Lincident de panne chez CrowdStrike a mis en lumire la vulnrabilit du secteur de la cyberscurit. Une mise jour dfectueuse du logiciel Falcon Sensor de CrowdStrike a entran des plantages massifs dordinateurs Windows dans le monde entier. Cela souligne les problmes majeurs de notre infrastructure informatique. Dautres entreprises du mme modle commercial pourraient galement tre touches.
Il faut en moyenne 62 minutes des adversaires malveillants pour faire tomber votre entreprise, avertit le site web de CrowdStrike. En l’occurrence, l’entreprise de cyberscurit charge de protger de dizaines milliers de clients contre les pirates informatiques a russi faire tomber une grande partie des entreprises mondiales. Le coupable n’tait autre qu’une seule mise jour de contenu dfectueuse qu’elle a diffuse sur son produit Falcon Sensor auprs des utilisateurs de Microsoft dans le monde entier.
En effet, CrowdStrike a dclar dans un communiqu qu’il avait identifi et isol la faille et qu’un correctif avait t dploy .
Microsoft a indiqu que 8,5 millions d’utilisateurs ont t impacts. Le phnomne a eu une rpercussion mondiale, des entreprises d’Asie, d’Europe et des tats-Unis ayant signal des problmes. Les retombes se sont tendues de larges pans de l’conomie mondiale, affectant les compagnies ariennes, les trains, les banques, les radiodiffuseurs et presque tout le reste. Les entreprises concernes affirment avoir mis en place un correctif. Mais les premiers rapports suggrent que le processus est la fois manuel et complexe, ce qui signifie que la remise en service des PC endommags pourrait tre un processus laborieux.
Les entreprises concernes en subiront videmment les consquences. Un chec aussi gnralis soulvera, tout le moins, de srieuses questions sur le contrle de la qualit et les processus de test internes. Cela devrait effrayer les clients. L’action semble galement vulnrable. CrowdStrike a connu une croissance rapide, sa capitalisation boursire ayant plus que doubl au cours des 12 derniers mois pour atteindre 83,5 milliards de dollars. Cependant, le jour de la mdiatisation de ces incidents, les actions de la socit ont chut.
D’autres entreprises, fonctionnant selon un modle commercial similaire, pourraient galement tre touches. Les clients seront conscients du risque que reprsente l’externalisation de ces fonctions critiques des tiers, en particulier ceux qui sont en mesure d’envoyer automatiquement des mises jour aux systmes des clients. L’une des consquences pourrait bien tre l’expansion des quipes informatiques internes. Une autre consquence devrait tre la recherche d’un plus grand nombre de fournisseurs de logiciels et d’autres applications de scurit.
Des leons retenir de cet incident ?
L’incident va exacerber les inquitudes concernant le risque de concentration dans le secteur de la cyberscurit. Selon SecurityScorecard, 15 entreprises seulement dans le monde reprsentent 62 % du march des produits et services de cyberscurit. Dans le domaine de la scurit des terminaux modernes, qui consiste scuriser les PC, les ordinateurs portables et d’autres appareils, le problme est pire : trois entreprises, dont Microsoft et CrowdStrike sont de loin les plus importantes, contrlaient la moiti du march l’anne dernire, selon IDC.
Nous sommes aujourd’hui confronts une prise de conscience importante et terrifiante : De nombreuses personnes en charge de nos systmes numriques mondiaux dpendent d’un seul fournisseur de logiciels comme point de dfaillance (une estimation suggre que CrowdStrike reprsente 24 % du march de la scurit), et lorsque ce fournisseur lui-mme commet une erreur, nous sommes tous amens en subir les consquences.
Alors que le Cyber Safety Review Board amricain dissque les cyberattaques de grande ampleur pour en tirer des enseignements, il n’existe pas d’organisme vident charg d’analyser ces dfaillances techniques afin d’amliorer la rsilience de l’infrastructure technologique mondiale, a dclar Ciaran Martin, ancien directeur du National Cyber Security Centre du Royaume-Uni.
La panne qui a frapp le monde devrait inciter les clients – et peut-tre mme les gouvernements et les rgulateurs – rflchir davantage la manire d’intgrer la diversification et la redondance dans leurs systmes.
Peu probable que cela arrive
Ce qui est unique dans cet incident, c’est l’chelle laquelle il s’est produit, qui a probablement fait perdre des milliards l’conomie mondiale en raison des temps d’arrt gnraliss , a dclar Neatsun Ziv, PDG d’OX Security, une socit de cyberscurit. Elle a galement fait perdre des milliards au bilan de CrowdStrike, dont le cours de l’action a chut au dbut de la journe de l’incident.
Ce n’est pourtant pas le premier exemple de dfaillance d’une seule entreprise affectant d’immenses rseaux mondiaux. Nous avons assist des dizaines de pannes massives de l’internet la suite de dfaillances de la part d’hbergeurs de sites sur le cloud et d’autres fournisseurs de systmes. Le monde aurait d tirer les leons de l’un ou l’autre de ces incidents, qu’il s’agisse de la panne du logiciel Microsoft 365 en septembre 2020, de la panne de tlphone cellulaire l’chelle nationale en fvrier 2024 ou mme de l’attaque des services publics amricains en avril de cette anne.
Il est important de tirer les leons de l’incident [de CrowdStrike] afin de rduire la probabilit qu’il se reproduise , dclare Simon Newman, cofondateur de Cyber London et membre du conseil consultatif de la Cyber Expo internationale. J’encourage toutes les organisations revoir rgulirement la rsilience de leur chane d’approvisionnement .
Cependant, nous ne l’avons pas fait, et nous ne le ferons probablement pas cette fois-ci non plus. Les solutions technologiques de pointe dont nous dpendons au quotidien sont souvent moins sophistiques qu’il n’y parat. Bien qu’elles semblent avoir t dveloppes et codes avec soin, et qu’elles soient, des fins de marketing, sans visage, elles sont le rsultat d’un travail humain acharn qui a cod chaque ligne et vrifi chaque lment de ces solutions. Et les humains font des erreurs.
Le fait que cela se produise – et continue de se produire – devrait contribuer mettre fin l’ide que ces systmes sont en quelque sorte infaillibles et que rien ne peut jamais leur arriver de mal. Dans un monde parfait, nous pourrions planifier des jeux autour de ces invitabilits et crer des scurits appropries. Mais ce n’est pas le monde dans lequel nous vivons.
Microsoft cherche renforcer la scurit aprs l’incident avec CrowdStrike
Cet incident montre clairement que Windows doit donner la priorit au changement et l’innovation dans le domaine de la rsilience de bout en bout , dclare John Cable, vice-prsident de la gestion des programmes pour le service et la livraison de Windows, dans un billet de blog intitul Rsilience de Windows : Les meilleures pratiques et la voie suivre . Cable appelle une coopration plus troite entre Microsoft et ses partenaires qui se soucient galement beaucoup de la scurit de l’cosystme Windows afin d’apporter des amliorations en matire de scurit.
Microsoft a attribu une partie de la panne de CrowdStrike l’accord antitrust de l’Union europenne de 2009 qui oblige Redmond ouvrir l’accs au niveau du noyau aux fournisseurs de logiciels tiers. En revanche, Apple a commenc supprimer progressivement les extensions du noyau dans macOS en 2020 et a incit les diteurs de logiciels utiliser le framework d’extension du systme , en citant les avantages en termes de fiabilit et de scurit.
Cable ne demande pas Microsoft de couper compltement l’accs au noyau Windows. Il propose plutt des alternatives, telles que les enclaves VBS rcemment annonces, qui fournissent un environnement informatique isol qui ne ncessite pas que les pilotes du mode noyau soient rsistants aux manipulations .
Malgr cela, le billet de Cable soulve la question de savoir si les efforts dploys par Microsoft pour scuriser l’accs au noyau pourraient nuire aux diteurs de logiciels tiers. Par exemple, les logiciels antivirus peuvent utiliser l’accs au niveau du noyau pour surveiller les changements malveillants apports au systme d’exploitation Windows ds les premires tapes.
Sans les privilges du mode noyau, [les antivirus et les systmes de dtection et de rponse des points d’extrmit] sont extrmement limits dans ce qu’ils peuvent faire. Cependant, nous ne pensons pas que Microsoft va vraiment rvoquer l’accs au mode noyau pour les fournisseurs de scurit , a tweet le service de suivi des logiciels malveillants VX-Underground.
Pour sa part, Matthew Prince, PDG de Cloudflare, a dj mis en garde contre les effets d’un verrouillage plus pouss de Windows par Microsoft, qui devra donc prendre soigneusement en compte les besoins des fournisseurs de solutions de scurit s’il souhaite oprer un vritable changement.
Sources : parts de march de CrowdStrike, Microsoft (1, 2)
Et vous ?
Faut-il repenser notre confiance envers les entreprises de cyberscurit aprs lincident chez CrowdStrike ? Dans quelle mesure ?
CrowdStrike : un avertissement pour les autres entreprises de cyberscurit ?