mardi, novembre 19, 2024

97 % des systèmes CrowdStrike sont de nouveau en ligne ; Microsoft suggère des modifications à Windows

Agrandir / Une mauvaise mise à jour du logiciel de sécurité Falcon de CrowdStrike a fait planter des millions d’ordinateurs Windows la semaine dernière.

Grève de foule

Le PDG de CrowdStrike, George Kurtz, a déclaré jeudi que 97 % de tous les systèmes Windows exécutant son logiciel de détection Falcon étaient de nouveau en ligne, une semaine après qu’une panne liée à une mise à jour du logiciel de sécurité de l’entreprise a retardé des vols et mis hors service les systèmes d’intervention d’urgence, entre autres perturbations. La mise à jour, qui a provoqué l’apparition du redoutable écran bleu de la mort et le redémarrage des PC Windows, a affecté environ 8,5 millions de systèmes selon le décompte de Microsoft, laissant environ 250 000 systèmes qui doivent encore être remis en ligne.

Le vice-président de Microsoft, John Cable, a déclaré dans un article de blog que la société avait « engagé plus de 5 000 ingénieurs de support travaillant 24 heures sur 24, 7 jours sur 7 » pour aider à nettoyer le désordre créé par la mise à jour de CrowdStrike et a fait allusion à des changements Windows qui pourraient aider, s’ils ne se heurtent pas aux régulateurs, en tout cas.

« Cet incident montre clairement que Windows doit donner la priorité au changement et à l’innovation dans le domaine de la résilience de bout en bout », a écrit Cable. « Ces améliorations doivent aller de pair avec les améliorations continues en matière de sécurité et se faire en étroite collaboration avec nos nombreux partenaires, qui se soucient également profondément de la sécurité de l’écosystème Windows. »

Cable a cité les enclaves VBS et Azure Attestation comme exemples de produits capables de sécuriser Windows sans nécessiter d’accès au niveau du noyau, comme le font actuellement la plupart des produits de sécurité basés sur Windows (y compris le capteur Falcon de CrowdStrike). Mais il n’a pas précisé quels changements spécifiques pourraient être apportés à Windows, se contentant de dire que Microsoft continuerait à « renforcer notre plateforme et à faire encore plus pour améliorer la résilience de l’écosystème Windows, en travaillant ouvertement et en collaboration avec la vaste communauté de sécurité ».

Lorsqu’il est exécuté en mode noyau plutôt qu’en mode utilisateur, le logiciel de sécurité a un accès complet au matériel et aux logiciels d’un système, ce qui le rend plus puissant et plus flexible ; cela signifie également qu’une mauvaise mise à jour comme celle de CrowdStrike peut causer beaucoup plus de problèmes.

Les versions récentes de macOS ont déconseillé les extensions de noyau tierces pour cette raison précise, ce qui explique en partie pourquoi les Mac n’ont pas été mis hors service par la mise à jour CrowdStrike. Mais les efforts passés de Microsoft pour exclure les sociétés de sécurité tierces du noyau Windows (le plus récent étant à l’ère de Windows Vista) ont été accueillis avec réticence par les régulateurs de la Commission européenne. Ce niveau de scepticisme est justifié, compte tenu du fait que Microsoft a (et continue) d’utiliser la position de marché de Windows pour promouvoir ses propres produits et services. Toute tentative actuelle de restreindre l’accès des fournisseurs tiers au noyau Windows serait susceptible de susciter un examen similaire.

Microsoft a également dû faire face à de nombreux problèmes de sécurité ces derniers temps, à tel point qu’elle a promis de restructurer l’entreprise pour faire de la sécurité une priorité.

Les conséquences de CrowdStrike

CrowdStrike a fait ses propres promesses à la suite de la panne, notamment des tests plus approfondis des mises à jour et un système de déploiement par étapes qui pourrait empêcher qu’un mauvais fichier de mise à jour ne cause autant de problèmes que celui de la semaine dernière. Le rapport d’incident initial de l’entreprise a souligné qu’une défaillance dans ses procédures de test était à l’origine du problème.

Pendant ce temps, la récupération se poursuit. Certains systèmes peuvent être réparés simplement en redémarrant, même s’ils doivent le faire jusqu’à 15 fois, ce qui permet aux systèmes de récupérer un nouveau fichier de mise à jour avant de planter. Pour les autres, les administrateurs informatiques doivent soit les restaurer à partir de sauvegardes, soit supprimer manuellement le fichier de mise à jour défectueux. Microsoft a publié un outil de démarrage qui peut aider à automatiser le processus de suppression de ce fichier, mais il faut toujours mettre la main sur chaque installation Windows affectée, que ce soit sur une machine virtuelle ou un système physique.

Les solutions de CrowdStrike n’ont pas toutes été bien accueillies. L’entreprise a envoyé des codes promotionnels UberEats de 10 $ pour couvrir le « prochain café ou le prochain en-cas de fin de soirée » de certains de ses partenaires, ce qui a provoqué quelques réactions négatives sur les réseaux sociaux (le code a également été brièvement inutilisable car Uber l’a signalé comme frauduleux, selon un représentant de CrowdStrike). Pour donner un peu de contexte, la société d’analyse Parametrix Insurance a estimé le coût de la panne pour les entreprises du Fortune 500 à environ 5,4 milliards de dollars.

Source-147

- Advertisement -

Latest