Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Panne et paralysie mondiale : une mise à jour CrowdStrike provoque des bugs en cascade

SPOF !

Panne et paralysie mondiale : une mise à jour CrowdStrike provoque des bugs en cascade

Une gigantesque panne affecte actuellement de nombreuses structures, y compris de grosses entreprises, des aéroports et des hôpitaux. En cause apparemment, une mise à jour des logiciels de cybersécurité de CrowdStrike. Elle provoque des écrans bleus sur les machines équipées de Windows, ainsi que des redémarrages en boucle.

Le 19 juillet à 11h46

Partout dans le monde, des entreprises et autres structures rapportent être partiellement ou totalement bloquées. Une cyberattaque ? A priori non. Le problème vient d’une mise à jour déployée par CrowdStrike pour son EDR (détection et intervention sur les points de terminaison) Falcon Sensor. Des banques, des aéroports, des hôpitaux, des magasins, des chaines de télévision ou encore des organes de presse sont touchés.

Le symptôme est le même partout : un écran bleu de Windows et un redémarrage du système. Falcon Sensor étant un produit destiné aux entreprises, le grand public n'est pas censé être concerné.

De très nombreuses structures touchées

Les exemples sont très nombreux. Parmi les plus retentissants, la bourse de Londres, dont le service de nouvelles « est actuellement confronté à un problème technique global d'une tierce partie, empêchant la publication de nouvelles sur www.londonstockexchange.com ». De nombreux aéroports sont touchés, dont ceux de Berlin, Melbourne, Hong-Kong, Prague ou plusieurs en Inde. Aux États-Unis, tous les avions de Delta, United et American Airlines sont cloués au sol.

Citons également les groupes médias ABC aux États-Unis et Sky News au Royaume-Uni, dont les services sont perturbés. Même chose pour les trains au Royaume-Uni.

CrowdStrike au courant, un début de solution

CrowdStrike indique être au courant de la situation dans une note, qui réclame malheureusement un compte pour la lire. La société ajoute qu’elle enquête sur le problème, qui semble lié à un souci de déploiement. La modification a été annulée.

Sur Reddit, la solution présentée dans la page « cachée » de CrowdStrike est mise en avant. Elle consiste à :

  • redémarrer Windows en mode sans échec
  • se rendre dans le dosser C:\Windows\System32\drivers\CrowdStrike et à
  • y effacer un fichier de type « C-00000291*.sys ».

Après le redémarrage, le problème disparaitrait. Mais, comme indiqué dans de nombreuses réponses sur Reddit : il est presque impossible d’accéder aux machines actuellement. En outre, la solution serait impossible à appliquer sur les machines où BitLocker (solution de chiffrement intégral de Microsoft) est actif.

En France, le CERT vient également de communiquer : « Le CERT-FR a été informé ce jour d'un incident majeur affectant les systèmes Microsoft Windows disposant de l'EDR CrowdStrike Falcon. Cet incident semble provoquer un écran bleu système entraînant un redémarrage du poste. À ce stade, le CERT-FR n'a pas d'élément indiquant que cet incident est lié à une attaque informatique ». Le Centre ajoute suivre « avec attention les évolutions de cet incident ». Même son de cloche à l’ANSSI, qui a mis en ligne un bulletin d’alerte.

La nouvelle pourrait fortement impacter CrowdStrike. Avant même l’incident, l’entreprise voyait son action chuter à cause de divers problèmes de valorisation. Hier, on a également appris que le cabinet d’analyse Redburn Atlantic baissait sa note pour CrowdStrike (et Palo Alto Networks), citant le prix trop élevé de son action et des conditions changeantes sur le marché.

Comment en est-on arrivés là ?

Sur X, le CEO de CrowdStrike, George Kurtz, a fini par prendre la parole :

« CrowdStrike travaille activement avec les clients touchés par un défaut détecté dans une seule mise à jour de contenu pour les hôtes Windows. Les hôtes Mac et Linux ne sont pas impactés. Il ne s’agit pas d’un incident de sécurité ou d’une cyberattaque. Le problème a été identifié, isolé et un correctif a été déployé. Nous renvoyons les clients au portail d'assistance pour connaître les dernières mises à jour et continuerons à fournir des mises à jour complètes et continues sur notre site Web. Nous recommandons en outre aux organisations de s'assurer qu'elles communiquent avec les représentants CrowdStrike via les canaux officiels. Notre équipe est pleinement mobilisée pour assurer la sécurité et la stabilité des clients CrowdStrike. »

De nombreuses questions restent cependant ouvertes. Dont la plus évidente : comment une telle mise à jour a-t-elle pu passer les différentes étapes de vérification ?

Quelques heures auparavant, Microsoft avait des problèmes avec Azure et Microsoft 365, mais ils semblent désormais réglés et sans lien apparent avec les soucis du jour. Ces derniers viennent pour rappel d’une mise à jour de chez CrowdStrike, pas d’un problème chez Microsoft.

Commentaires (128)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Dire que j'ai failli partir sur du CrowdStrike avant de m'orienter vers SentinelOne :incline:

Ce qui me semble bizarre, c'est que si c'est une mise à jour de l'agent (Falcon sensor ?), ca voudrait dire que toutes ces entreprises déploient les nouvelles versions dès leurs publications en automatique, étonnant.
votre avatar
Bonjour,

Je suis comme toi surpris que des déploiements de ce type se fassent de manière totalement automatiques sans jamais passer par des serveurs de pré-prod de ces compagnies (pour les plus grosses d'entre elles).

Est-ce que cela touche uniquement les serveurs dans le Cloud et/ou on-premises ?
votre avatar
D'après ce que j'ai pu lire un peu partout, ça touche tout système Windows sur lequel Crowdstrike est déployé et qui a effectué la mise à jour incriminée.
votre avatar
Ce n'est pas vraiment dans les bonnes pratiques de déployer une MàJ sur 100% d'un parc le même jour.
Même en prod, en règle générale, tu fais 1%, 10%, 25%... sur plusieurs lots, en évitant de mettre dans le même lot une machine et son backup identifié.
On ne parle pas de tatie Huguette, on parle de gros groupes avec des SI conséquents quand même :/
votre avatar
Tu prêches un convaincu 😅Faut croire que les bonnes pratiques ne sont pas appliquées par tout le monde.
votre avatar
de ce que je comprend c'est un peu comme une maj de définition d'antivirus, donc pas très étonnant que ça soit du déploiement, "global et sans test" (mais ça mériterai peut être une réflexion sur le sujet, trouver un compromis entre déployer une nouvelle définition rapidement pour qu'elle soit dispo le plus vite possible sans prendre ce risque de "bug")
votre avatar
Falcon de CrowdStrike n'est pas un simple antivirus à l'ancienne avec simplement une base de signature des virus. C'est un EDR (à moins qu'ils le vendent comme un XDR maintenant, MDR, bref).

Il s'infiltre dans pas mal de pans du système, pour surveiller pas mal de choses, et fait de l'analyse heuristique pour détecter de potentielles attaques.

Pour faire tout ça l'outil a besoin d'un accès au noyau de Windows, probablement réalisé au moyen d'un driver qui tourne en kernel-space. Si celui-ci est buggé, c'est le BSOD quasi assuré.
votre avatar
C'est un ingénieur d'une SSII française qui rencontre un ingénieur Microsoft. Il
discutent 'Techniques de développement'.

Le premier dit au second 'Moi, ça me coûte un fric et un temps fou de tester mes
logiciels avant de les commercialiser'.

L'ingénieur Microsoft lui réponds 'Tu testes tes logiciels toi-même ? T'as pas
de clients pour faire ça ?'
votre avatar
Un fichier .sys c'est un driver système, surtout vu l'emplacement ou il est mis.
Des écrans bleu liés a un driver système on a pas fini d'en voir vu ce qu'implique l'architecture les utilisant.
votre avatar
Et vive les vendredi :-D

C'est assez affolant qu'une telle panne puisse arriver et la solution de passer par le mode sans échec un peu inquiétante, vu le nombre de postes / serveurs potentiellement impactés :-/

Un beau strike !

EDIT : concernant la panne Azure, c'est visiblement (encore) lié à un changement de configuration qui a fait tout planté :

https://www.bleepingcomputer.com/news/microsoft/major-microsoft-365-outage-caused-by-azure-configuration-change/
votre avatar
Y'en a qui vont passer un bon week-end.

Passer en mode sans échec, c'est la galère, sur une flotte de PC, difficile à faire faire par un utilisateur, et le service IT peu pas physiquement allez sur toutes les machines rapidement.
votre avatar
Moi qui est connu cette entreprise hier sur un billet sur développez.com ayant comme sujet que les entreprises ne prennent pas le temps d'évaluer les mises à jour de sécurité 😂😂😂

https://securite.developpez.com/actu/360418/Les-entreprises-omettent-la-moitie-du-temps-d-evaluer-la-securite-des-principales-mises-a-jour-des-applications-logicielles-car-cela-est-complique-couteux-et-prend-du-temps-d-apres-CrowdStrike/
votre avatar
Oui, ça m'a fait sourire. Le timing est parfait :mrgreen:
votre avatar
Ils auraient dû faire parvenir l'info à leurs clients 😅
votre avatar
BitLocker, je ne connais pas trop.
Toute solution "full disk encryption" doit pouvoir permettre l'accès offline à mes yeux.
Avec VeraCrypt, pas de problème. Avec LUKS on va un cran plus loin, possible de réinstaller l'OS sur le disque chiffré. Évidemment pour VeraCrypt, pas leur faute. Et encore, je n'ai jamais essayé, c'est peut-être possible (mais ça me semble douteux).
votre avatar
Oui, avec Bitlocker tu peux toujours saisir la clé manuellement au boot, donc je ne comprend pas la partie de l'article qui indique que Bitlocker gênerait le démarrage en mode sans échec 🤷‍♂️
votre avatar
Tu sais pas faire ça a distance non ?
Donc pour une boite, ça implique un tech qui fait la manipulation sur chaque PC de la flotte (et des gens en présentiel)
votre avatar
Chaque employé peut saisir sa propre clé (après que le support la lui a communiquée, bien entendu). Mais de toute façon si la raison de saisir la clé est de pouvoir booter en mode sans échec, je vois mal la plupart des users faire ça...

Le plus simple est de ne pas déployer des mises à jour sur des systèmes de prod sans les tester avant...
votre avatar
Tout le monde ne connait pas cette clé, surtout en entreprise
votre avatar
En entreprise, les utilisateurs ne sont pas censé connaitre (ni même avoir accès) à cette clé. Elle est communiquée par le support uniquement si nécessaire, et après vérification de l'identité de la personne qui la demande.

Et si le support lui-même n'a pas ses clés, c'est qu'ils se sont loupés quelque part.

Pour les particuliers, par défaut la clé est sauvegardée dans le compte Microsoft de l'utilisateur, sinon c'est que l'utilisateur a choisis de configurer ça autrement et a opté pour une autre méthode de backup de la clé.
votre avatar
Car les clés sont stockés sur le controleur de domaine généralement, qui est en carafe lui aussi en BSOD :D
votre avatar
Quand AD a eu la possibilité de stocker les clefs BT, mon collègue a activé l'option et m'a dit trop cool, plus besoin de les sauvegarder.
Un jour, lors d'une recherche de clef BT dans AD, on constaté qu'à partir d'une date inconnue, AD avait arrêté de les stocker, sans changement de l'option le lui demandant... Étant fan de la technique dite ceinture + bretelles, j'avais continué à les sauvegarder en txt, du moins celles que j'avais généré.
Moralité, méfiez vous du backup AD des clefs BT ;)
votre avatar
Quand tu installes le système, il ne te donnes pas la clé. Il faut penser à aller la chercher et l'enregistrer quelque part.
votre avatar
Vérifie, mais par défaut elle est sauvegardée sur ton compte Microsoft. Ou alors ils ont changé comment ils activent Bitlocker.
votre avatar
La clé utilisée au quotidien est stockée dans le TPM (et peut-être dans le compte Microsoft aussi s'il y en a un), mais il devrait proposer de sauvegarder quelque part une clé de récupération (qui n'est pas forcément celle utilisée au quotidien mais permet d'accéder aux données manuellement) ?

En tout cas il le proposait quand j'avais testé, dans un fichier qu'on garde ensuite où on veut, mais j'ai pas testé de le faire à l'installation.
votre avatar
Il te propose de l'imprimer, soit de la stocker dans un périphérique amovible.
Sauf si tu es sur un réseau entreprise, où elle est directement stockée dans le contrôleur de domaine.
votre avatar
En particulier, la clef est stocké sur le compte MS, MS propose aussi de l'enregistrer ou l'imprimer.

En entreprise, c'est un faux problème, la clef doit remonter sur le contrôleur de domaine, comme dit plus haut.
Le même contrôleur qui est hautement à risque, donc rarement seul doit surement très bien être backupé. Donc si le seul DC est touché, il faut taper dans les sauvegardes.
Mais vu la taille des groupes concernés, ce serait juste dément de n'avoir qu'un DC et d'y déployer des MAJ d'agent en auto dès leur mise à dispo. Surtout que dans le cas présent, je pense même que certains ont les clés dans Azure AD...

En tous cas ca pourrait bien finir en procès cette affaire.
votre avatar
Et ben crois le ou pas, tous les DC étaient down, c'est Crowdstrike qui décide les maj, personne n'a la main dessus...

Ils ont balancé leur maj sur 100% des machines sur la planètes, c'est juste WTF...

Pour cela que c'est le chaos un peu partout...
votre avatar
En effet, c'est des grands malades alors !! :fou:

Mais ca ne change pas qu'ils doivent pouvoir utiliser leurs backup de DC, par contre forcément ca demande un peu de temps... Au final, quoi qu'on en dise, mettre son AD en Hybride MS entra, c'est pas déconnant au final.
votre avatar
La question est : qui déploie un outil qui fait des màj auto sans aucun contrôle en prod ? Si j'avais proposé ça à notre admin système, j'aurais été très mal reçu, je peux te le garantir 😅

"Ils ont balancé leur maj sur 100% des machines sur la planètes, c'est juste WTF..."

Je savais pas que CrowdStrike était installé sur les ordinateurs du monde entier !!! Et ils se sont pas encore pris de procès pour position monopolistique ?!

"c'est Crowdstrike qui décide les maj, personne n'a la main dessus..."

A priori les clients avaient la main pour décider de ne pas installer sur leur prod un outil sur lequel ils n'ont aucun contrôle... (je parle des décideurs, pas des admins sys qui vont subir la crise)
votre avatar
votre avatar
C'est clairement un bon stress tests pour eux afin de voir a quelle point leurs procédures sont bonnes a jeter ou pas :D
votre avatar
Est-ce que je peux mettre le périphérique de stockage sur un autre PC déjà démarré et le lire ? C'est à dire le lire même si tout l'OS installé dessus est corrompu ?
votre avatar
Tu peux le brancher sur un ordinateur fonctionnant sous Windows. Tant que tu as la clé de chiffrement du disque tu peux accéder aux données (tant qu'elles ne sont pas physiquement corrompues sur le disque bien entendu).
En gros, lorsque l'on branche un disque chiffré avec Bitlocker (ça peut être un disque interne comme une clé USB), Windows va demander de saisir le mot de passe du disque, mais on peut également saisir la clé de secours (qui est celle que Microsoft nous demande de sauvegarder lors de l'activation de Bitlocker).
votre avatar
OK merci !
votre avatar
Hmmmm, qui met en place des systèmes qui poussent des modifications en prod sans aucun contrôle préalable ?!

Je vais être le premier à dire que la sécurité c'est primordial, notamment faire rapidement les mises à jour, mais rien ne doit être poussé en prod sans contrôle !
votre avatar
Et un vendredi en plus !!
votre avatar
Je vais te dire: tout le monde :p Suffit de voir le nombre de boîtes impactées.
Le truc c'est que le Falcon Agent c'est un peu comme un "antivirus" donc c'est CrowdStike qui "pousse" les maj et pas le client qui les "tire". Quand ça marche bien c'est très bien, quand ça foire ... ça foire très bien aussi :p
votre avatar
Pourquoi le fait que ce soit un EDR voudrait forcément dire que le client ne doit avoir aucun contrôle sur le déploiement des mises à jour ? Sur un environnement desktop, pourquoi pas, mais clairement sur des serveurs c'est inacceptable. Surtout qu'à priori là c'est pas juste une mise à jour des signatures de virus et/ou règles de détection heuristique, mais une mise à jour du moteur de l'EDR lui-même (vu qu'un fichier sys est concerné, je dirais le "pilote" qu'ils utilisent pour s'interfacer avec le kernel).
votre avatar
Non c'est pas un driver, ça a été expliqué dans la description du problème, le fichier a une extension .sys mais n'est justement pas un driver, c'est juste un fichier de données (je ne fais que citer CrowdStrike là évidemment).
votre avatar
Je partage ton avis mais la réalité que je vois au quotidien n'est pas celle-là. Faire des tests en amont, cela coûte cher : Il faut avoir un environnement de tests qui est rarement gratuit et du personnel pour réaliser ces tests avant le déploiement en production et maintenir l'environnement de tests pour qu'il reste représentatif de la production.

Après, dans les sociétés impactées, il y en a beaucoup qui doivent avoir les moyens de réaliser cela, or celà n'a pas été fait (peut-être une impossibilité dans CrowdStrike d'après certains commentaire).

Moi, ce qui me surprend, ce n'est pas que Windows plante. Comme indiqué, c'est le pendant d'un driver de bas niveau si celui-ci est défectueux.
Là, c'est plutôt que ce drivers plante en lisant une base de définition qui m'interpelle. Cette base aurait pu être corrompue par d'autres moyen qu'une mise à jour et donc les développeurs auraient dû prévoir ce cas dans leur logiciel.
votre avatar
" Il faut avoir un environnement de tests qui est rarement gratuit et du personnel pour réaliser ces tests"

Oui ça coute de l'argent de bien faire les choses. Ça coute combien quand on fait mal les choses et qu'on se prend ce genre d'incident dans les dents ?

"Cette base aurait pu être corrompue par d'autres moyen qu'une mise à jour et donc les développeurs auraient dû prévoir ce cas dans leur logiciel"

Alors, le mauvais développeur, on lui donne des specs, et il code. Alors que le bon développeur, tu vois, on lui donne des specs et il code, mais c'est un bon développeur.

Plus sérieusement, il y a clairement eu des lacunes côté dev et QA. Mais bon tu comprends, les tests unitaires c'est chiants.
votre avatar
CrowdStrike : -14% en pré-market à la Bourse :stress:
Microsoft : -2%


Microsoft a une part de responsabilité importante dans ce fiasco. La solution manuelle de restauration n'est pas au niveau attendu pour une telle entreprise.
votre avatar
En quoi c'est la faute de MS si les boites n'ont pas de PRA ?
votre avatar
C'est la faute de MS d'avoir un OS qui plante aussi violemment juste parce qu'un outil est défectueux.
votre avatar
On parle d'un outil qui va toucher au kernel. N'importe quel OS va planter sévèrement si un outil buggé va foutre le bordel dans le noyau. Apparemment tu n'as jamais vu de kernel panic sous Linux, mais je peux te garantir que c'est bien réel.
votre avatar
Je ne suis pas certain que ça soit la faute de Microsoft.

L'outil surveille un peu tout ce qui se passe sur les machines :

*Les adresses locales et externes auxquelles l’hôte est connecté
Tous les comptes utilisateur qui se sont connectés sur site et à distance
Un résumé des modifications survenues au niveau des clés ASP, des fichiers exécutables et de l’utilisation des outils d’administration
L’exécution des processus
Des informations récapitulatives et détaillées sur l’activité réseau associée aux processus, notamment les requêtes DNS, les connexions et les ports ouverts
La création de fichiers d’archives, notamment aux formats RAR et ZIP
L’utilisation de supports amovibles*

Pour pouvoir faire ça, il faut des droits importants au niveau de la machine. Comme la solution pour supprimer le problème est de supprimer un fichier .sys, on en conclut qu'ils ont développé un driver Windows faisant cela et que c'est lui qui génère un BSOD. De toute façon, il me semble qu'il n'y a que les drivers qui génèrent des BSOD.
Je ne suis plus/pas trop au courant de ce qui est exigé de la part de Microsoft pour la certification des drivers et c'est peut-être là la faiblesse chez eux, mais un driver de ce type (qui ne gère pas forcément du matériel, c'est un peu complexe à qualifier pour Microsoft ; c'est donc à celui qui le fournit de le qualifier sérieusement.
L'idéal serait que Microsoft offre des services pour les applis de ce type pour accéder aux données et interdise ce genre de driver, un peu comme les antivirus s'appuient maintenant sur des services Windows.
votre avatar
"Je ne suis plus/pas trop au courant de ce qui est exigé de la part de Microsoft pour la certification des drivers...".

Je ne sais pas non plus, mais qqsoit la couverture de test (jamais 100%) simplement avoir prévu un mécanisme de probation (par exemple ne pas avoir une poignée de redémarrages impromptus consécutifs suite à un problème kernel bloquant) qui, s'il n'est pas atteint, va provoquer un retour à l'état antérieur à la dernière mise à jour de manière automatique c'est pas non plus le Pérou! En fait, dans l'embarqué tout le monde fait cela...
votre avatar
Le SPOF qui met en carafe l'OS complet, c'est une responsabilité de Microsoft.
Tout comme l'étaient les BSOD à cause des drivers mal codés en 1998.

L'impréparation des services IT est également en cause oui, et bien évidemment CrowdStrike en 1er lieu.
votre avatar
Non, le SPOF ici c'est Crowdstrike. Le problème c'est les gars qui déploient des outils qui touchent au noyau, et ensuite n'assure aucun contrôle sur les mises à jour, les poussant allègrement en prod sans contrôle.
votre avatar
Je pense que beaucoup n'avaient pas conscience de ce qu'ils installaient.

Remarque : comme c'est une solution cloud, je ne suis même pas sûr qu'il soit possible de gérer soi-même les mises à jour.
votre avatar
Alors, d'expérience dans ma boite, comme on a déjà été confronté a des problèmes de compatibilité entre Crowdstrike et certains outils métiers, l'admin a la possibilité de bloquer la maj de l'EDR, de downgrader un client par exemple, de laisser xxx postes clients dans une certaine version, etc.
votre avatar
C'est en effet le problème de base, mais les contrôles ne devraient être que la 1ère lame du rasoir. Un mécanisme de probation suite à MAJ assurant au besoin un retour automatique à l'état antérieur devrait être la seconde.
votre avatar
Pourquoi ce serait à MS de prévoir ce type de mécanisme ? Si des gens veulent aller bidouiller le noyau, c'est à eux de prendre leurs responsabilités.

Depuis pas mal d'années, les seuls vrais moyen d'avoir des BSOD c'est soit un problème matériel, soit un soft buggé avec accès noyau, souvent des drivers (et encore, de nos jours beaucoup de drivers ne tourne même plus en kernel-space, mais en user-space, et d'ailleurs ça a gueulé quand MS a mis ça en place).

SI sur un système Linux tu vas modifier le système pour charger un module noyau buggé qui cause des kernel panic, il va pas se retirer tout seul non plus. Il va falloir booter en init 1 et virer le module. Et à aucun moment ce ne serait la faute des dev du kernel Linux, juste du dev du module et du gars qui l'a déployé.
votre avatar
Car c'est eux qui font l'OS/plateforme sur lequel tout ceci tourne. Tu n'as pas un système embarqué un peu sérieux, pourtant bien plus contraint matériellement qu'un serveur ou même le moindre PC, qui n'intègre pas ce type de mécanisme.
votre avatar
Pourquoi tu te mets à parler de systèmes embarqués, alors que ça n'a absolument rien à voir ? (encore que, il y a bien eu au moins une update OTA de Tesla qui a brické des voitures, donc bon, c'est peut-être pas si différent ?)

Oui il y a des ES qui ont des double bootrom, et qui switchent en cas de souci, mais ce n'est pas non plus la norme.

Les gars de Crowdstrike ils font mumuse avec le noyau, et ce serait à Microsoft de prévoir des garde-fous dans le noyau au cas où ils se plante ? Ce que Microsoft a fait c'est de virer du kernel-space tout ce qu'ils ont pu (et les gens étaient pas content), et c'était la bonne chose à faire. Pour ceux qui doivent rester en kernel-space pour des raisons d'accès spécifiques et/ou de performances, ils ont mis en place la certification WHQL. Après, quand on touche au noyau, ça reste toujours risqué.

Je veux bien que tu me donnes un exemple d'OS serveur qui serait capable de se sauver tout seul si la même chose arrivait. Clairement Linux ce n'est pas le cas, macOS ça fait longtemps que je ne m'y intéresse plus, mais de mémoire ce n'était pas le cas (il me semble avoir lu ailleurs dans les commentaires qu'ils n'autorisent juste plus les kernel extensions, à vérifier).
votre avatar
- Les services IT sont le plus souvent dépendants de la direction de leur structure qui peut ne pas financer les infras nécessaires à avoir un PRA, voire un PCA.
- Un PRA n'est pas un PCA ; dans une telle situation, la reprise d'activité est quasi garantie à moyen terme et "quelques heures/jours" ça peut être un risque accepté par la direction.
- Même un bon PRA/PCA peut ne pas suffire dans une telle situation ; typiquement, si la sauvegarde est gérée par une infra MS (avec Veam ou une autre solution), rétablir les sauvegardes peut s'avérer compliqué si le système est dans une salle distante (voire nécessitant un processus avec des accréditations et des contrôles qui peuvent être contraints eux-mêmes pas la situation).
- Normalement, les clés de déchiffrement des serveurs critiques doivent être dans un coffre fort physique ; en pratique, c'est rarement le cas (ou il peut y avoir des soucis d'accès au coffre, surtout en période estivale ou de mid-year)
- Ici, j'ai envie de dire que le responsable est uniquement CrowdStrike. On peut imputer une partie de la responsabilité à MS pour ne pas avoir de mécanisme d'isolement, mais les solutions d'EDR sont parfois implantées dans le système avec des stratégies similaires à des rootkits, donc on est peut-être dans une situation où l'OS n'est pas en mesure de lever correctement les bonnes barrières (et peut-être que le BSOD/reboot est justement la seule barrière qui reste à l'OS pour se protéger et protéger le système)
votre avatar
Et même si PRA / PCA, je vois bien d'ici que toutes les machines y compris les env PRA ont le même EDR... on ne va pas payer 2 solutions... donc quand l'EDR fait planter l'OS, ça marche aussi sur les serveurs PRA qui ont mangé la même mise à jour :)
votre avatar
Absolument. Après, on peut remettre en question beaucoup de choses en lien avec cette mode des EDR supervisés par des tiers ; que ce soit comme ici avec une stratégie de mise à jour non contrôlée par les clients, mais aussi et surtout sur le fait qu'on laisse une entreprise extérieure avec un accès de supervision à l'ensemble du parc, y compris des services stratégiques. Et que le modèle même de l'EDR décentralisé implique l'envoi de données vers l'extérieur pour faire de l'analyse.
C'est problématique à bien des niveaux (sécurité de l'infra, sécurité des données de l'entreprise, problèmes relatifs à la vie privée des employés...).
Les solutions d'EDR internalisables sont moins courantes (et nécessitent une équipe de supervision connectée de façon permanente, ce que les entreprises ont du mal à assumer).
votre avatar
je rajoute qu'un EDR on-premise coûte un rein en hardware... Et peu de société le propose (de mémoire peut-être Harfanglab en France, car oui, il y a un EDR Français)
votre avatar
Le sous-titre :bravo:
votre avatar
CrowdStrike c'est juste un antivirus avec des fonctions un poil avancées (genre heuristique sur les paquets réseaux) en fait ?
Ça concerne uniquement les clients ou les Windows servers sont aussi touchés ?
votre avatar
De ce que j'ai pu en lire jusque-là, les clients et les serveurs sont impactés. :/
votre avatar
ça concerne toutes les machines Windows, que ce soit serveur ou workstation
votre avatar
En même temps, le serveur est un client Windows comme un autre, la différence c'est juste le prix de la licence :yes:
Généralement tu balances juste des stratégies différentes sur Desktop / Laptop / Serveur..
votre avatar
non c'est pas un antivirus, mais un EDR c'est différent.
l'EDR fait de l'analyse comportementale pour remonter des actions suspectes sur un PC (genre ouvrir tous les fichiers excel et remplacer le contenu par autre chose en 3sec), exécuter des scripts en admin allant télécharger du code sur internet etc..
votre avatar
Justement c'est pas comme les options "heuristique" des antivirus (qui existent depuis plus de 10 ans) ?
Je sais aussi que mon Sophos (pro) par exemple à une partie EDR.
Bref les différences me paraissent pas super claires.
votre avatar
Les heuristiques ont plus de 20 ans même :)
Pour l'EDR, c'est probablement une évolution "spécialisée" de cette fonction tout en ajoutant de de nouveaux services.

on tend à séparer les fonctions antivirus et annexes pour mieux vendre plusieurs produits :)

trouvé dans les liens sources de wiki
Antivirus and Anti-malware: Traditional and next-gen solutions to detect and eliminate malicious software.
Endpoint Detection and Response (EDR): Tools that provide continuous monitoring and response to advanced threats.
ceci dit il n'y a pas que Crowstrike dans le monde de l'EDR... Qualys, fireeye, même Trend
votre avatar
C'est expliqué ici : https://www.orangecyberdefense.com/fr/solutions/protection-des-mobiles-et-des-endpoints/endpoint-detection-and-response-pourquoi-ledr un EDR réagit avant que le virus arrive sur la machine et peut détecter l’exploitation de commandes en powershell
votre avatar
AV, EDR, XDR... tout ça c'est juste de la sémantique pour les gens du marketing. Le point important ici c'est que ces outils ont besoin de s'interfacer de près avec l'OS pour assurer leurs fonctions de détection, et ça ça veut dire qu'au moins une partie du produit tourne en kernel-space.

C'était moins le cas avec les AV "à l'ancienne" qui se contentaient de scanner les fichiers et comparer leurs signature avec une base de données, mais avec la multiplication des méthodes de détection, et les actions de réponse aux détections, les outils interagissent de plus en plus avec le noyau pour récupérer les infos dont ils ont besoin, et effectuer les actions de blocage des menaces.
votre avatar
Merci de vos réponses, je vais checker vos liens ;)
votre avatar
Moi ce qui mon gonfle, c'est le MS baching alors que MS n'est pas en cause ...
Coucou @sebsauvage https://sebsauvage.net/links/?v1ki1w 😋
votre avatar
Sauf que Windows ne devrait pas planter aussi violemment juste parce qu'un outil est défectueux.
Même si MS n'est pas la cause principale, Windows montre une fragilité là.
votre avatar
Ben ... quand l'outil touche au noyau, au bout d'un moment, ça peut plus être contrôlé par MS ...
Comme déjà dit plus haut, c'est pas spécifique à Win, les Kernel Panic sous Linux, ça existe aussi ...
votre avatar
Cela arrive sous Linux, mais à part ceux qui développent des modules noyau qui en voit dans la vraie vie, même si chez Microsoft cela est tout de même devenu rare comparé au passé (ils ne pouvaient que faire mieux, ceci dit)?

Tout ce qui remonte upstream (l'immense majorité de ce qui existe) est quand même bien contrôlé et au niveau source car c'est une boite-blanche, pas juste du test comme dans un modèle boite-noire/sources-fermés.

Certes, il est possible de coder et même distribuer (tant qu'on n'utilise pas du EXPORT_SYMBOL_GPL) ses modules noyau fermés pour Linux, mais on a alors un joli "kernel tained" dans le tampon de message au boot et bon courage pour obtenir de l'aide avec cela! Ce sera demerden zizich...
votre avatar
C'est pour ce genre de choses qu'Apple n'autorise plus les modules kernel tiers depuis plusieurs années maintenant, mais autorisent uniquement les extensions en "user land" :

https://support.apple.com/fr-fr/guide/deployment/depa5fb8376f/web


Donc si c'est la faute à Microsoft de continuer à permettre ce genre de choses… Là pour des raisons de sécurité (ou contre la triche pour les jeux vidéos).
votre avatar
Drôle de raisonnement. Si une voiture permet de dépasser des limitations de vitesse, ce n’est pas parce que tu te mets dans un mur à 180km que ce sera de la faute du constructeur.

Alors oui, on peut aussi tout bloquer tout interdire, ca limite les risques.

Et clairement, j’ai du mal à comprendre cette notion de toute de suite comparer à Linux ou Mac OS, comme si ces deux n’avaient pas aussi leurs propres problèmes. Et clairement si Mac OS avait 78% de PDM sur son domaine, Apple découvrirai plein de problématiques et ferait surement des choix différents, qui sait..
votre avatar
180€, il n'est pas cher le mur ... ou c'est un tout petit mur
votre avatar
:mrgreen: :mrgreen:
En effet, merci j'ai corrigé.
votre avatar
"un mur à 180€"? Pas cher ton maçon!

Rappel historique:
1) Billy-Bug-Gates au Comdex 1998:

"Si General Motors avait eu la même progression technologique que l’industrie informatique, nous conduirions aujourd’hui des autos coûtant 25 dollars et qui parcourraient 1000 miles avec un seul gallon d’essence."

2) Réplique du PDG d'alors de GM:

"Si General Motors avait développé sa technologie comme Microsoft, les voitures que nous conduirions aujourd’hui auraient les propriétés suivantes :
-Votre voiture aurait un accident sans raison compréhensible 2 fois par jour.
-Chaque fois que les lignes blanches seraient repeintes, il faudrait racheter une nouvelle voiture.
-Occasionnellement, une auto quitterait l’autoroute sans raison connue [1]. Il faudrait simplement l’accepter, redémarrer l’auto et reprendre la route.
-Parfois, lors de manoeuvres particulières, comme par exemple prendre une courbe a gauche, l’auto ferait un simple tout droit puis refuserait de repartir. Pour cela, il faudrait procéder à un échange standard du moteur.
-Les autos ne seraient livrées qu’avec un seul siège, car il faudrait choisir entre "Car95" et "CarNT". Chaque siège supplémentaire devrait être commandé à l’unité.
-Macintosh développerait des voitures fonctionnant à l’énergie solaire, fiable, cinq fois plus rapides et deux fois plus légères. Mais elles ne pourraient emprunter que 5% des routes.
-Les témoins d’huile, de température et de batterie seraient remplacés par un unique témoin "Défaillance Générale". Les sièges exigeraient que chaque passager ait la même taille et le même poids.
-L’airbag demanderait "Êtes-vous sûr ?" avant de s’ouvrir. Occasionnellement la condamnation centralisée de la voiture se bloquerait. Vous ne pourriez alors la rouvrir qu’au moyen d’une astuce, comme par exemple simultanément tirer la poignée de porte, tourner la clé dans la serrure et d’une autre main attraper l’antenne radio.
-General Motors vous forcerait à acheter avec chaque voiture un jeu de cartes routières Deluxe de la société Rand McNally (depuis peu filiale de GM), même lorsque vous ne souhaitez pas ou n’avez pas besoin de ces cartes. Au cas ou vous ne prendriez pas cette option, la voiture roulerait 50% moins vite (au mieux). A cause de cela, GM deviendrait une cible fréquente de procès.
-A chaque fois que GM sortirait un nouveau modèle, chaque conducteur devrait réapprendre à conduire, car aucune des commandes ne fonctionnerait exactement comme dans les modèles précédents.
-Enfin, il faudrait appuyer sur le bouton "Démarrer" pour stopper le moteur."

:kill:

Bon, vu ce que deviennent les bagnoles avec Tesla qui fait de véritables dumb-phones sur roues... les temps changent! Ta bagnole te mettra toute seule dans le mur, idéalement sans te laisser une chance (qui peut se jouer en quelques dixièmes de secondes) de reprendre la main.
votre avatar
C'est juste un troll qui répond a un autre troll. Mais j'ai bien aimé la réponse quand même ;)
votre avatar
Ce n'est pas comparable, Apple supporte un nombre limité de machines.
La plupart des autres OS (Windows, Linux et autre) sont plus permissifs sur ce que tu peux installer, mais cela implique d'être plus responsable sur ce qu'on installe.
votre avatar
Vu la cata d'aujourd'hui, il y a de grandes chances que Microsoft durcisse le ton sur les modules kernel…
votre avatar
C'est clair, ils doivent pouvoir créer une image OS par modèle supporté chez Apple. Ca fera quoi? 100, 200 images?
votre avatar
J'ai entendu l'info sur RFI : "panne informatique mondiale en cause microsoft met à jour un antivirus"
votre avatar
C'est là que le déploiement par lot est intéressant pour éviter ces problématiques.
N'empêche que CrowdStrike qui ne test pas ses produits c'est complétement fou !
Les conditions pour que la panne survienne ne semblent pas être si complexes que ça, ce qui rend la situation encore plus dommageable pour l'entreprise de l'EDR.

La communication du PDG me semble vraiment pas super. Préciser que c'est dans une seule mise à jour, sonne comme un "On reste bon puisque ça n'arrive que sur une mise à jour".
votre avatar
C'était la surprise du matin chez nous, et évidemment pas possible de faire une automation, donc mode sans echec / suppression fichier alakon à la main sur chaque serveur...

Et on est content de pas avoir Crowdstrike sur nos PC, uniquement sur les serveurs...

Bon, on va devoir changer d'EDR en tout cas, ils vont pas survivre à cela :D
votre avatar
ils le disent sur leur site en tout cas, il fallait juste inclure leur EDR dans la liste :transpi:

image
votre avatar
votre avatar
ça s'appelle faire un perfect :D
votre avatar
Ce KO mondial met en lumière que l'on mets tout nos oeufs dans le même panier. Si on avait plus de diversité de système, le KO serait moins impactant.

On voit les limites d'un réseau homogène. C'est tout ou rien. On diversifie ou on utilise le meêm produit pour tout
votre avatar
Homogène faut pas abuser, y'a aussi tout un tas de services qui continuent leur vie. Ceux sous Linux, ceux qui utilisent d'autres solutions de sécurité... Et globalement, on a de plus en plus de déploiements par vagues justement pour éviter ça (Android, Windows, Tesla, etc.).

Sans minimiser le raté monumental de CrowdStrike sur ce coup, qui doit bien faire payer cher sa solution, dans le cas d'une protection antivirus EDR, on peut aussi considérer qu'un déploiement rapide est parfois nécessaire. Une fois que t'as identifié une menace, difficile de se dire qu'on va attendre 3 mois pour déployer sur l'ensemble des postes protégés !
Évidemment, ça n'empêche pas que le truc doit être testé avant.
votre avatar
Nous on est bloqué depuis ce matin au boulot. Déjà qu'il y a quelques semaines, CrowdStrike provoquait des monstres ralentissement sur les PC et qu'il fallait surtout pas redémarrer le PC sinon c'était pire...
votre avatar
Pareil de notre côté, la clim tournait plus fort parce que tous les pc étaient à fond et chauffaient.
votre avatar
Au moins, c'est un EDR efficace ! Une machine tankée est une machine sécurisée.
votre avatar
:dix:
votre avatar
Ca me rappelle le Bitdefender Epic Fail of 2010 tout ça :windu:
votre avatar
Une bonne heure pour "patcher" les serveurs ce matin :D Vive l'IT
Et oui, on se demande comment un truc pareil a pu passer ...
votre avatar
Pour celles et ceux qui pensent que Windows c'est de la merde et ne devrait pas planter sans vraiment savoir comment Crowdstrike s'immisce dans le système, je vous invite à voir ce qui se passe sous Linux :
- https://access.redhat.com/solutions/7068083
- https://forums.rockylinux.org/t/crowdstrike-freezing-rockylinux-after-9-4-upgrade/14041

Bref, Linux, c'est aussi de la merde codé avec les pieds ^^

(ce troll est sponsorisé par Trolldi, le jour où le troll est permis \o/)
votre avatar
Faudra expliquer ça à Mr Mélenchon ...

« Microsoft équipe des armes françaises et le ministère de la Défense. Tout va bien ? Vous comprenez enfin ce que veut dire indépendance nationale et souveraineté ? », s’est par exemple insurgé Jean-Luc Mélenchon sur X
votre avatar
Nan mais si les politiques si connaissaient :
1) ça se saurait
2) on n'aurait jamais eu le pare feu OpenOffice :non:

[edit]
Pour être sérieux 2min (promis, pas plus) :
- une solution souveraine n'aurait pas empêché ce type d'incident de survenir
- un problème survenant n'aurait alors touché que la France, pas le reste du monde.

Le côté souverain n'aurait protégé de rien du tout ici
votre avatar
Ca c'est parce que personne au Ministère des Armées n'a lu la licence de Windows.
La licence de Windows interdit l'usage de Windows pour commander une arme.

Et quand on sait que des systèmes de défense du porte avion Charles de Gaulle sont contrôlé par des ordinateur sous Windows, ca laisse rêveur.

- Chef, y a un missile qui se dirige vers nous.
- M'embête pas je dois redémarrer Windows après une mise à jour .....

Scène fictive. Toute ressemblance .....
votre avatar
J'ai bien aimé la réponse du ministre des Armées.
votre avatar
J'ai cru que les OS autres que Windows n'étaient pas touchés.
Apparemment ça dépend des dates, certaines maj plantent certain OS.
votre avatar
Vendredi miam !
Lu sur leur site https://www.crowdstrike.com/fr-fr/
62 minutes suffisent pour mettre votre entreprise à terre.
Même pas des Russes, je suis déçu
Et un petit pour la route:
https://framapiaf.org/@bronco/112812608310071326
votre avatar
I was Here !

Vécu de l'intérieur ce matin vers 06h30. Je bosse dans une chaine TV. Quand la régie finale m'a appelé et que je vais vu le carnage :eeek2: Mon état mental oscillait entre :eeek2: et :mdr2: car je ne pouvais strictement rien faire :fumer:
votre avatar
C’est un IA qui a contrôlé et poussé l’update vérolée ?
votre avatar
c'est un ingénieur d'une SSII française qui rencontre un ingénieur Microsoft. Il
discutent 'Techniques de développement'.

Le premier dit au second 'Moi, ça me coûte un fric et un temps fou de tester mes
logiciels avant de les commercialiser'.

L'ingénieur Microsoft lui réponds 'Tu testes tes logiciels toi-même ? T'as pas
de clients pour faire ça ?'
votre avatar
free/net/openBSD, grands oubliés de ce nouveau jour ferié..
votre avatar
J'ai passé une matinée sympa à passer sur tous les serveurs et supprimer le fichier .sys. :D
L'arrivé au taf à 7h30 avec toutes les VMs KO, j'ai adoré !
votre avatar
Ahaha, ça met un peu d'action dans la routine quotidienne... :)
votre avatar
ouais c'est clair mdr
surtout qu'à la base, je savais pas si c'était une panne de courant, un ransomware, ou autre.

c'est un collègue qui regarde l'erreur, voit le pilote en cause et me dit " ah mais c'est Crowdstrike, ma femme a ça mais pas sur un serveur mais sur son PC" et ensuite on a réalisé que c'était mondial.
votre avatar
Les sociétés de sécurités jouent gros quand leur réputation est mise en jeu.

Les conséquences prévisibles :
- CrowdStrike va être attaqué pour obtenir des réparations
- Des DSI vont changer de fournisseur rapidement
- Pour une partie de celles qui ne veulent pas le faire, la direction exigera un changement de fournisseur.
- Leur cours de bourse va baisser ces prochains mois quand les conséquences inéluctables pour CrowdStrike apparaitront plus clairement aux investisseurs et ils finiront racheté pour une poignée de dollars.

Pourquoi ? Parce qu'ils ont déployé chez tous leurs clients une mise à jour pas testée.

Au final il risque d'y avoir un changement sur l'acceptabilité de ce que peux faire les solutions de sécurité.
votre avatar
Il se peut que la concurrence de CrowdStrike décide de rendre le 19/07 comme jour de fête en récupérant la base clientèle, R&D et Ops.
Humm attention, certains pourraient dire "Finalement, à qui profite le crime?"! ;)
votre avatar
La misère… ça pouvait difficilement tomber à pire moment…
Chez nous, tous nos postes clients et serveurs sont protégés avec bitlocker (clés en bdd mecm) et laps.

On a des milliers de postes clients touchés dont
des centaines postes isolés tournant dans des centres commerciaux avec personne pour aller virer le driver sys.
Juste avant un week-end on va perdre un max d’argent…

Plein de nos sites de production à l’arrêt avec leurs IT partis en vacances.

Et même sur nos sites commerciaux, avec tous les teletravailleurs et it en vacances ça va être une misère à organiser (coucou Paris avec les JO et le télétravail obligatoire jusqu’a fin août…)

Pour l’instant on a réussi à by-pass bitlocker en faisant démarrer les postes clients en recovery et en modifiant le démarrage avec bcdedit mais même comme ça je vois ps trop comment nos supports vont organiser ça avec nos utilisateurs…(surtout avec nos politiques de génération de mdp laps claquées du fion)

Sinon, on a eu aussi des milliers de serveurs impactés avec qqs serveurs physiques également sans idrac et sans IT non plus <3

Un régal.

PS: ceux qui s’étonnent que les maj soient poussées automatiquement sur l’ensemble des potes d’une entreprise, on parle pas ici de pousser la maj d'un client hein, on parle de maj des bases.
votre avatar
En lisant ton commentaire, c’est comment dire… assez, complètement irréel … ou comment un p’tit technicien avant de quasiment partir en week-end envoie une update de base de définition de virus, fichier simplement mal formaté et arrive à fracasser une partie de l’économie mondiale, ou en tout cas, à lui en coller une bonne belle claque dans la tronche…

Même les scénaristes d’Hollywood n’auraient sûrement pas imaginé une histoire aussi abracadabrantesque et hors sol…
La réalité a dépassé la fiction ici… :mdr2:
.
votre avatar
En parlant de truc mal formaté, rien de neuf ici… Je me rappelle fin des années 90, sur une HP 48G (calculatrice scientifique qui coûtait environ 200€ @ 2024-inflation, utilisée surtout en prépa), remplie de fonctions mathématiques.

Certaines fonctions avaient une parenthèse "(" dans le début de la fonction de maths de pré-affiché… Si on avait le malheur de finir l’expression avec un ], là c’était blocage complet et hard/factory reset (soit en une seconde seulement des heures évaporées à rentrer à la main toutes les formules de maths/physiques de 2 années de cours).

J’avais montré le bug à un camarade de classe sur sa HP, ben il n’avait pas aimé, mais alors vraiment pas du tout… le factory reset...
:mdr2:
.
votre avatar
L'amstrad CPC avait un bug dans sa rom, pour une des fonctions du basic il ne fallait pas fermer la parenthèse.
Amstrad a tout géré à la Amstrad: correction (manuelle au début) du mode d'emploi pour l'indiquer.
votre avatar
Ah ? C'était quoi ? Quelle version ? J'ai eu un CPC 6128 et pas de souvenir de ce bogue, que ce soit sur la machine ou dans le manuel.
votre avatar
Je ne connaissais pas ... Et pourtant ancien possesseur d'un CPC 464 à cassette mais ... à écran couleur :francais:
votre avatar
La ROM du 464 a plusieurs bug dans son Basic (version 1.0) , je pense qu'ici tu fais référence à l'instruction DEC$ qui réclame deux parenthèses ouvrantes dans cette version.
votre avatar
Ouiiii, merci!!! Je ne retrouvais plus :) Je savais que c'était une instruction genre DEC mais je n'ai pas le mode d'emploi papier sous la main.
votre avatar
tout le monde se souvient : en 2011, blackberry avait subi une lourde panne aussi :
en.wikipedia.org Wikipedia
des millions d'appareils touchés, pendant des heures.
le PDG avait carrément fait des excuses publiques sur youtube à l'époque.
pas mieux que bitdefender en l'année d'avant..
votre avatar
votre avatar
L'outil s'installe sur une clé USB et il faut booter dessus et si besoin entrer la clé bitlocker pour déchiffrer le disque. Ça aide un peu : ça évite de lancer l'explorateur de fichier pour détruire le fichier .sys après l'avoir trouvé, mais ça reste très manuel comme outil.
votre avatar
Oui c'est qu'une winpe avec un prompt de bitlocker et un "DEL" intégré... ça a l'avantage de pouvoir faire gagner 20% de temps (pas à lancer l'explorateur et à chercher le fichier et le péter)
il y a surement la version de la N*A avec bypass bitlocker, mais ils se sont dit que diffuser la clé magique qui déverrouille tous les disques ça la foutait mal :D
votre avatar
Bref, un bon virus aurait fait autant de dégâts (voire moins).
votre avatar
"autant de dégats" que quoi ? que la winpe faite vite-fait par MS pour semi automatiser les taches de recovery quand tous les pc sont plantés ?

Panne et paralysie mondiale : une mise à jour CrowdStrike provoque des bugs en cascade

  • De très nombreuses structures touchées

  • CrowdStrike au courant, un début de solution

  • Comment en est-on arrivés là ?

Fermer