Cybersécurité, Virtualisation & Intelligence Artificielle... VIRTU-DESK - Technologies de virtualisation et sécurisation de l'environnement utilisateurs.

Le bug de CrowdStrike et son impact mondial

Francis MILLOT Par Le vendredi, 19 juillet 2024 0

Dans Divers

BugCe vendredi 19 juillet 2024, CrowdStrike, un leader mondial de la cyber, a été victime d’un incident qui a impacté la terre entière. En effet, une mise à jour de l'EDR Crowdstrike Falcon, installé et utilisant le système d’exploitation Microsoft Windows, a provoqué des pannes majeures à l'échelle mondiale, menant à des boucles de l'écran bleu de la mort (BSoD ou Blue Screen of Death), sur de nombreux systèmes.

Synoptique du déroulé de l’incident

Une pagaille planétaire...

  • Avions cloués au sol
  • Bourse, hôpitaux, banques, supermarchés et médias totalement perturbés
  • Des centaines d'entreprises font état de pannes ou de désorganisation.

Voici une très brève synthèse, une vue macro du synoptique du déroulé de l'incident, si l'on peut le résumer ainsi :

  1. Mise à jour problématique :
    • La dernière mise à jour du fichier csagent.sys de CrowdStrike a causé des boucles BSOD.
  2. Réaction rapide :
    • CrowdStrike a identifié le problème, supprimer le fichier défectueux et publir le correctif pour les systèmes touchés.
  3. Intervention manuelle nécessaire :
    • Pour certains systèmes, une intervention manuelle est nécessaire pour sortir de la boucle de crash.

La leçon à retenir

Pour une panne aussi banale, les répercussions sont spectaculaires... Cet incident, de portée mondiale, doit nous servir de leçon et doit nous faire prendre conscience qu’il ne faut rien laisser au hasard :

  1. Importance des tests :
    • Toujours effectuer des tests approfondis avant de déployer des mises à jour critiques pour éviter de tels incidents.
  2. Communication transparente :
    • Informer rapidement et clairement les utilisateurs affectés pour minimiser l’impact et maintenir la confiance.
  3. Réactivité et support :
    • Être prêt à fournir une assistance rapide et efficace pour résoudre les problèmes.

Les correctifs

Voici les solutions proposées par CrowdStrike qu’il faut appliquer pour corriger le problème :

  • Pour les machines physiques :
    • Démarrer Windows en mode sans échec.
    • Renommer ou supprimer le fichier problématique « C-00000291*.sys » dans le répertoire « C:\Windows\System32\drivers\CrowdStrike »
    • Redémarrez normalement l'ordinateur.
  • Pour les systèmes virtualisés :
    • Détacher de la machine virtuelle le disque sur lequel le système d'exploitation est installé, et en effectuer une copie par mesure de précaution.
    • Procéder au montage du disque sur une machine virtuelle saine
    • Renommer ou supprimer le fichier problématique « C-00000291*.sys », dans le répertoire « C:\Windows\System32\drivers\CrowdStrike »
    • Rattacher le disque sur la machine virtuelle affectée.
  • Pour les systèmes virtualisés dans le Cloud :

Le CERT-FR a publié un bulletin d’actualité (Panne informatique affectant les systèmes Microsoft Windows disposant de l'EDR Crowdstrike Falcon) reprenant les différents éléments dont il a connaissance et une première synthèse des recommandations. Ce dernier sera réactualisé en fonction des nouvelles informations dont disposera le CERT-FR.

L'éditeur a la parole «»...

Comble de l'ironie

Le 21 avril 2010, un incident d'ampleur similaire, lié également à une mise à jour du logiciel antivirus McAfee, avait paralysé des dizaines de milliers de postes de travail Windows. La mise à jour identifiait le fichier « svchost.exe » comme un dangereux virus et le mettait directement en quarantaine. Résultat des course : Plantage du PC et boucle de redémarrage infinie...

Et savez-vous qui était directeur technique monde et vice-président exécutif de McAfee à cette époque ? George Kurtz, le fondateur et CEO de CrowdStrike... Alors comble de l'ironie ou pas, j'espère juste que ce Monsieur fournit bien les moyens nécessaires à son service « validation logiciel » pour travailler sereinement.

En conclusion

A ce stade, l’hypothèse d’une attaque informatique est écartée. Selon l'ANSSI, aucun élément en l'état ne laisse penser à une cyberattaque, une conclusion que partagent le gouvernement britannique et l’agence de cybersécurité suisse. Malgré tout, ce type incident nous rappelle l'importance cruciale de la vigilance et de la préparation en matière de cybersécurité. Ce qui est sûr, c'est qu'une cyberattaque aurait pu donner le même résultat. En restant informés et prêts à réagir, nous pouvons mieux protéger nos systèmes et nos données, alors la question que l'on peut se poser c'est « ne faudrait-il pas anticiper des plans B dans de pareilles circonstances ? ».

Sources de ce billet.

Cybersecurité bug CrowdStrike Microsoft Windows

13 votes. Moyenne 5 sur 5.
Vous devez être connecté pour poster un commentaire