Qu'attendent-ils pour passer sous Linux ?
Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
Qu'attendent-ils pour passer sous Linux ?
En effet si il y a avait plus de diversité des systèmes et pas que du Windows, il y aurait moins d'ampleur. Chaque système, chciaque logiciel ne peut pas être parfait. Il ne faut pas mettre tout sous Linux mais avoir des réseaux hétérogènes.Envoyé par phil995511
En général, il est conseiller de ne pas mettre tous ses oeufs dans le même panier.
Fabrice Epelboin, ensaignant de cybersécurté en parle bien lors d'un interview :
Et pour l'adoption de Linux en entreprise, il faudrait demander aux DSI des grands groupes, s'ils osent au moins de le dire ..
Quand une société comme Microsoft fait parmi des 3 premières plus entreprises capitalisées de la bourse dans le monde, elle a les moyens financiers face à la concurrence pour faire adopter ses solutions. Microsoft a tout intéret à ce que tout le monde utilise sa solution et que les utilisateurs n'aient peu de visibilité sur la concurrence.
Une certaines pression est mise à l'éducation national pour l'utilisation de son système. L'ile de France avait offert des PC ultra vérouillé Microsoft. Je ne serais pas surpris que MS ait financé une partie en faisant des offres bons marchés. Malheureusement, c'est très tabou, donc peu d'info sur le net.
Et malheureusement cela créé un cercle vicieux, les entreprises trouvent peu de personnes qualifiés sachant utiliser du Unix, faisant monter les prix des salaires.
Les solutions autres étant peu utilisées par les entreprises sont peu financées par les entreprises et la boucle est bouclée
assez lunaire cette interview! Les intervenants se congratulent que les systèmes public français n'ont pas été touchés. L'un suggère grâce peut-être à une meilleure vérification des MAJ que dans les boites privées. Théorie mieux fumeuse: il est bcp plus probable que les services publics français ne soient simplement PAS clients de la suite Falcon de CrowdStrike! D'ailleurs, qd il est question des militaires, c est bien le discours du ministre: le système CrowdStrike n'est PAS utilisé dans l'armée.
On peut dire que c'est une bonne nouvelle pour avoir évité ce bug.
Mais est ce que les services publics ont une protections aussi bonne voire meilleures que les boites privées?
J'ai un sérieux doute... Je pense que le privé a + de moyens et de compétences que de nombreux services publics pour s'occuper de la sécurité des systèmes informatiques...
En effet, le réseau intradef (l'intranet standard de l'armée française) est entièrement coupé d'internet.
ce qui est bien plus pertinent que des solutions tjs connectées.
Le gars ds l interview parle bien des systèmes Microsoft imposés dans les différents ministères, dont la défense. Comme il dit, pour des raisons évidentes de souveraineté, l armée se méfie énormément de Windows et fait tout pour éviter que les infos transitent trop vers MS et la NSA...
En plus de Windows ou Linux il y a aussi Unix et Mac OS me semble-t-il... mettre tous ses oeufs dans le même panier peut en effet être potentiellement risqué mais faire confiance à l'OS le plus buggé et le plus piraté de l'histoire est à mes yeux encore plus risqué...
Il faudrait intérroger longuement les DSI des grands groupes, des institutions publics qui font les choix des OS. Connaitre la vrai raison de l'usage de tel OS plutot qu'un autre. Je reste persuadé qu'il y a du lobby, et donc on ne peut pas partler de lobby.
Après il ne faut pas allé dans l'exagération de dire qu'il est le buggé. Aller dans les extrèmes n'est jamais bon. Il faut avant tout de la diversité, et ne pas avoir de dés pipés sur le marché des OS..
Parler de "lobby"? Mais c'est proprement scandaleux comme affirmation
Par contre les petits week-end prolongés pour Monsieur et madame, tout frais payé, débutant le jeudi jusqu'au lundi suivant, dans un hôtel de luxe, dans un pays chaud pour présenter une nouvelle solution à quelques DSI bien choisis, présentation qui dure 1 heure sur toute la durée du week-end, sans qu'une présence soit exigée... ça oui! Mais franchement parler de "lobby"
CrowdStrike offre une maigre carte-cadeau de 10 $ pour s'excuser de la panne mondiale et suscite un tollé
CrowdStrike offre une maigre carte-cadeau de 10 $ pour s'excuser de la panne mondiale dont les dégâts sont évalués à 5,4 Mds $ pour les seules entreprises du Fortune 500
une compensation qui suscite un tollé
CrowdStrike tente de s'excuser auprès des victimes de la panne informatique mondiale provoquée par sa mise à jour bâclée avec une carte-cadeau de 10 $. Mais l'initiative a été accueillie avec dérision sur les médias sociaux, les victimes ayant trouvé le geste insuffisant, voire humoristique. De plus, certains bénéficiaires ont constaté que leurs cartes-cadeaux ont été annulées et n'étaient plus valables. La panne mondiale du 19 juillet 2024, décrite comme la plus grande panne informatique de l'histoire, a touché environ 8,5 millions d'appareils, pourrait coûter aux seules entreprises du Fortune 500 plus de 5 milliards de dollars en pertes directes.
CrowdStrike : une compensation dérisoire qui suscite tollé et indignation sur la toile
Bien que CrowdStrike ait présenté des excuses officielles, ses efforts pour atténuer la situation sont critiqués, ce qui démontre l'importance d'une réponse sincère et substantielle dans ce type d'incidents. Le géant de la cybersécurité a fait rire les médias sociaux en offrant une maigre carte-cadeau Uber Eats de 10 $ pour apaiser les nerfs des équipes informatiques et des partenaires embourbés dans la panne informatique catastrophique de vendredi dernier. La carte-cadeau indique que CrowdStrike reconnaît "le travail supplémentaire que l'incident du 19 juillet a causé", mais le message semble avoir manqué sa cible.
La carte-cadeau ajoute : « pour cela, nous leur adressons nos remerciements et nos excuses les plus sincères pour la gêne occasionnée. Pour exprimer notre gratitude, votre prochaine tasse de café ou votre prochain en-cas de fin de soirée est à notre charge ! ». Mais de nombreux bénéficiaires de la carte-cadeau y voient de l'humour.lol Crowdstrike crashed millions of computers with a glitch and then sent an apology to partners in the form of a $10 Uber Eats gift card pic.twitter.com/6ZaYdf1TS6
— Sheel Mohnot (@pitdesi) July 24, 2024
Nombre des personnes l'ayant reçu ont partagé une capture d'écran du courriel de CrowdStrike sur les plateformes de médias sociaux tels que X et Reddit. Selon une capture d'écran partagé sur X, au Royaume-Uni, le bon d'achat valait 7,75 livres sterling, soit environ 10 dollars au taux de change actuel.
Le message comprend un code pour la promotion Uber Eats, ou les utilisateurs pouvaient accéder à un code QR. Certains utilisateurs ont indiqué que le message a été signé par Daniel Bernard, directeur commercial de la société. Un critique s'indigne : « c'est bien pire que l'absence de carte-cadeau. C'est une insulte. Une maxime générale : lorsque quelque chose est important, votre réponse doit être plus importante que les plaintes. CrowdStrike dit "nous ne pensons pas que cela ait de l'importance" ».
Un autre a déclaré : « je suppose qu'Uber les a payés pour qu'ils envoient ce message afin de promouvoir Uber Eats. Ils essaient donc de tirer profit de leur échec ». Il est également difficile de savoir la cible réelle des cartes-cadeaux. « Est-ce que CrowdStrike envoie une seule carte-cadeau Uber Eats de 10 $ à "toute une entreprise" qui a vu ses activités disparaître ou est-ce que tous les employés des entreprises concernées reçoivent une carte-cadeau ? », s'est interrogé un utilisateur.Not even enough for a pizza party!
— $0.02timmy (@002timmyNFTs) July 24, 2024
Par ailleurs, mercredi, certaines des personnes qui ont posté au sujet de la carte cadeau ont déclaré que lorsqu'elles ont voulu utiliser l'offre, elles ont reçu un message d'erreur indiquant que le bon avait été annulé. La page d'Uber Eats a affiché un message d'erreur indiquant que "la carte-cadeau a été annulée par la partie émettrice et n'est donc plus valide". Certaines personnes ont cru que la carte-cadeau était un canular de la part des pirates informatiques.
Cependant, un porte-parole de CrowdStrike, Kevin Benacci, a confirmé que l'entreprise a bien envoyé les cartes-cadeaux. « Nous les avons envoyées à nos coéquipiers et partenaires qui ont aidé les clients dans cette situation. Uber a signalé qu'il s'agissait d'une fraude en raison des taux d'utilisation élevés », a déclaré Benacci.
Le coût des dégâts causés par CrowdStrike est évalué à plus de 5 milliards de dollars
Le 19 juillet 2024, CrowdStrike a publié une mise à jour défectueuse qui a mis hors service environ 8,5 millions d'appareils Windows. Cette mise à jour a bloqué les ordinateurs concernés sur le fameux "écran bleu de la mort" (BSOD), un écran d'erreur bleu vif accompagné d'un message qui s'affiche lorsque Windows se bloque ou ne peut pas se charger en raison d'une défaillance logicielle critique. L'évaluation des dégâts liés à l'incident n'est toujours pas terminée à ce jour.
La panne mondiale a entraîné des retards dans les aéroports d'Amsterdam, de Berlin, de Dubaï et de Londres, ainsi qu'aux États-Unis. Elle a également conduit plusieurs hôpitaux à interrompre des opérations chirurgicales et a paralysé d'innombrables entreprises de nombreux secteurs dans le monde entier. Ce qui explique en partie pourquoi la compensation offerte par CrowdStrike a suscité un tel tollé et est largement considérée comme du mépris envers les victimes.
Les assureurs ont commencé à calculer les dommages financiers causés par la panne dévastatrice du logiciel CrowdStrike et le tableau n'est pas beau à voir. D'après une analyse de Parametrix, une société de surveillance et d'assurance du cloud computing, ce qui a été décrit comme la plus grande panne informatique de l'histoire coûtera aux seules entreprises du Fortune 500 plus de 5 milliards de dollars en pertes directes. En d'autres termes, CrowdStrike risque gros.
L'analyse de Parametrix a été publiée mercredi. Cette évaluation préliminaire indique que les secteurs de la santé et de la banque ont été les plus durement touchés par la mésaventure de CrowdStrike, avec des pertes estimées à 1,94 milliard de dollars et 1,15 milliard de dollars, respectivement. Les compagnies aériennes du classement Fortune 500, telles qu'American et United, ont été les plus touchées, avec une perte collective de 860 millions de dollars.
Selon Parametrix, au total, la panne pourrait avoir coûté aux entreprises Fortune 500 jusqu'à 5,4 milliards de dollars de revenus et de bénéfices bruts, sans compter les pertes secondaires qui peuvent être attribuées à la perte de productivité ou à l'atteinte à la réputation. Parametrix affirme que seule une petite partie, de l'ordre de 10 à 20 %, peut être couverte par des polices d'assurance en matière de cybersécurité. Ces chiffres pourraient être revus à la hausse prochainement.
Fitch Ratings, l'une des plus grandes agences de notation américaines, a déclaré lundi que les types d'assurance susceptibles de recevoir le plus grand nombre de demandes d'indemnisation à la suite de la panne comprennent l'assurance contre les pertes d'exploitation, l'assurance voyage et l'assurance annulation d'événements.
« Cet incident met en évidence le risque croissant de points de défaillance uniques », a déclaré Fitch dans un billet de blogue, avertissant que ces points de défaillance uniques sont susceptibles d'augmenter à mesure que les entreprises cherchent à se consolider pour tirer parti de l'échelle et de l'expertise, ce qui se traduit par un nombre réduit de fournisseurs détenant des parts de marché plus importantes. Selon les experts, il est important de tirer des leçons de cet incident.
Les estimations des dommages, qui sont impressionnantes, montrent à quel point une erreur évitable commise par l'une des entreprises de cybersécurité les plus importantes au monde a eu des effets en cascade sur l'économie mondiale, et pourraient susciter de nouvelles demandes pour que CrowdStrike soit tenue pour responsable.
Les excuses de CrowdStrike manquent leur cible et le coût de son action s'effondre
En attendant une évaluation définitive du coût financier de la panne mondiale, les investisseurs en ont déjà fait les frais. L'incident a fait chuter le cours de l'action CrowdStrike, qui s'échangeait à près de 338 $ jeudi dernier. Vendredi, les actions sont tombées à 294 $ et, depuis mardi matin, elles se négocient à environ 264 $. Cela représente une baisse d'environ 22 % et, depuis le début du mois, la capitalisation boursière a diminué d'un tiers. Cette baisse pourrait se poursuivre.
En plus de se faire taper sur les doigts par le marché, CrowdStrike pourrait se voir infliger des amendes et des pénalités par les régulateurs. Étant donné que la panne de CrowdStrike aurait pu, à un certain niveau, impliquer des violations ou des problèmes liés aux données personnelles, elle pourrait se retrouver dans le collimateur des régulateurs européens. Elles peuvent imposer des amendes allant jusqu'à 4 % du chiffre d'affaires annuel aux entreprises qui enfreignent le RGPD.
En outre, CrowdStrike pourrait voir ses clients partir vers des entreprises concurrentes. Là encore, il est difficile d'évaluer le nombre de clients que CrowdStrike pourrait perdre à ce stade, car beaucoup d'entre eux sont sous contrat et pourraient avoir du mal à couper immédiatement les ponts. Certains analystes estiment toutefois qu'environ 5 % de sa clientèle pourrait disparaître, et CrowdStrike devra également faire face à la perte de nouveaux clients potentiels.
Cerise sur le gâteau, CrowdStrike pourrait également avoir à rembourser les clients qui ont subi des pertes ou des interruptions d'activité. Si l'on fait le compte, la panne a déjà coûté des milliards à CrowdStrike et à ses investisseurs, y compris les pertes boursières. Mais avec les litiges et les nombreuses actions en justice qui se profilent à l'horizon, il faut probablement s'attendre à des milliards supplémentaires en amendes, en frais de justice et en pertes de chiffre d'affaires.
Depuis le début de la panne vendredi, CrowdStrike a régulièrement publié des mises à jour sur ses efforts pour comprendre la cause de la panne. Dans une mise à jour publiée mercredi, l'entreprise a indiqué qu'en raison d'un bogue intervenu au cours du processus de vérification de la fiabilité de la mise à jour, "le code défectueux a passé la validation malgré le fait qu'il contenait des données de contenu problématiques". Ce qui a ensuite occasionné un chaos mondial.
Le PDG de CrowdStrike, George Kurtz, s'est excusé, affirmant : « tout le monde chez CrowdStrike comprend la gravité et l'impact de la situation. Rien n'est plus important pour moi que la confiance que nos clients et partenaires ont placée en CrowdStrike. Alors que nous résolvons cet incident, je m'engage à vous fournir une transparence totale sur la façon dont cela s'est produit et sur les mesures que nous prenons pour éviter qu'une telle situation ne se reproduise ».
Le responsable de la sécurité Shawn Henry a déclaré : « cela fait près de 40 ans que je suis dans la vie professionnelle et mon étoile polaire a toujours été de protéger les bonnes personnes des mauvaises choses. Ces deux derniers jours ont été les 48 heures les plus difficiles pour moi en plus de 12 ans. La confiance que nous avons bâtie au compte-gouttes au fil des ans a été perdue par seaux en l'espace de quelques heures, et ce fut un coup de poing dans le dos ».
Source : Fitch Ratings, Parametrix
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi
Avec une bonne paire de lunette.phil995511
Le 23/07/2024 à 11:21
Qu'attendent-ils pour passer sous Linux ?
En relisant le titre de l’article.
L’article parle de Linux !!
On ne vous a semble-t-il ni appris la courtoisie, ni le respect des autres ;-(
Part ailleurs il n'y a aucune allusion à Linux dans l'article du 23 juillet 2024 "Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars".
Nous somme bien sur l'article :phil995511
Le 23/07/2024 à 14:25
Part ailleurs il n'y a aucune allusion à Linux dans l'article du 23 juillet 2024 "Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars".
Falcon Sensor de CrowdStrike a également causé des problèmes sur les machines Linux récemment
Les professionnels estiment que la situation n'est pas comparable aux BSoD provoqués sur Windows
Le 22 juillet 2024 à 20:36, par Stéphane le calme
https://securite.developpez.com/actu...s-sur-Windows/
En ce moment , non ?
Le PDG de CrowdStrike est appelé à témoigner devant le Congrès
Le PDG de CrowdStrike est appelé à témoigner devant le Congrès sur le rôle déterminant de l’entreprise spécialiste en cybersécurité dans la panne
Qui a affecté de nombreux services à l’échelle mondiale
Les chefs de file de la Chambre des représentants des États-Unis demandent au PDG de CrowdStrike, George Kurtz, de témoigner devant le Congrès sur le rôle de l'entreprise de cybersécurité dans le déclenchement de la panne technologique généralisée qui a cloué des vols au sol, mis hors service des banques et des systèmes hospitaliers et affecté des services dans le monde entier.
La demande des membres de la Chambre des représentants fait suite à une déclaration de CrowdStrike selon laquelle un « nombre significatif » d'ordinateurs se sont bloqués vendredi, provoquant des perturbations à l'échelle mondiale. S’ils sont de nouveau opérationnels, ses clients et les autorités de régulation attendent une explication plus détaillée de ce qui s'est passé.
Les républicains qui dirigent la commission de la sécurité intérieure de la Chambre des représentants ont déclaré il y a peu qu'ils souhaitaient obtenir ces réponses dans de brefs délais. « Nous apprécions la réaction de CrowdStrike et la coordination avec les parties prenantes, mais nous ne pouvons pas ignorer l'ampleur de cet incident, que certains ont qualifié de plus grande panne informatique de l'histoire », indique une lettre adressée à M. Kurtz par les députés Mark E. Green (Tennessee) et Andrew Garbarino (New York).
Le 19 juillet 2024, une panne informatique mondiale a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan. Les écrans bleus de la mort ont perturbé le fonctionnement normal des machines Windows, affichant le message : « Recovery: It looks like Windows didn’t load correctly. »
Plus de 1 000 vols ont été annulés, principalement dans le secteur du transport aérien. Des aéroports tels que Hong Kong International Airport, l’aéroport de Berlin, l’aéroport de Zurich et l’aéroport de Budapest ont été touchés. La compagnie aérienne Ryanair a signalé des problèmes de réservation et d’enregistrement. De plus, les systèmes de réservation de Cathay Pacific, Hong Kong Express et Hong Kong Airlines sont restés indisponibles pendant plusieurs heures, entraînant des retards et des désagréments pour les voyageurs.
L’entreprise de cybersécurité américaine CrowdStrike a reconnu être à l’origine de ces problèmes. Le directeur général de CrowdStrike, George Kurtz, a confirmé dans un message sur X qu'un « défaut » dans une mise à jour de contenu pour les hôtes Windows était à l'origine de la panne, et Kurtz a exclu une cyberattaque. Il a ajouté que l'entreprise était en train de déployer un correctif et que les hôtes Mac et Linux n'étaient pas affectés.
Un message sur les forums d'assistance de CrowdStrike (qui ne sont accessibles qu'avec une connexion) a également reconnu le problème tôt dans la journée de vendredi, indiquant que la société avait reçu des rapports de crashs liés à une mise à jour du contenu. CrowdStrike a déclaré que les rapports de crash étaient « liés à Falcon Sensor » - son service de sécurité basé sur le cloud qu'il décrit comme « une détection des menaces en temps réel, une gestion simplifiée et une chasse aux menaces proactive ».
Sur les réseaux sociaux, il a été noté que l'entreprise était au courant de « rapports généralisés » d'erreurs d'écran bleu sur les appareils Windows dans plusieurs versions de son logiciel. L'entreprise enquête sur la cause de ces erreurs, selon le message.
La panne mondiale des services informatiques souligne l’importance de la vigilance en matière de cybersécurité et de la nécessité de mettre en place des protocoles de gestion des mises à jour. Les entreprises doivent investir dans des solutions de sécurité robustes et communiquer efficacement avec leurs clients pour minimiser les perturbations en cas de défaillance du système. Elle met également en exergue la vulnérabilité des solutions basées sur le cloud, qui peuvent entraîner un effet boule de neige.
Et vous ?
Voir aussi :
Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
Microsoft lance un outil de récupération USB pour les entreprises affectées par le BSOD de CrowdStrike
Microsoft annonce que 8,5 millions de systèmes ont été touchés par le BSOD de CrowdStrike et lance un outil de récupération USB
pour les entreprises affectées
Microsoft a déclaré que CrowdStrike a mis au point une solution pour accélérer la correction de son infrastructure Azure. En outre, elle collabore avec Amazon Web Services et Google Cloud Platform pour partager des informations sur les effets à l'échelle de l'industrie.
Microsoft estime qu'environ 8,5 millions de systèmes Windows ont été touchés par le problème ayant entraîné une panne mondiale, qui concerne un fichier .sys bogué qui a été automatiquement envoyé aux PC Windows utilisant le logiciel de sécurité CrowdStrike Falcon. Une fois téléchargée, cette mise à jour provoquait l'affichage du redoutable écran bleu de la mort sur les systèmes Windows et l'entrée dans une boucle de démarrage.
La grande enseigne de la technologie a souligné que moins de 1 % de toutes les machines Windows ont été touchées.
« Alors que les mises à jour de logiciels peuvent occasionnellement causer des perturbations, les incidents importants comme celui de CrowdStrike sont peu fréquents », a écrit David Weston, vice-président de Microsoft chargé de la sécurité des entreprises et des systèmes d'exploitation, dans un billet de blog. « Nous estimons actuellement que la mise à jour de CrowdStrike a affecté 8,5 millions d'appareils Windows, soit moins d'un pour cent de toutes les machines Windows. Bien que le pourcentage soit faible, les impacts économiques et sociétaux importants reflètent l'utilisation de CrowdStrike par des entreprises qui gèrent de nombreux services critiques ».
La solution « facile » documentée à la fois par CrowdStrike (dont c'est la faute directe) et par Microsoft (qui a été largement blâmé dans les rapports grand public, en partie à cause d'une panne d'Azure sans rapport avec le problème, survenue peu avant le 18 juillet) consistait à redémarrer les systèmes concernés à plusieurs reprises dans l'espoir qu'ils téléchargent un nouveau fichier de mise à jour avant qu'ils ne tombent en panne. Pour les systèmes sur lesquels cette méthode n'a pas fonctionné - et Microsoft a recommandé aux clients de redémarrer jusqu'à 15 fois pour donner aux ordinateurs une chance de télécharger la mise à jour - la solution recommandée a été de supprimer manuellement le mauvais fichier .sys. Cela permet au système de démarrer et de télécharger un fichier corrigé, ce qui résout les problèmes sans laisser les machines sans protection.
Pour faciliter ce processus, Microsoft a publié ce week-end un outil de récupération qui permet d'automatiser le processus de réparation sur certains systèmes concernés. Il s'agit de créer un support de démarrage à l'aide d'une clé USB de 1 à 32 Go, de démarrer à partir de cette clé USB et d'utiliser l'une des deux options pour réparer votre système. Pour les appareils qui ne peuvent pas démarrer via USB (cette option est parfois désactivée sur les systèmes d'entreprise pour des raisons de sécurité), Microsoft documente également une option de démarrage PXE pour le démarrage via un réseau.
WinPE à la rescousse
Le disque amorçable utilise l'environnement WinPE, une version légère de Windows, pilotée par ligne de commande, généralement utilisée par les administrateurs informatiques pour appliquer des images Windows et effectuer des opérations de récupération et de maintenance.
Une option de réparation démarre directement dans WinPE et supprime le fichier affecté sans nécessiter de privilèges d'administrateur. Mais si votre disque est protégé par BitLocker ou un autre produit de chiffrement de disque, vous devrez saisir manuellement votre clé de récupération pour que WinPE puisse lire les données sur le disque et supprimer le fichier. Selon la documentation de Microsoft, l'outil devrait automatiquement supprimer la mauvaise mise à jour CrowdStrike sans intervention de l'utilisateur une fois qu'il peut lire le disque.
Si vous utilisez BitLocker, la deuxième option de récupération tente de démarrer Windows en mode sans échec en utilisant la clé de récupération stockée dans le TPM de votre appareil pour déverrouiller automatiquement le disque, comme cela se produit lors d'un démarrage normal. Le mode sans échec charge l'ensemble minimum de pilotes dont Windows a besoin pour démarrer, ce qui vous permet de localiser et de supprimer le fichier du pilote CrowdStrike sans rencontrer le problème du BSOD. Le fichier se trouve dans Windows/System32/Drivers/CrowdStrike/C-00000291*.sys sur les systèmes concernés. Les utilisateurs peuvent également exécuter « repair.cmd » à partir de la clé USB pour automatiser la correction.
Pour sa part, CrowdStrike a mis en place un « centre de remédiation et d'orientation » pour les clients concernés. Dimanche, l'entreprise a déclaré qu'elle « testait une nouvelle technique pour accélérer la correction des systèmes touchés », mais elle n'a pas donné plus de détails à ce jour. Les autres correctifs décrits sur cette page comprennent le redémarrage à plusieurs reprises, la suppression manuelle du fichier concerné ou l'utilisation du support de démarrage de Microsoft pour automatiser le correctif.
Le secteur de l'assurance s'attend à une augmentation des demandes d'indemnisation
Les courtiers en assurance s'attendent à une augmentation des demandes d'indemnisation liées à la panne. Marsh, l'une des principales sociétés de courtage, a confirmé que des clients avaient informé les assureurs de leur intention de déposer des demandes d'indemnisation. « Il s'agit d'un événement qui devrait être couvert par la cyberassurance », a déclaré Meredith Schnur, responsable de la pratique cybernétique de Marsh pour les États-Unis et le Canada.
Southern Cross Travel Insurance (SCTI) a détaillé les dispositions relatives aux demandes d'indemnisation découlant de la panne. « Cette panne a eu des répercussions sur de nombreux services, notamment les compagnies aériennes, les aéroports et d'autres fournisseurs de transport. Si vous avez été affecté par cet événement, nous vous demandons de contacter votre compagnie aérienne ou votre agence de voyage en premier lieu pour prendre d'autres dispositions ». Elle a précisé que les polices souscrites avant 17 heures le 19 juillet peuvent couvrir les frais encourus à la suite de l'incident, sous réserve des conditions générales de la police.
De son côté, l'Agence nationale d'assurance invalidité (NDIA) a indiqué que ses systèmes n'avaient pas été affectés par la panne. Elle a toutefois conseillé aux Australiens de rester vigilants face à d'éventuelles escroqueries profitant de la situation.
Sources : Microsoft, environnement WinPE, Southern Cross Travel Insurance
Et vous ?
Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
CrowdStrike accuse un bogue dans le logiciel de test d'avoir mis hors service 8,5 millions de machines Windows
CrowdStrike accuse un bogue dans le logiciel de test d'avoir mis hors service 8,5 millions de machines Windows, car il n'a pas validé correctement la mise à jour du contenu qui a été diffusée sur les machines
CrowdStrike a réagi à l'incident récent au cours duquel une mise à jour défectueuse a perturbé 8,5 millions de machines Windows. L'analyse de l'entreprise après l'incident attribue le problème à un bogue dans son logiciel de test, qui n'a pas réussi à valider correctement une mise à jour de contenu diffusée le vendredi 19 juillet dernier. En promettant d'améliorer les protocoles de test et d'échelonner les déploiements, CrowdStrike entend prévenir des perturbations similaires à l'avenir.
Le 19 juillet 2024, une panne informatique chez Microsoft a touché des entreprises, des aéroports et des médias à travers le monde entier. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan. Les écrans bleus de la mort ont perturbé le fonctionnement normal de millions de machines Windows, affichant le message : “Recovery: It looks like Windows didn’t load correctly.”
CrowdStrike a publié une analyse post incident (PIR) de la mise à jour boguée qu'elle a publiée et qui a entraîné la mise hors service de 8,5 millions de machines Windows la semaine dernière. Le rapport détaillé accuse un bogue dans le logiciel de test qui n'a pas validé correctement la mise à jour de contenu qui a été envoyée à des millions d'ordinateurs vendredi. CrowdStrike promet de tester plus minutieusement ses mises à jour de contenu, d'améliorer sa gestion des erreurs et de mettre en œuvre un déploiement échelonné afin d'éviter que ce désastre ne se reproduise.
L'Analyse préliminaire après incident (PIR) de CrowdStrike est présentée ci-dessous :
Face aux dommages causés, George Kurtz, fondateur et PDG de CrowdStrike, a rédigé une déclaration destinée aux clients et partenaires de la société de cybersécurité.Ceci est l'analyse préliminaire après incident (PIR) de CrowdStrike. Nous détaillerons notre enquête complète dans l'analyse des causes fondamentales qui sera rendue publique. Tout au long de ce PIR, nous avons utilisé une terminologie généralisée pour décrire la plateforme Falcon afin d'améliorer la lisibilité. La terminologie utilisée dans d'autres documents peut être plus spécifique et technique.
Que s'est-il passé ?
Le vendredi 19 juillet 2024 à 04:09 UTC, dans le cadre des opérations régulières, CrowdStrike a publié une mise à jour de la configuration du contenu pour le capteur Windows afin de recueillir des données télémétriques sur d'éventuelles nouvelles techniques de menace.
Ces mises à jour font partie intégrante des mécanismes de protection dynamique de la plateforme Falcon. La mise à jour problématique de la configuration de Rapid Response Content a entraîné un crash du système Windows.
Les systèmes concernés sont les hôtes Windows utilisant la version 7.11 et supérieure du capteur qui étaient en ligne entre le vendredi 19 juillet 2024 04:09 UTC et le vendredi 19 juillet 2024 05:27 UTC et qui ont reçu la mise à jour. Les hôtes Mac et Linux n'ont pas été touchés.
Le défaut dans la mise à jour du contenu a été annulé le vendredi 19 juillet 2024 à 05:27 UTC. Les systèmes mis en ligne après cette heure, ou qui ne se sont pas connectés pendant la fenêtre, n'ont pas été affectés.
Qu'est-ce qui n'a pas fonctionné et pourquoi ?
CrowdStrike fournit des mises à jour de configuration du contenu de sécurité à ses capteurs de deux manières : Sensor Content qui est livré directement avec nos capteurs, et Rapid Response Content qui est conçu pour répondre à l'évolution du paysage des menaces à la vitesse opérationnelle.
Le problème survenu vendredi concernait une mise à jour Rapid Response Content avec une erreur non détectée.
Sensor Content
Sensor Content fournit un large éventail de capacités pour aider à la réponse de l'adversaire. Il fait toujours partie de la publication d'un capteur et n'est pas mis à jour de manière dynamique à partir du cloud. Sensor Content comprend des modèles d'IA et d'apprentissage automatique sur le capteur, et comprend du code écrit expressément pour fournir des capacités réutilisables à plus long terme pour les ingénieurs de CrowdStrike chargés de la détection des menaces.
Ces capacités comprennent des Template Types (types de modèle), qui comportent des champs prédéfinis que les ingénieurs de détection des menaces peuvent exploiter dans le Rapid Response Content Les Template Types sont exprimés en code. Tous les Sensor Content, y compris les Template Types, sont soumis à un processus d'assurance qualité approfondi, qui comprend des tests automatisés, des tests manuels, des étapes de validation et de déploiement.
Le processus de mise à disposition des capteurs commence par des tests automatisés, avant et après l'intégration dans notre base de code. Cela comprend des tests unitaires, des tests d'intégration, des tests de performance et des tests de stress. Cela aboutit à un processus de déploiement du capteur par étapes, qui commence par un test interne chez CrowdStrike, suivi par les utilisateurs précoces. Le capteur est ensuite mis à la disposition des clients. Les clients ont alors la possibilité de sélectionner les parties de leur flotte qui doivent installer la dernière version du capteur (« N »), ou une version plus ancienne (« N-1 ») ou deux versions plus anciennes (« N-2 ») par le biais des politiques de mise à jour des capteurs.
L'événement du vendredi 19 juillet 2024 n'a pas été déclenché par Sensor Content, qui n'est livré qu'avec la sortie d'une mise à jour du capteur Falcon. Les clients ont un contrôle total sur le déploiement du capteur - qui comprend le Sensor Content et les Template Types.
Rapid Response Content
Rapid Response Content est utilisé pour effectuer une variété d'opérations de mise en correspondance de modèles comportementaux sur le capteur à l'aide d'un moteur hautement optimisé. Le Rapid Response Content est une représentation des champs et des valeurs, avec le filtrage associé. Ce Rapid Response Content est stocké dans un fichier binaire propriétaire qui contient des données de configuration. Il ne s'agit pas d'un code ou d'un pilote de noyau.
Le Rapid Response Content est fourni sous la forme de Template Instances (instances de modèles), qui sont des instanciations d'un Template Type donné. Chaque Template Instance correspond à des comportements spécifiques que le capteur doit observer, détecter ou prévenir. Les Template Instances disposent d'un ensemble de champs qui peuvent être configurés pour correspondre au comportement désiré.
En d'autres termes, les Template Types représentent une capacité de capteur qui permet de nouvelles télémétries et détections, et leur comportement en cours d'exécution est configuré dynamiquement par un Template Instance (c'est-à-dire un Rapid Response Content).
Rapid Response Content fournit une visibilité et des détections sur le capteur sans qu'il soit nécessaire de modifier le code du capteur. Cette capacité est utilisée par les ingénieurs chargés de la détection des menaces pour recueillir des données télémétriques, identifier les indicateurs du comportement de l'adversaire et effectuer des détections et des préventions. Rapid Response Content est une heuristique comportementale, séparée et distincte des capacités de prévention et de détection de l'IA sur le capteur de CrowdStrike.
Test et déploiement du Rapid Response Content
Le Rapid Response Content est fourni sous forme de mises à jour de la configuration du contenu au capteur Falcon. Il existe trois systèmes principaux : le Content Configuration System (système de configuration du contenu), le Content Interpreter (interpréteur de contenu) et le Sensor Detection Engine (moteur de détection du capteur).
Le Content Configuration System fait partie de la plateforme Falcon dans le cloud, tandis que le Content Interpreter et le Sensor Detection Engine sont des composants du capteur Falcon. Le Content Configuration System est utilisé pour créer des instances de modèles, qui sont validées et déployées sur le capteur par le biais d'un mécanisme appelé « Channel Files ». Le capteur stocke et met à jour ses données de configuration de contenu par le biais de fichiers de canaux, qui sont écrits sur le disque de l'hôte.
Le Content Interpreter du capteur lit le fichier de canal et interprète le Rapid Response Content, ce qui permet au moteur de détection du capteur d'observer, de détecter ou de prévenir les activités malveillantes, en fonction de la configuration de la politique du client. L'interprète de contenu est conçu pour gérer de manière élégante les exceptions liées à un contenu potentiellement problématique.
Les Template Types nouvellement publiés sont soumis à des tests de résistance sur de nombreux aspects, tels que l'utilisation des ressources, l'impact sur les performances du système et le volume d'événements. Pour chaque Template Types, une Template Instance spécifique est utilisée pour tester le Template Types en le comparant à toutes les valeurs possibles des champs de données associés afin d'identifier les interactions négatives du système.
Les Template Instances sont créées et configurées à l'aide du Content Configuration System, qui comprend le Content Validator qui effectue des contrôles de validation sur le contenu avant qu'il ne soit publié.
Chronologie des événements : Essais et déploiement du Template Type InterProcessCommunication (IPC)
Publication de Sensor Content : Le 28 février 2024, le capteur 7.11 a été mis à la disposition générale des clients, introduisant un nouveau Template Type IPC pour détecter les nouvelles techniques d'attaque qui abusent des Named Pipes. Cette version a suivi toutes les procédures de test du Sensor Content décrites ci-dessus dans la section Sensor Content.
Test de stress du Template Type : Le 05 mars 2024, un test de stress du Template Type IPC a été exécuté dans notre environnement de préparation, qui se compose d'une variété de systèmes d'exploitation et de charges de travail. Le Template Type IPC a réussi le test de stress et a été validé pour l'utilisation.
Publication du Template Instance via le Channel File 291 : Le 5 mars 2024, après la réussite du test de stress, une Template Instance IPC a été mise en production dans le cadre d'une mise à jour de la configuration du contenu. Par la suite, trois autres Template Instances IPC ont été déployées entre le 8 avril 2024 et le 24 avril 2024. Ces Template Instances ont fonctionné comme prévu en production.
Que s'est-il passé le 19 juillet 2024 ?
Le 19 juillet 2024, deux Template Instances IPC supplémentaires ont été déployées. En raison d'un bogue dans le Content Validator, l'une des deux Template Instances a passé la validation bien qu'elle contienne des données de contenu problématiques.
Sur la base des tests effectués avant le déploiement initial du Template Type (le 05 mars 2024), de la confiance dans les vérifications effectuées dans le Content Validator et des précédents déploiements réussis des Template Instances IPC, ces instances ont été déployées en production.
Lorsqu'il a été reçu par le capteur et chargé dans le Content Interpreter, le contenu problématique du Channel File 291 a entraîné une lecture hors limites de la mémoire, ce qui a déclenché une exception. Cette exception inattendue n'a pas pu être gérée de manière élégante, ce qui a entraîné un plantage du système d'exploitation Windows (BSOD).
Comment éviter que cela ne se reproduise ?
Résilience des logiciels et tests
- Améliorer les tests Rapid Response Content en utilisant des types de tests tels que :
- Tests auprès des développeurs locaux
- Mise à jour du contenu et rollback des tests
- Tests de stress, fuzzing et injection de fautes
- Tests de stabilité
- Tests d'interface de contenu
- Ajout de contrôles de validation supplémentaires au Content Validator pour le Rapid Response Content. Un nouveau contrôle est en cours pour éviter que ce type de contenu problématique ne soit déployé à l'avenir.
- Améliorer la gestion des erreurs dans le Content Interpreter.
Déploiement du Rapid Response Content
- Mettre en œuvre une stratégie de déploiement échelonné pour le Rapid Response Content dans laquelle les mises à jour sont progressivement déployées sur des parties plus importantes de la base de capteurs, en commençant par un déploiement Canary.
- Améliorer la surveillance des performances des capteurs et du système, en recueillant des feedbacks pendant le déploiement de Rapid Response Content afin d'orienter un déploiement progressif.
- Offrir aux clients un plus grand contrôle sur la diffusion des mises à jour de Rapid Response Content en permettant une sélection granulaire du moment et de l'endroit où ces mises à jour sont déployées.
- Fournir des détails sur les mises à jour de contenu par le biais de notes de mise à jour, auxquelles les clients peuvent s'abonner.
En plus de cette analyse préliminaire après incident, CrowdStrike s'engage à rendre publique l'analyse complète des causes profondes une fois l'enquête terminée.
État de la classification du dossier
Le fichier de canal responsable des pannes du système le vendredi 19 juillet 2024 à partir de 04:09 UTC a été identifié et déprécié sur les systèmes opérationnels. Lorsqu'il y a dépréciation, un nouveau fichier est déployé, mais l'ancien fichier peut rester dans le répertoire du capteur.
Par excès de prudence, et pour éviter que les systèmes Windows ne subissent d'autres perturbations, la version impactée du fichier de canal a été ajoutée à la liste des erreurs connues de Falcon dans le Cloud de CrowdStrike.
Aucune mise à jour de capteur, aucun nouveau fichier de canal ni aucun code n'a été déployé à partir du Cloud CrowdStrike.
Pour les machines opérationnelles, il s'agit d'une mesure d'hygiène. Pour les systèmes impactés disposant d'une forte connectivité réseau, cette action pourrait également entraîner la récupération automatique des systèmes en boucle de démarrage.
Ceci a été configuré en US-1, US-2, et EU le 23 juillet, 2024 UTC. Les clients de Gov-1 et Gov-2 peuvent demander la classification known-bad du fichier 291 de channel en contactant le support de CrowdStrike.
Source : "Remediation and guidance hub: Falcon content update for Windows hosts" (CrowdStrike)Chers clients et partenaires,
Je tiens à m'excuser sincèrement auprès de vous tous pour la panne. Tout le personnel de CrowdStrike comprend la gravité et l'impact de la situation. Nous avons rapidement identifié le problème et déployé un correctif, ce qui nous a permis de nous concentrer avec diligence sur la restauration des systèmes des clients, qui est notre priorité absolue.
La panne a été causée par un défaut trouvé dans une mise à jour du contenu de Falcon pour les hôtes Windows. Les hôtes Mac et Linux ne sont pas concernés. Il ne s'agit pas d'une cyberattaque.
Nous travaillons en étroite collaboration avec les clients et les partenaires concernés pour veiller à ce que tous les systèmes soient restaurés, afin que vous puissiez fournir les services sur lesquels vos clients comptent.
CrowdStrike fonctionne normalement et ce problème n'affecte pas les systèmes de notre plateforme Falcon. Il n'y a pas d'impact sur la protection si le capteur Falcon est installé. Les services Falcon Complete et Falcon OverWatch ne sont pas perturbés.
Nous fournirons des mises à jour continues via notre portail d'assistance à l'adresse https://supportportal.crowdstrike.com/s/login/.
Nous avons mobilisé l'ensemble de CrowdStrike pour vous aider, vous et vos équipes. Si vous avez des questions ou si vous avez besoin d'une assistance supplémentaire, veuillez contacter votre représentant CrowdStrike ou l'assistance technique.
Nous savons que les adversaires et les mauvais acteurs essaieront d'exploiter des événements comme celui-ci. J'encourage tout le monde à rester vigilant et à s'assurer que vous vous adressez à des représentants officiels de CrowdStrike. Notre blog et notre support technique resteront les canaux officiels pour les dernières mises à jour.
Rien n'est plus important pour moi que la confiance que nos clients et partenaires ont placée en CrowdStrike. Alors que nous résolvons cet incident, je m'engage à vous fournir une transparence totale sur la façon dont cela s'est produit et sur les mesures que nous prenons pour éviter qu'une telle situation ne se reproduise.
George Kurtz
Fondateur et PDG de CrowdStrike
Et vous ?
Voir aussi :
Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités
Les procédures de test ne sont pas testées...
Ce qui est assez drôle mais que ne m'aurait pas fait rire vendredi !
La Malaisie demande à Microsoft et CrowdStrike de couvrir les pertes liées à la panne mondiale
La Malaisie demande à Microsoft et CrowdStrike de couvrir les pertes liées à la panne mondiale, après qu'une mise à jour défectueuse de CrowdStrike ait mis hors service les ordinateurs fonctionnant sous Windows
Le ministre malaisien du numérique a déclaré le mercredi 24 juillet qu'il avait demandé aux entreprises technologiques internationales Microsoft et CrowdStrike d'envisager de dédommager les entreprises qui ont subi des pertes lors de la panne technologique mondiale de la semaine dernière.
Le 19 juillet 2024, une panne informatique mondiale de Microsoft a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan. Les écrans bleus de la mort ont perturbé le fonctionnement normal des machines Windows, affichant le message : “Recovery: It looks like Windows didn’t load correctly.”
Une mise à jour défectueuse du logiciel de sécurité CrowdStrike a mis hors service les ordinateurs fonctionnant sous le système d'exploitation Windows de Microsoft le vendredi 19 juillet, perturbant les services internet dans le monde entier et affectant un large éventail d'industries.
Cinq agences gouvernementales et neuf entreprises actives dans les secteurs de l'aviation, de la banque et des soins de santé figurent parmi les personnes touchées en Malaisie, a déclaré le ministre Gobind Singh Deo à la presse.
Gobind a indiqué qu'il avait rencontré des représentants de Microsoft et de CrowdStrike afin d'obtenir un rapport complet sur l'incident et de demander aux entreprises de prendre des mesures pour éviter qu'une telle panne ne se reproduise.
« S'il y a des dommages ou des pertes, si des parties ont fait des réclamations, je leur ai demandé d'examiner ces réclamations et de voir dans quelle mesure elles peuvent aider à résoudre le problème », a déclaré M. Gobind, ajoutant que le gouvernement apporterait également son aide pour les réclamations dans la mesure du possible.
Mardi 23 juillet, le directeur général de la société malaisienne Capital A, qui exploite la compagnie aérienne à bas prix AirAsia, a déclaré que les compagnies aériennes touchées par la panne informatique méritaient d'être indemnisées pour les pertes subies, ont rapporté les médias.
« Le principe est que si nous faisons quelque chose de mal, nous devons compenser. Nous, d'autres compagnies aériennes et d'autres entreprises avons perdu beaucoup d'argent ».
« Ils devraient nous offrir une compensation, et pour l'instant, nous devons attendre et voir », a déclaré Tony Fernandes, cité par l'agence de presse nationale Bernama.
Source : Le ministre malaisien du numérique
Et vous ?
Voir aussi :
Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités
Oui bien sûr mais je penses qu'on ignore bien souvent les aspects IT.
Les entreprises devraient toutes identifier un risque de panne logicielle bloquante.
Qu'elles devraient avoir traiter soit par
- contrat (Je sais que dans mon entreprise nous avons, pour certains logiciels, un contrats qui exigent un taux de disponibilité minimum à assurer.)
- prévention technique
- assurance
- moyen de remplacement (par exemple en cas de panne électrique nous avons des groupes électrogènes qui tiennent le temps nécessaire)
- Processus (les processus rédigés servent entre autres à être capable de travailler manuellement en cas de pépin)
Toute entreprise critique (hôpitaux) par exemple devrait avoir un plan de continuité d'activité qui leur assure des plans de secours pour chaque panne possible.
Je n'ai pas été longtemps à l'école, mais bon, dans leurs procédures de validation, est-ce qu'il ne serait pas judicieux de (en plus) mettre à jour quelque centaines de PC de test contenant des configurations diverses et variées ?
Inutile de mettre à jour des centaines de serveurs, un échantillon représentatif suffit mais encore faut-il que les tests fonctionnels suivent.
Répondre avec citation
Partager