Une mauvaise mise à jour du logiciel de sécurité Falcon de CrowdStrike a planté des millions de PC sous Windows la semaine dernière.
Agrandir / Une mauvaise mise à jour du logiciel de sécurité Falcon de CrowdStrike a planté des millions de PC sous Windows la semaine dernière.

CrowdStrike

Le PDG de CrowdStrike, George Kurtz, a déclaré jeudi que 97 % de tous les systèmes Windows utilisant son logiciel de capteur Falcon étaient de nouveau opérationnels, une semaine après une panne due à une mise à jour qui a retardé des vols et mis hors service des systèmes d’intervention d’urgence, parmi de nombreuses autres perturbations. Cette mise à jour, qui a provoqué l’apparition du redouté Écran bleu de la mort sur les PCs sous Windows, a affecté environ 8,5 millions de systèmes, laissant environ 250 000 encore hors ligne.

Le vice-président de Microsoft, John Cable, a indiqué dans un billet de blog que la société avait “mobilisé plus de 5 000 ingénieurs support travaillant 24h/24 et 7j/7” pour aider à nettoyer le désordre causé par la mise à jour de CrowdStrike et a laissé entendre qu’il pourrait y avoir des changements dans Windows qui pourraient aider—si cela ne contrevient pas aux régulateurs, du moins.

“Cet incident montre clairement que Windows doit donner la priorité au changement et à l’innovation dans le domaine de la résilience de bout en bout”, a écrit Cable. “Ces améliorations doivent aller de pair avec des progrès continus en matière de sécurité et se faire en étroite collaboration avec nos nombreux partenaires, qui se soucient également profondément de la sécurité de l’écosystème Windows.”

Cable a mentionné les enclaves VBS et l’Attestation Azure comme exemples de produits qui pourraient garantir la sécurité de Windows sans nécessiter d’accès au niveau du noyau, comme la plupart des produits de sécurité basés sur Windows (y compris le capteur Falcon de CrowdStrike) le font actuellement. Toutefois, il s’est abstenu de préciser les changements spécifiques qui pourraient être apportés à Windows, se contentant de dire que Microsoft continuerait à “renforcer notre plateforme et à faire encore plus pour améliorer la résilience de l’écosystème Windows, en collaborant ouvertement avec la vaste communauté de la sécurité.”

Lorsque les logiciels de sécurité fonctionnent en mode noyau plutôt qu’en mode utilisateur, ils ont un accès complet au matériel et aux logiciels d’un système, ce qui les rend plus puissants et flexibles ; cela signifie également qu’une mauvaise mise à jour, comme celle de CrowdStrike, peut causer beaucoup plus de problèmes.

Les versions récentes de macOS ont supprimé les extensions de noyau tierces précisément pour cette raison, ce qui explique en partie pourquoi les Macs n’ont pas été impactés par la mise à jour de CrowdStrike. Mais les efforts passés de Microsoft pour verrouiller les sociétés de sécurité tierces hors du noyau de Windows – plus récemment à l’époque de Windows Vista – ont été mal accueillis par les régulateurs de la Commission européenne. Ce niveau de scepticisme est justifié, compte tenu des antécédents de Microsoft (et de leur persistance) à utiliser la position de marché de Windows pour promouvoir ses propres produits et services. Toute tentative actuelle de restreindre l’accès des fournisseurs tiers au noyau de Windows serait probablement soumise à un examen similaire.

Microsoft a également dû faire face récemment à de nombreux problèmes de sécurité, au point de promettre de restructurer l’entreprise pour en faire un axe prioritaire.

Les répercussions de CrowdStrike

CrowdStrike a fait ses propres promesses à la suite de l’incident, y compris des tests plus approfondis des mises à jour et un système de déploiement progressif qui pourrait éviter qu’une mauvaise mise à jour ne cause autant de problèmes que celle de la semaine dernière. Le rapport initial de l’incident a pointé vers une défaillance dans ses procédures de test comme étant la cause du problème.

Entre-temps, la récupération se poursuit. Certains systèmes ont pu être réparés simplement en redémarrant, bien qu’ils aient dû effectuer ce processus jusqu’à 15 fois—ce qui pourrait permettre aux systèmes de récupérer un nouveau fichier de mise à jour avant de planter. Pour les autres, les administrateurs informatiques devaient soit les restaurer à partir de sauvegardes, soit supprimer manuellement le fichier de mise à jour défectueux. Microsoft a publié un outil amorçable qui pouvait aider à automatiser le processus de suppression de ce fichier, mais cela nécessitait encore d’intervenir sur chaque installation Windows affectée, qu’il s’agisse d’une machine virtuelle ou d’un système physique.

Toutes les solutions de remédiation proposées par CrowdStrike n’ont pas été bien accueillies. L’entreprise a envoyé des codes promo UberEats de 10 dollars pour couvrir “la prochaine tasse de café ou le snack de minuit” de certains de ses partenaires, ce qui a suscité des réactions moqueuses sur les réseaux sociaux (le code était également temporairement inutilisable car Uber l’a signalé comme frauduleux, selon un représentant de CrowdStrike). Pour plus de contexte, la société d’analyse Parametrix Insurance a estimé le coût de la panne pour les entreprises du Fortune 500 à environ 5,4 milliards de dollars.

Dans ce contexte complexe, il est essentiel de se rappeler que les mises à jour logicielles, bien qu’elles puissent apporter des améliorations significatives, comportent également des risques potentiels qui peuvent toucher des millions d’utilisateurs. En tant que journaliste, je suis souvent amené à évaluer ces enjeux et à informer le public sur les conséquences de telles incidents, soulignant l’importance de la transparence et de la responsabilité dans l’industrie technologique.

Publications similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *