Près d’une semaine après la gigantesque panne informatique causée par son logiciel, l’éditeur de cybersécurité CrowdStrike vient de donner de nouvelles explications sur ce fiasco mondial. Le blocage d’environ 8 millions d’ordinateurs tournant sous Windows serait dû, explique l’entreprise, à “un bug dans le validateur de contenu”, l’un des mécanismes de test interne de la mise à jour.
Une fois chargé, le contenu problématique, validé à tort, a ainsi provoqué, le 19 juillet, une lecture de mémoire hors limites déclenchant une exception inattendue, précise CrowdStrike. Cela a alors entraîné le blocage des ordinateurs Windows ayant téléchargé la mise à jour, les terminaux affichant le célèbre écran bleu de la mort, bloqués dans une boucle de redémarrage.
Deux types de mises à jour
Cette mise à jour du logiciel Falcon Sensor était du type “Rapid Response Content”. Il existe deux classes de mises à jour, cette dernière et “Sensor Content”. Celle qui a planté est conçue, précise CrowdStrike, pour répondre rapidement à l’évolution des menaces.
Ce genre de mise à jour est utilisée pour lancer de nouvelles opérations de recherche de modèles comportementaux, sans que le code du logiciel ne soit modifié. Il s’agit donc de nouvelles instructions pour repérer des menaces à rechercher.
Les mises à jour de type “Sensor Content”, relatives au fonctionnement du capteur, sont quant à elles validées après “un processus d’assurance qualité complet”. Ce dernier comprend “des tests automatisés, des tests manuels, des étapes de validation et de déploiement”. Les clients de l’entreprise ont par exemple la possibilité de différer cette mise à jour sur une partie de leur flotte.
Plus de tests
Le 28 février dernier, c’est une mise à jour de ce type qui est proposée aux utilisateurs du logiciel. Cette update doit permettre de mieux détecter de nouvelles techniques d’attaque. Plusieurs instances du modèle sont ensuite publiées lors du printemps. Avant la publication de deux nouvelles instances, à la mi-juillet, avec le résultat que l’on sait.
Pour éviter que ce genre de fiasco ne se reproduise, CrowdStrike promet davantage de tests de ses mises à jour de type “Rapid Response Content”. L’entreprise assure qu’elle ajoutera également des contrôles supplémentaires dans son validateur de contenu – une façon donc qu’il serve bien à quelque chose.
CrowdStrike explique enfin vouloir mettre en œuvre une “stratégie de déploiement échelonné”. Une façon de pouvoir observer d’éventuels problèmes lors de telles mises jour, notamment en commençant par un “déploiement canari” auprès de premiers utilisateurs.
Selon l’entreprise Parametrix, spécialisée dans l’assurance, le coût de la panne pourrait s’élever à 5,4 milliards de dollars pour les sociétés de l’indice boursier Fortune 500, à l’exclusion de Microsoft.