Microsoft a dclar que CrowdStrike a mis au point une solution pour acclrer la correction de son infrastructure Azure. En outre, elle collabore avec Amazon Web Services et Google Cloud Platform pour partager des informations sur les effets l’chelle de l’industrie.
Microsoft estime qu’environ 8,5 millions de systmes Windows ont t touchs par le problme ayant entran une panne mondiale, qui concerne un fichier .sys bogu qui a t automatiquement envoy aux PC Windows utilisant le logiciel de scurit CrowdStrike Falcon. Une fois tlcharge, cette mise jour provoquait l’affichage du redoutable cran bleu de la mort sur les systmes Windows et l’entre dans une boucle de dmarrage.
La grande enseigne de la technologie a soulign que moins de 1 % de toutes les machines Windows ont t touches.
Alors que les mises jour de logiciels peuvent occasionnellement causer des perturbations, les incidents importants comme celui de CrowdStrike sont peu frquents , a crit David Weston, vice-prsident de Microsoft charg de la scurit des entreprises et des systmes d’exploitation, dans un billet de blog. Nous estimons actuellement que la mise jour de CrowdStrike a affect 8,5 millions d’appareils Windows, soit moins d’un pour cent de toutes les machines Windows. Bien que le pourcentage soit faible, les impacts conomiques et socitaux importants refltent l’utilisation de CrowdStrike par des entreprises qui grent de nombreux services critiques .
La solution facile documente la fois par CrowdStrike (dont c’est la faute directe) et par Microsoft (qui a t largement blm dans les rapports grand public, en partie cause d’une panne d’Azure sans rapport avec le problme, survenue peu avant le 18 juillet) consistait redmarrer les systmes concerns plusieurs reprises dans l’espoir qu’ils tlchargent un nouveau fichier de mise jour avant qu’ils ne tombent en panne. Pour les systmes sur lesquels cette mthode n’a pas fonctionn – et Microsoft a recommand aux clients de redmarrer jusqu’ 15 fois pour donner aux ordinateurs une chance de tlcharger la mise jour – la solution recommande a t de supprimer manuellement le mauvais fichier .sys. Cela permet au systme de dmarrer et de tlcharger un fichier corrig, ce qui rsout les problmes sans laisser les machines sans protection.
Pour faciliter ce processus, Microsoft a publi ce week-end un outil de rcupration qui permet d’automatiser le processus de rparation sur certains systmes concerns. Il s’agit de crer un support de dmarrage l’aide d’une cl USB de 1 32 Go, de dmarrer partir de cette cl USB et d’utiliser l’une des deux options pour rparer votre systme. Pour les appareils qui ne peuvent pas dmarrer via USB (cette option est parfois dsactive sur les systmes d’entreprise pour des raisons de scurit), Microsoft documente galement une option de dmarrage PXE pour le dmarrage via un rseau.
WinPE la rescousse
Le disque amorable utilise l’environnement WinPE, une version lgre de Windows, pilote par ligne de commande, gnralement utilise par les administrateurs informatiques pour appliquer des images Windows et effectuer des oprations de rcupration et de maintenance.
Une option de rparation dmarre directement dans WinPE et supprime le fichier affect sans ncessiter de privilges d’administrateur. Mais si votre disque est protg par BitLocker ou un autre produit de chiffrement de disque, vous devrez saisir manuellement votre cl de rcupration pour que WinPE puisse lire les donnes sur le disque et supprimer le fichier. Selon la documentation de Microsoft, l’outil devrait automatiquement supprimer la mauvaise mise jour CrowdStrike sans intervention de l’utilisateur une fois qu’il peut lire le disque.
Si vous utilisez BitLocker, la deuxime option de rcupration tente de dmarrer Windows en mode sans chec en utilisant la cl de rcupration stocke dans le TPM de votre appareil pour dverrouiller automatiquement le disque, comme cela se produit lors d’un dmarrage normal. Le mode sans chec charge l’ensemble minimum de pilotes dont Windows a besoin pour dmarrer, ce qui vous permet de localiser et de supprimer le fichier du pilote CrowdStrike sans rencontrer le problme du BSOD. Le fichier se trouve dans Windows/System32/Drivers/CrowdStrike/C-00000291*.sys sur les systmes concerns. Les utilisateurs peuvent galement excuter repair.cmd partir de la cl USB pour automatiser la correction.
Pour sa part, CrowdStrike a mis en place un centre de remdiation et d’orientation pour les clients concerns. Dimanche, l’entreprise a dclar qu’elle testait une nouvelle technique pour acclrer la correction des systmes touchs , mais elle n’a pas donn plus de dtails ce jour. Les autres correctifs dcrits sur cette page comprennent le redmarrage plusieurs reprises, la suppression manuelle du fichier concern ou l’utilisation du support de dmarrage de Microsoft pour automatiser le correctif.
Le secteur de l’assurance s’attend une augmentation des demandes d’indemnisation
Les courtiers en assurance s’attendent une augmentation des demandes d’indemnisation lies la panne. Marsh, l’une des principales socits de courtage, a confirm que des clients avaient inform les assureurs de leur intention de dposer des demandes d’indemnisation. Il s’agit d’un vnement qui devrait tre couvert par la cyberassurance , a dclar Meredith Schnur, responsable de la pratique cyberntique de Marsh pour les tats-Unis et le Canada.
Southern Cross Travel Insurance (SCTI) a dtaill les dispositions relatives aux demandes d’indemnisation dcoulant de la panne. Cette panne a eu des rpercussions sur de nombreux services, notamment les compagnies ariennes, les aroports et d’autres fournisseurs de transport. Si vous avez t affect par cet vnement, nous vous demandons de contacter votre compagnie arienne ou votre agence de voyage en premier lieu pour prendre d’autres dispositions . Elle a prcis que les polices souscrites avant 17 heures le 19 juillet peuvent couvrir les frais encourus la suite de l’incident, sous rserve des conditions gnrales de la police.
De son ct, l’Agence nationale d’assurance invalidit (NDIA) a indiqu que ses systmes n’avaient pas t affects par la panne. Elle a toutefois conseill aux Australiens de rester vigilants face d’ventuelles escroqueries profitant de la situation.
Sources : Microsoft, environnement WinPE, Southern Cross Travel Insurance
Et vous ?
Quelle est la responsabilit des entreprises de cyberscurit lorsquune mise jour dfectueuse provoque des perturbations majeures sur les systmes des utilisateurs ?
Comment pouvons-nous amliorer la communication entre les entreprises de scurit et les utilisateurs lorsquun problme survient ?
Quelles mesures devraient tre prises pour minimiser limpact conomique et social de tels incidents lavenir ?
Pensez-vous que les entreprises devraient tre tenues responsables financirement lorsquune mise jour dfectueuse entrane des pertes importantes pour les utilisateurs ?
Quelles alternatives CrowdStrike recommanderiez-vous aux entreprises pour garantir la scurit de leurs systmes ?