Des sociétés dans le monde entier ont subi une panne importante de leurs serveurs ou ordinateurs le 19 juillet dernier. Le coupable ? Le logiciel EDR Falcon de CrowdStrike suite à une mise à jour mal configurée. Cet incident pourrait d’ailleurs être inscrit au rang des événements informatiques ayant eu les répercussions les plus durables de l’histoire.
La récente mise à jour de CrowdStrike a entraîné une interruption brutale des activités de beaucoup de sociétés partout dans le monde. Il s’agit de l’antivirus de la compagnie américaine CrowdStrike appelé Falcon. Heureusement, seuls les systèmes d’exploitation Windows ont été touchés, bien qu’il aurait pu en être autrement. En effet, Falcon est compatible avec Linux et Mac ; cependant, seul le système Windows était visé par cet update défectueux.
Il ne s’agit pas du premier incident que les produits de CrowdStrike subissent. Quelques semaines auparavant, les systèmes tournant avec Linux Red Hat Enterprise ont déjà été touchés par une mise à jour défaillante. Toutefois, son impact a été minime car elle n’a pas été installée de manière automatique.
Un incident qui pourrait valoir des milliards de dollars
L’antivirus Falcon a donc joué un rôle clé dans cette panne de grande ampleur et à l’échelle mondiale. Apparemment, c’est le composant Falcon Sensor qui a crashé après une update mal formatée. Cette mise à jour défectueuse a provoqué une panne de son pilote au moment de l’initialisation du système d’exploitation.
Il reste à déterminer si CrowdStrike pourra se rétablir suite à cet événement. Compte tenu des difficultés précédemment rencontrées par le fournisseur, est-ce que ses clients continueront à lui faire confiance ? Vont – ils solliciter une compensation ? En période d’incertitude économique, simulez votre salaire pour évaluer votre situation financière.
Dans tous les cas, la perte financière occasionnée par cet incident atteint les milliards de dollars. Quoiqu’il en soit, après des dépannages adéquats, les serveurs et/ou les ordinateurs touchés ont pu de nouveau être fonctionnels. En revanche, la remise en état de l’ensemble des systèmes affectés pourrait nécessiter un certain temps.
À noter cependant que CrowdStrike n’est pas une novice dans son domaine. La compagnie du Texas, qui dispose d’une bonne réputation sur le sol américain, propose des solutions liées à la cybersécurité essentiellement aux entreprises, et ce dès 2011.
Introduits en 2013, les EDR (ou Endpoint Detection and Response) comme Falcon sont considérés comme les héritiers des antivirus utilisés dans les années 90. Notamment, ceux qui étaient capables de détecter des empreintes de malwares dans les fichiers .exe.
Cependant, un EDR dépasse largement les attentes :
- Réalisation d’une analyse comportementale ;
- Journalisation de toutes les activités enregistrées dans le système d’exploitation ;
- Intervention à un niveau très profond (au cœur même du système d’exploitation).
Des erreurs stratégiques qui ont coûté cher à CrowdStrike
Le créateur et dirigeant de CrowdStrike, George Kurtz, a exprimé ses opinions sur Twitter, nouvellement X. Par contre, aucune clarification de la situation ni des excuses.
Pourtant, depuis le matin du 19 juillet, un grand nombre de sociétés et d’administrations fonctionnent à un rythme réduit. Les avions sont immobilisés, les chaînes de télévision ainsi que les banques rencontrent des problèmes techniques, et les hôpitaux sont en difficulté. Face à de telles perturbations, simulez votre salaire pour prendre les dispositions nécessaires et préserver votre situation.
Concrètement, au moment du démarrage, des serveurs et des PC tournant sous Windows se retrouvent confrontés à un écran bleu, ce qui indique une panne majeure.
Il faut admettre que CrowdStrike n’a pas bien géré la situation tout le long de cet épisode. En matière de sécurité informatique, procéder à des mises à jour durant le week-end, et surtout en soirée, est une décision qui manque de discernement étant donné que les équipes informatiques ne sont pas sur site. Par conséquent, le risque de prolonger les incidents ou les défaillances de sécurité est réel. C’est pourquoi Microsoft effectue systématiquement ses mises à jour mensuelles liées à la sécurité à un moment fixe, c’est-à-dire chaque mardi durant la matinée.
Ceux qui utilisent un EDR permettent aux fournisseurs de ces logiciels de réaliser des mises à jour sans besoin de leur aval. Cela prévient la vulnérabilité des systèmes. Or, c‘est cette automatisation qui a fait que des milliers d’entreprises ont été affectées en même temps.
Toute la question est de savoir comment cette mise à jour problématique a quand même été distribuée à l’ensemble des utilisateurs de CrowdStrike. Y a-t-il eu des tests adéquats en amont ? L’entreprise devra apporter des éclaircissements sur cette question.
Cet article vous a-t-il été utile ?
Note moyenne 0 / 5. Nombre de votes 0