La mise à jour défectueuse de CrowdStrike a provoqué une catastrophe technologique mondiale qui a affecté 8,5 millions d’appareils Windows vendredi, selon MicrosoftMicrosoft affirme que cela représente « moins d’un pour cent de toutes les machines Windows », mais cela a suffi à créer des problèmes pour les détaillants, les banques, les compagnies aériennes et de nombreuses autres industries, ainsi que pour tous ceux qui en dépendent.
La décomposition de CrowdStrike explique le fichier de configuration qui était au cœur du problème :
Les fichiers de configuration mentionnés ci-dessus sont appelés «Fichiers de chaîne » et font partie des mécanismes de protection comportementale utilisés par le capteur Falcon. Les mises à jour des fichiers de canal font partie intégrante du fonctionnement normal du capteur et se produisent plusieurs fois par jour en réponse aux nouvelles tactiques, techniques et procédures découvertes par CrowdStrike. Il ne s’agit pas d’un nouveau processus ; l’architecture est en place depuis la création de Falcon.
CrowdStrike a expliqué que le fichier n’est pas un pilote de noyau mais qu’il est responsable de « la façon dont Falcon évalue l’exécution du pipeline nommé1 sur les systèmes Windows ». Patrick Wardle, chercheur en sécurité et fondateur d’Objective See dit que l’explication correspond à l’analyse antérieure que lui et d’autres ont fournie sur la cause du crash, car le fichier problématique « C-00000291- » a déclenché une erreur logique qui a entraîné un crash du système d’exploitation » (via CSAgent.sys).
D’autres extraits du blog de CrowdStrike expliquent plus en détail ce qui s’est passé :
Le 19 juillet 2024 à 04h09 UTC, dans le cadre des opérations en cours, CrowdStrike a publié une mise à jour de configuration des capteurs pour les systèmes Windows. Les mises à jour de configuration des capteurs font partie intégrante des mécanismes de protection de la plateforme Falcon. Cette mise à jour de configuration a déclenché une erreur logique entraînant un crash système et un écran bleu (BSOD) sur les systèmes concernés.
Et quels systèmes ont été touchés et quand :
Les systèmes exécutant le capteur Falcon pour Windows 7.11 et versions ultérieures qui ont téléchargé la configuration mise à jour entre 04h09 UTC et 05h27 UTC étaient susceptibles de subir un crash système.
Les mises à jour des fichiers de canal de CrowdStrike ont été transmises aux ordinateurs sans tenir compte des paramètres destinés à empêcher ces mises à jour automatiques, Wardle a noté.