SPOF !
Une gigantesque panne affecte actuellement de nombreuses structures, y compris de grosses entreprises, des aéroports et des hôpitaux. En cause apparemment, une mise à jour des logiciels de cybersécurité de CrowdStrike. Elle provoque des écrans bleus sur les machines équipées de Windows, ainsi que des redémarrages en boucle.
Partout dans le monde, des entreprises et autres structures rapportent être partiellement ou totalement bloquées. Une cyberattaque ? A priori non. Le problème vient d’une mise à jour déployée par CrowdStrike pour son EDR (détection et intervention sur les points de terminaison) Falcon Sensor. Des banques, des aéroports, des hôpitaux, des magasins, des chaines de télévision ou encore des organes de presse sont touchés.
Le symptôme est le même partout : un écran bleu de Windows et un redémarrage du système. Falcon Sensor étant un produit destiné aux entreprises, le grand public n’est pas censé être concerné.
De très nombreuses structures touchées
Les exemples sont très nombreux. Parmi les plus retentissants, la bourse de Londres, dont le service de nouvelles « est actuellement confronté à un problème technique global d’une tierce partie, empêchant la publication de nouvelles sur www.londonstockexchange.com ». De nombreux aéroports sont touchés, dont ceux de Berlin, Melbourne, Hong-Kong, Prague ou plusieurs en Inde. Aux États-Unis, tous les avions de Delta, United et American Airlines sont cloués au sol.
Citons également les groupes médias ABC aux États-Unis et Sky News au Royaume-Uni, dont les services sont perturbés. Même chose pour les trains au Royaume-Uni.
CrowdStrike au courant, un début de solution
CrowdStrike indique être au courant de la situation dans une note, qui réclame malheureusement un compte pour la lire. La société ajoute qu’elle enquête sur le problème, qui semble lié à un souci de déploiement. La modification a été annulée.
Sur Reddit, la solution présentée dans la page « cachée » de CrowdStrike est mise en avant. Elle consiste à :
- redémarrer Windows en mode sans échec
- se rendre dans le dosser C:\Windows\System32\drivers\CrowdStrike et à
- y effacer un fichier de type « C-00000291*.sys ».
Après le redémarrage, le problème disparaitrait. Mais, comme indiqué dans de nombreuses réponses sur Reddit : il est presque impossible d’accéder aux machines actuellement. En outre, la solution serait impossible à appliquer sur les machines où BitLocker (solution de chiffrement intégral de Microsoft) est actif.
En France, le CERT vient également de communiquer : « Le CERT-FR a été informé ce jour d’un incident majeur affectant les systèmes Microsoft Windows disposant de l’EDR CrowdStrike Falcon. Cet incident semble provoquer un écran bleu système entraînant un redémarrage du poste. À ce stade, le CERT-FR n’a pas d’élément indiquant que cet incident est lié à une attaque informatique ». Le Centre ajoute suivre « avec attention les évolutions de cet incident ». Même son de cloche à l’ANSSI, qui a mis en ligne un bulletin d’alerte.
La nouvelle pourrait fortement impacter CrowdStrike. Avant même l’incident, l’entreprise voyait son action chuter à cause de divers problèmes de valorisation. Hier, on a également appris que le cabinet d’analyse Redburn Atlantic baissait sa note pour CrowdStrike (et Palo Alto Networks), citant le prix trop élevé de son action et des conditions changeantes sur le marché.
Comment en est-on arrivés là ?
Sur X, le CEO de CrowdStrike, George Kurtz, a fini par prendre la parole :
« CrowdStrike travaille activement avec les clients touchés par un défaut détecté dans une seule mise à jour de contenu pour les hôtes Windows. Les hôtes Mac et Linux ne sont pas impactés. Il ne s’agit pas d’un incident de sécurité ou d’une cyberattaque. Le problème a été identifié, isolé et un correctif a été déployé. Nous renvoyons les clients au portail d’assistance pour connaître les dernières mises à jour et continuerons à fournir des mises à jour complètes et continues sur notre site Web. Nous recommandons en outre aux organisations de s’assurer qu’elles communiquent avec les représentants CrowdStrike via les canaux officiels. Notre équipe est pleinement mobilisée pour assurer la sécurité et la stabilité des clients CrowdStrike. »
De nombreuses questions restent cependant ouvertes. Dont la plus évidente : comment une telle mise à jour a-t-elle pu passer les différentes étapes de vérification ?
While current evidence points to a CrowdStrike update gone wrong — let's not forget that causing this level of outage, by a single application, should not be possible in the first place.
— Lars Veelaert (@larsveelaert) July 19, 2024
How did 1. Windows, 2. process isolation and 3. null-safe kernel code also fail to catch it?
Quelques heures auparavant, Microsoft avait des problèmes avec Azure et Microsoft 365, mais ils semblent désormais réglés et sans lien apparent avec les soucis du jour. Ces derniers viennent pour rappel d’une mise à jour de chez CrowdStrike, pas d’un problème chez Microsoft.