paiement par carte est tout sauf gratuit.
C'est à comparer avec le service de la monnaie de l'état qui ne produit aucun frais d'aucune sorte lors de transaction avec des commerçants pas plus qu'entre personnes. Comment allez vous faire pour donner de l'argent à vos enfants ? Ah oui, vous allez leur ouvrir un compte ... payant pour vous.

Il n'y a rien de gratuit dans le paiement par carte, même votre carte est soumise à abonnement et vous payez cet abonnement.

Imaginer un monde sans liquide c' est imaginer un monde où les banques auraient le monopole de l'argent et alors que nous payons déjà, ils auraient un intérêt de classe à faire encore augmenter les prix.

Mais contentons nous de constater les frais actuels pour demander une correction de l'article parce que le paiement par carte coûte à tout le monde et n'est en aucun cas gratuit !

[Jade Emy]

Après la panne de Crowdstrike, la FSF affirme qu'il y a une meilleure façon d'avancer, tout en questionnant "comment il est sage pour tant de services critiques de se reposer sur une seule distribution".

Une panne chez Microsoft provoquée par une mise à jour logicielle de CrowdStrike a eu des répercussions mondiales. Suite à cet incident, la Free Software Foundation (FSF) affirme qu'il y a une meilleure façon d'avancer : les logiciels libres. Passer à des logiciels libres, qui fonctionnent sur l'ordinateur de l'utilisateur, permettrait d'éviter ce genre de cas à l'avenir. La FSF conclut que « Plus une institution est publique, plus il est vital qu'elle utilise des logiciels libres ».

Le 19 juillet 2024, une panne informatique mondiale a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan. Les écrans bleus de la mort ont perturbé le fonctionnement normal des machines Windows, affichant le message : “Recovery: It looks like Windows didn’t load correctly.”

L’entreprise de cybersécurité américaine CrowdStrike a reconnu être à l’origine de ces problèmes. Le directeur général de CrowdStrike, George Kurtz, a confirmé qu'un "défaut" dans une mise à jour de contenu pour les hôtes Windows était à l'origine de la panne, et Kurtz a exclu une cyberattaque. Il a ajouté que l'entreprise était en train de déployer un correctif et que les hôtes Mac et Linux n'étaient pas affectés.

Cette panne mondiale des services informatiques souligne l’importance de la vigilance en matière de cybersécurité et de la nécessité de mettre en place des protocoles de gestion des mises à jour. Les entreprises doivent investir dans des solutions de sécurité robustes et communiquer efficacement avec leurs clients pour minimiser les perturbations en cas de défaillance du système. Elle met également en exergue la vulnérabilité des solutions basées sur le cloud, qui peuvent entraîner un effet boule de neige.

La Free Software Foundation (FSF) a réagi à l'incident CrowdStrike. Elle indique dans son message « qu'on peut se demander s'il est judicieux pour tant de services critiques dans le monde de miser sur une seule distribution d'un seul système d'exploitation monopolistique ». La FSF affirme qu'avec des logiciels libres, ce genre d'incident aurait pu être corriger rapidement, voire éviter la panne mondiale.

Pour rappel, la FSF est une organisation à but non lucratif pour soutenir le mouvement du logiciel libre. L'organisation préfère notamment que les logiciels soient distribués sous des conditions de copyleft (« partager de la même manière »), comme avec sa propre licence publique générale GNU. Conformément à ses objectifs, la FSF vise à n'utiliser que des logiciels libres sur ses propres ordinateurs.

Voici le message de la Free Software Foundation (FSF) :

Ne célébrons pas CrowdStrike - proposons une meilleure solution

Si vous avez lu les nouvelles, êtes allé au travail ou avez pris l'avion ces derniers jours, vous avez sans doute rencontré des articles sur l'incident CrowdStrike, au cours duquel des mises à jour automatiques d'un pilote de noyau Windows, proposées par une société de sécurité tierce, ont fait planter d'innombrables machines dans le monde entier. Pour la première fois depuis des années, la presse grand public utilise des mots comme « noyau » et d'autres mots qu'elle évite habituellement et qui pourraient donner l'impression qu'il se passe quelque chose derrière les couleurs flashy de Windows 10. En tant qu'activistes du logiciel libre, nous devrions profiter de l'occasion pour examiner la situation et voir comment les choses auraient pu se passer différemment.

Soyons clairs : en principe, il n'y a rien de répréhensible d'un point de vue éthique dans les mises à jour automatiques, tant que l'utilisateur a choisi de les recevoir en connaissance de cause. Par exemple, il est parfaitement compréhensible qu'une bibliothèque publique ne veuille pas se plonger dans le journal des modifications du noyau ; elle veut simplement recevoir la mise à jour et poursuivre son travail. Dans le même temps, les bogues logiciels existent. Les développeurs de logiciels libres le savent mieux que quiconque. Le noyau Linux(-libre) ne bénéficie pas d'une immunité mystique. Ce que notre communauté possède, c'est une structure sociale qui, très probablement, aurait rectifié la situation rapidement.

Ce que le logiciel libre offre, c'est une diversité de choix. Bien que nous puissions comprendre comment la situation s'est développée, on peut se demander s'il est judicieux pour tant de services critiques dans le monde de miser sur une seule distribution d'un seul système d'exploitation fabriqué par un seul stupéfiant prédateur monopole à Redmond, dans l'État de Washington. Au lieu de cela, nous pouvons imaginer une structure plus horizontale, où cette compagnie aérienne et cette bibliothèque publique utilisent différentes versions de GNU/Linux, chacune avec ses propres équipes de sécurité et sur des versions différentes du noyau Linux(-libre). Par exemple, une bibliothèque au Vietnam ne dépendrait pas nécessairement d'un éditeur de logiciels américain pour son travail quotidien.

À l'heure où nous écrivons ces lignes, nous n'avons pas été en mesure de déterminer l'étendue de l'accès au code source du noyau Windows que Microsoft a accordé aux ingénieurs de CrowdStrike. (Par ailleurs, la cause première du problème semble être une erreur dans un fichier de configuration). Mais comme il s'agit du mouvement du logiciel libre, nous pourrions garantir que tous les ingénieurs en sécurité et toutes les parties prenantes auraient un accès égal au code source, ce qui prouverait le vieil adage selon lequel « avec suffisamment d'yeux, tous les bogues sont superficiels ». Il n'y a aucune raison valable de cacher un code au public, en particulier un code qui fait partie intégrante du fonctionnement quotidien d'un grand nombre d'institutions et d'entreprises publiques.

Dans une astucieuse opération de relations publiques, il semble que Microsoft ait commencé à imputer l'incident à l'accès d'entreprises tierces aux sources et à la documentation du noyau. Traduit du Redmond-ese, le point qu'ils essaient de faire revient à « si seulement nous avions été autorisés à être plus secrets, cela ne serait pas arrivé ! » Toute personne ayant un minimum de compréhension du développement de logiciels peut voir que cet argument ne tient pas la route, tout comme toute personne ayant un minimum de compréhension de la rhétorique peut apprécier l'ironie du fait que la même société qui développe Copilot se plaint de la nécessité de garder le code secret pour les autres. En ce moment même, Copilot ingère des logiciels libres sur la plateforme propriétaire de Microsoft, GitHub, avec peu de respect pour la licence de chaque programme.

Nous devons également comprendre qu'appeler à une diversité de fournisseurs de logiciels non libres qui ne sont que des frontaux pour les logiciels "cloud" ne résout pas le problème. Pour le corriger complètement, il faut passer à des logiciels libres qui fonctionnent sur l'ordinateur de l'utilisateur.

La Free Software Foundation est souvent accusée d'être utopiste, mais nous sommes bien conscients que faire passer les compagnies aériennes, les bibliothèques et toutes les autres institutions touchées par la panne de CrowdStrike aux logiciels libres est une entreprise colossale. Compte tenu de l'avantage éthique indéniable du logiciel libre, sans parler du contrôle embarrassant des dommages en cours de la part de Microsoft et de CrowdStrike, nous pensons que ce changement est nécessaire. Plus une institution est publique, plus il est vital qu'elle utilise des logiciels libres.

Pour ce que cela vaut, il est également essentiel de vérifier la syntaxe de vos fichiers de configuration. Les ingénieurs de CrowdStrike feraient bien de s'en souvenir la prochaine fois.

Source : "Let's not celebrate CrowdStrike -- let's point to a better way" (FSF)

Et vous ?

Pensez-vous que ce message de la FSF est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

Une panne chez Microsoft provoquée par une mise à jour logicielle de CrowdStrike a des répercussions mondiales, touchant divers secteurs tels que les compagnies aériennes, les banques, les organismes de santé

Quarante ans du système d'exploitation GNU et du mouvement du logiciel libre, par la Free Software Foundation (FSF)

Microsoft analyse techniquement mais diplomatiquement l'incident CrowdStrike, cependant il s'agit d'une gifle pour CrowdStrike, qui a déjà causé des pannes graves à d'autres systèmes d'exploitation

[Jade Emy]

Delta Air Lines a engagé un cabinet d'avocats pour demander une indemnisation à Microsoft et CrowdStrike à la suite d'une panne informatique mondiale et de l'annulation de plus de 6 000 vols jusqu'à présent.

Delta Air Lines a engagé un cabinet d'avocats pour demander une indemnisation à Microsoft et CrowdStrike à la suite d'une panne informatique mondiale et de l'annulation de plus de 6 000 vols jusqu'à présent. Le ministère américain des transports a annoncé qu'il ouvrirait une enquête sur Delta à la suite des annulations de vols provoquées par la panne.


Le 19 juillet 2024, une panne informatique mondiale a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan.

Plus de 1 000 vols ont été annulés. Des aéroports tels que Hong Kong International Airport, l’aéroport de Berlin, l’aéroport de Zurich et l’aéroport de Budapest ont été touchés. La compagnie aérienne Ryanair a signalé des problèmes de réservation et d’enregistrement. De plus, les systèmes de réservation de Cathay Pacific, Hong Kong Express et Hong Kong Airlines sont restés indisponibles pendant plusieurs heures, entraînant des retards et des désagréments pour les voyageurs.

Delta Air Lines a engagé un cabinet d'avocats et va demander une compensation à Microsoft et CrowdStrike pour la panne informatique mondiale qui a perturbé les vols dans le monde entier. La compagnie aérienne basée à Atlanta a été la plus lente des grandes compagnies américaines à se remettre de la panne technologique qui a entraîné l'annulation de plus de 2 200 vols le 19 juillet.

Delta a annulé plus de 6 000 vols jusqu'à présent, laissant des centaines de milliers de voyageurs bloqués. Les analystes estiment que l'impact sur ses résultats pourrait se chiffrer en centaines de millions de dollars. .

« Nous sommes au courant de l'information, mais nous n'avons pas connaissance d'un procès et n'avons pas d'autre commentaire à faire », a déclaré un porte-parole de CrowdStrike. Le ministère américain des transports a annoncé qu'il ouvrirait une enquête sur Delta à la suite des annulations de vols provoquées par la panne.

Et vous ?

Pensez-vous qu'un tel procès est crédible ou pertinent ?
Quel est votre avis sur cette affaire ?

Voir aussi :

Panne provoquée par Crowdstrike : les compagnies aériennes subissent un troisième jour d'annulation de plus de 1 000 vols, uniquement aux USA, tandis qu'elles poursuivent le rétablissement de leurs systèmes

Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars, mais il est plus difficile de savoir qui paiera la facture

L'action CrowdStrike s'effondre de 15 %, sa plus forte baisse quotidienne depuis novembre 2022. Les investisseurs semblent avoir été effrayés par les récents incidents de sécurité très médiatisés

[Anthony]

CrowdStrike est poursuivie par des actionnaires suite à la panne mondiale, pour sa technologie matériellement fausse et trompeuse, après la chute de 32 % de l'action, effaçant 25 milliards $ de valeur marchande

CrowdStrike a été poursuivie en justice par des actionnaires qui affirment que l'entreprise de cybersécurité les a trompés en leur cachant comment ses tests de logiciels inadéquats pouvaient être à l'origine de la panne mondiale du 19 juillet qui a endommagé plus de 8 millions d'ordinateurs.

Le 19 juillet 2024, une panne informatique mondiale a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan. Les écrans bleus de la mort ont perturbé le fonctionnement normal des machines Windows, affichant le message : "Recovery: It looks like Windows didn’t load correctly."

Dans une proposition de recours collectif déposée le mardi 30 juillet soir devant le tribunal fédéral d'Austin, au Texas, les actionnaires ont déclaré avoir appris que les assurances données par CrowdStrike au sujet de sa technologie étaient matériellement fausses et trompeuses lorsqu'une mise à jour logicielle défectueuse a perturbé des compagnies aériennes, des banques, des hôpitaux et des lignes d'urgence dans le monde entier.

Selon eux, le cours de l'action CrowdStrike a chuté de 32 % au cours des 12 jours suivants, réduisant à néant 25 milliards de dollars de valeur marchande, alors que les effets de la panne étaient connus, que le directeur général George Kurtz était appelé à témoigner devant le Congrès américain et que Delta Air Lines aurait engagé l'éminent avocat David Boies pour obtenir des dommages-intérêts.

La plainte cite des déclarations, notamment lors d'une conférence téléphonique du 5 mars, au cours de laquelle M. Kurtz a qualifié le logiciel de CrowdStrike de « validé, testé et certifié ».

Dans un communiqué publié le mercredi 31 juillet, la société CrowdStrike, basée à Austin, a déclaré : « Nous pensons que cette affaire n'est pas fondée et nous défendrons vigoureusement la société », M. Kurtz et le directeur financier Burt Podbere sont également accusés.

Le procès intenté par la Plymouth County Retirement Association de Plymouth, dans le Massachusetts, vise à obtenir des dommages-intérêts non spécifiés pour les détenteurs d'actions de classe A de CrowdStrike entre le 29 novembre 2023 et le 29 juillet 2024.

Les actionnaires poursuivent souvent les entreprises après que des nouvelles négatives inattendues ont fait chuter le cours des actions, et CrowdStrike pourrait faire l'objet d'autres poursuites.

Le directeur général de Delta, Ed Bastian, a déclaré le mercredi 31 juillet que la panne avait coûté 500 millions de dollars à sa compagnie aérienne, y compris le manque à gagner, les compensations et les hôtels pour les passagers bloqués.

Les actions de CrowdStrike ont clôturé ce mercredi en baisse de 1,69 $, à 231,96 $. Elles avaient clôturé à 343,05 dollars la veille de la panne.

L'affaire est la suivante : Plymouth County Retirement Association v CrowdStrike Inc et al, U.S. District Court, Western District of Texas, No. 24-00857.

Sources : Proposition de recours collectif déposée à Austin (Texas), Cour fédérale du Texas

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous l'action entreprise par les actionnaires de CrowdStrike crédible ou pertinente ?

Voir aussi :

Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars, mais il est plus difficile de savoir qui paiera la facture

Delta Air Lines a engagé un cabinet d'avocats pour demander une indemnisation à Microsoft et CrowdStrike, à la suite d'une panne informatique mondiale et de l'annulation de plus de 6 000 vols

CrowdStrike accuse un bogue dans le logiciel de test d'avoir mis hors service 8,5 millions de machines Windows, car il n'a pas validé correctement la mise à jour du contenu qui a été diffusée sur les machines

Une panne chez Microsoft provoquée par une mise à jour logicielle de CrowdStrike a des répercussions mondiales, touchant divers secteurs tels que les compagnies aériennes, les banques, les organismes de santé

[Souil002]

Je trouve ça un peu facile.
J'ai surtout l'impression que les actionnaires sont pas contents d'avoir misé sur le mauvais cheval.

Crowdstrike n'a pas l'air d'avoir eu de gros problèmes depuis presque 15 ans donc s'ils mentaient sur leur assurance qualité, je pense qu'il y aurait eu des signes plus tôt.