Une mise jour dfectueuse du logiciel de cyberscurit de CrowdStrike a provoqu une panne informatique mondiale, affectant de nombreuses entreprises, notamment des banques, des compagnies ariennes et des dtaillants. Les utilisateurs ont signal des erreurs d’cran bleu sur des ordinateurs Windows. Le PDG de CrowdStrike, George Kurtz, a confirm qu’il ne s’agissait pas d’une cyberattaque et qu’un correctif tait en cours de dploiement. Cette panne a touch divers secteurs et entran des perturbations importantes, notamment dans les voyages et les systmes bancaires. La CISA a observ que des acteurs malveillants tentaient de tirer parti de la situation pour des activits de phishing. Les actions de CrowdStrike ont chut de 11 % suite cet incident.
Des entreprises travers le monde signalent des pannes informatiques, notamment des erreurs d’cran bleu sur leurs ordinateurs, constituant l’une des perturbations informatiques les plus rpandues de ces dernires annes. Cette panne, cause par une mise jour logicielle de CrowdStrike, a touch des ordinateurs Windows dans divers secteurs, y compris les compagnies ariennes, les banques, les dtaillants, les maisons de courtage, les socits de mdias et les rseaux ferroviaires, avec une forte incidence sur le secteur des voyages.
George Kurtz a confirm dans un message sur X qu’un dfaut dans une mise jour de contenu pour les htes Windows tait responsable de la panne, excluant la possibilit d’une cyberattaque. Il a prcis que l’entreprise travaillait sur un correctif et que les htes Mac et Linux n’taient pas affects.
CrowdStrike collabore activement avec les clients concerns par ce dfaut dans une mise jour de contenu pour les htes Windows. Les htes Mac et Linux ne sont pas touchs , a dclar Kurtz sur X. Il ne s’agit pas d’un incident de scurit ou d’une cyberattaque. Le problme a t identifi, isol, et un correctif est en cours de dploiement. Nous renvoyons les clients au portail d’assistance pour les dernires mises jour et continuerons fournir des informations compltes et continues sur notre site web. Nous recommandons galement aux organisations de communiquer avec les reprsentants de CrowdStrike par les canaux officiels. Notre quipe est entirement mobilise pour assurer la scurit et la stabilit de nos clients , a affirm Kurtz.
CrowdStrike is actively working with customers impacted by a defect found in a single content update for Windows hosts. Mac and Linux hosts are not impacted. This is not a security incident or cyberattack. The issue has been identified, isolated and a fix has been deployed. We
— George Kurtz (@George_Kurtz) July 19, 2024
CrowdStrike fournit des mises jour de configuration du contenu de scurit ses capteurs de deux manires : Sensor Content qui est livr directement avec ses capteurs, et Rapid Response Content qui est conu pour rpondre l’volution du paysage des menaces la vitesse oprationnelle. Le problme concernait une mise jour Rapid Response Content avec une erreur non dtecte.
Rapid Response Content est utilis pour effectuer une varit d’oprations de mise en correspondance de modles comportementaux sur le capteur l’aide d’un moteur hautement optimis. Le Rapid Response Content est une reprsentation des champs et des valeurs, avec le filtrage associ. Ce Rapid Response Content est stock dans un fichier binaire propritaire qui contient des donnes de configuration. Il ne s’agit pas d’un code ou d’un pilote de noyau.
Le Rapid Response Content est fourni sous la forme de Template Instances (instances de modles), qui sont des instanciations d’un Template Type donn. Chaque Template Instance correspond des comportements spcifiques que le capteur doit observer, dtecter ou prvenir. Les Template Instances disposent d’un ensemble de champs qui peuvent tre configurs pour correspondre au comportement dsir. En d’autres termes, les Template Types reprsentent une capacit de capteur qui permet de nouvelles tlmtries et dtections, et leur comportement en cours d’excution est configur dynamiquement par un Template Instance (c’est–dire un Rapid Response Content).
Rapid Response Content fournit une visibilit et des dtections sur le capteur sans qu’il soit ncessaire de modifier le code du capteur. Cette capacit est utilise par les ingnieurs chargs de la dtection des menaces pour recueillir des donnes tlmtriques, identifier les indicateurs du comportement de l’adversaire et effectuer des dtections et des prventions. Rapid Response Content est une heuristique comportementale, spare et distincte des capacits de prvention et de dtection de l’IA sur le capteur de CrowdStrike.
Plus tard vendredi, la CISA, l’agence amricaine de cybercriminalit, a dclar que mme si la panne n’tait pas due une activit suspecte, des acteurs de la menace en profitaient pour mener des activits de phishing et d’autres actions malveillantes. Un message sur les forums d’assistance de CrowdStrike (accessibles uniquement par connexion) a galement reconnu le problme tt vendredi, indiquant que l’entreprise avait reu des rapports de pannes lies une mise jour de contenu. CrowdStrike a prcis que ces rapports de crash taient lis Falcon Sensor , son service de scurit bas sur le cloud, dcrit comme une solution de dtection des menaces en temps rel, de gestion simplifie et de chasse proactive aux menaces .
Les cots de la panne mondiale provoque par CrowdStrike pourraient dpasser le milliard de dollars
Dans un message publi sur les rseaux sociaux, CrowdStrike a indiqu qu’un nombre important des 8,5 millions d’appareils affects taient de nouveau oprationnels et s’est excuse pour la perturbation. L’entreprise a soulign qu’elle se concentrait sur la restauration rapide de tous les systmes et a mis en place un systme d’opt-in pour une nouvelle technique de restauration en collaboration avec ses clients. CrowdStrike a exprim sa gratitude envers ses clients et partenaires pour leur travail acharn et leur patience pendant cette crise.
Les experts estiment qu’il est trop tt pour valuer avec prcision le cot de la panne mondiale survenue vendredi, mais selon Patrick Anderson, PDG d’Anderson Economic Group, ces cots pourraient facilement dpasser le milliard de dollars. Anderson a rappel que la rcente cyberattaque contre CDK Global, une socit de logiciels pour concessionnaires automobiles, avait galement cot environ un milliard de dollars. La panne actuelle touche un plus grand nombre de consommateurs et d’entreprises, engendrant des cots importants, notamment pour les compagnies ariennes en raison des vols annuls et des retards, entranant des pertes de revenus et des cots supplmentaires de main-d’uvre et de carburant.
Malgr la position dominante de CrowdStrike dans le domaine de la cyberscurit et un chiffre d’affaires annuel lgrement infrieur 4 milliards de dollars, l’entreprise pourrait bnficier de protections juridiques stipules dans ses contrats. James Lewis, chercheur au Center for Strategic and International Studies, a suggr que les contrats de CrowdStrike pourraient les protger contre toute responsabilit. Par ailleurs, Mark Friedlander, porte-parole de l’Insurance Information Institute, a soulign que les entreprises touches par la panne pourraient dcouvrir que l’assurance traditionnelle contre les pertes d’exploitation ne les couvrira pas, car ces polices exigent gnralement des dommages physiques pour les biens de l’entreprise. Les polices d’interruption du rseau d’entreprise pourraient couvrir ces pertes, mais souvent seulement en cas de piratages malveillants, excluant des incidents non malveillants comme celui-ci.
Le PDG de CrowdStrike est convoqu tmoigner devant le Congrs sur la panne majeure
Les dirigeants de la Chambre des reprsentants des tats-Unis ont demand George Kurtz, PDG de CrowdStrike, de tmoigner devant le Congrs concernant le rle de son entreprise dans la panne technologique gnralise. Cette panne a clou des vols au sol, mis hors service des banques et des systmes hospitaliers, et affect des services dans le monde entier.
Cette demande fait suite une dclaration de CrowdStrike indiquant qu’un nombre significatif d’ordinateurs s’taient bloqus vendredi, causant des perturbations mondiales. Bien que de nombreux systmes soient de nouveau oprationnels, les clients et les rgulateurs attendent des explications dtailles sur les vnements. Les rpublicains la tte de la commission de la scurit intrieure de la Chambre des reprsentants ont exprim leur souhait d’obtenir des rponses rapidement. Nous apprcions la raction de CrowdStrike et la coordination avec les parties prenantes, mais nous ne pouvons pas ignorer l’ampleur de cet incident, que certains ont qualifi de plus grande panne informatique de l’histoire , ont crit les dputs Mark E. Green (Tennessee) et Andrew Garbarino (New York) dans une lettre adresse Kurtz.
La solution facile documente la fois par CrowdStrike (dont c’est la faute directe) et par Microsoft (qui a t largement blm dans les rapports grand public, en partie cause d’une panne d’Azure sans rapport avec le problme, survenue peu avant le 18 juillet) consistait redmarrer les systmes concerns plusieurs reprises dans l’espoir qu’ils tlchargent un nouveau fichier de mise jour avant qu’ils ne tombent en panne. Pour les systmes sur lesquels cette mthode n’a pas fonctionn – et Microsoft a recommand aux clients de redmarrer jusqu’ 15 fois pour donner aux ordinateurs une chance de tlcharger la mise jour – la solution recommande a t de supprimer manuellement le mauvais fichier .sys. Cela permet au systme de dmarrer et de tlcharger un fichier corrig, ce qui rsout les problmes sans laisser les machines sans protection.
Pour faciliter ce processus, Microsoft a publi ce week-end un outil de rcupration qui permet d’automatiser le processus de rparation sur certains systmes concerns. Il s’agit de crer un support de dmarrage l’aide d’une cl USB de 1 32 Go, de dmarrer partir de cette cl USB et d’utiliser l’une des deux options pour rparer votre systme. Pour les appareils qui ne peuvent pas dmarrer via USB (cette option est parfois dsactive sur les systmes d’entreprise pour des raisons de scurit), Microsoft documente galement une option de dmarrage PXE pour le dmarrage via un rseau.
La dpendance des entreprises aux logiciels de scurit expose
La panne informatique mondiale cause par une mise jour dfectueuse du logiciel de cyberscurit de CrowdStrike soulve plusieurs questions importantes concernant la fiabilit et la robustesse des solutions de cyberscurit. Tout d’abord, cette situation met en vidence la dpendance critique des entreprises l’gard des logiciels de scurit et la vulnrabilit potentielle qu’une simple mise jour dfectueuse peut engendrer.
Malgr les assurances de George Kurtz, PDG de CrowdStrike, que cette panne n’tait pas une cyberattaque et qu’un correctif tait en cours, l’ampleur des perturbations, en particulier dans des secteurs vitaux comme les voyages et les systmes bancaires, souligne l’importance de tests rigoureux avant le dploiement de mises jour logicielles. La ncessit de mesures de sauvegarde et de plans de contingence devient vidente pour prvenir des interruptions de cette ampleur.
La rponse rapide de la CISA, qui a not l’exploitation de la situation par des acteurs malveillants pour mener des activits de phishing, ajoute une couche de complexit et montre que les incidents techniques peuvent rapidement devenir des opportunits pour des attaques plus cibles. Enfin, la chute de 11 % des actions de CrowdStrike met en lumire l’impact financier immdiat que de tels incidents peuvent avoir sur une entreprise, affectant non seulement sa rputation mais aussi sa valeur marchande. Cette situation doit servir de leon pour renforcer les processus de mise jour et de dploiement dans le secteur de la cyberscurit afin de minimiser les risques de perturbations futures.
Source : Crowdstrike
Et vous ?
Quel est votre avis sur ce sujet ?
Comment les entreprises affectes par la panne peuvent-elles se prparer de futures interruptions similaires ?
Quels types de garanties de scurit devraient rechercher les entreprises dans les solutions de cyberscurit ?
Voir aussi :