Analyse des Défaillances de ⁤CrowdStrike : Une Mise à Jour Catastrophique

Le 19 juillet 2024, ⁢à ‍04h09 UTC, la société de cybersécurité CrowdStrike a déployé une mise à jour de sa plateforme Falcon, entraînant des pannes massives sur des machines Windows à travers⁤ le monde.

Un Impact Mondial

Les conséquences de ⁤cette défaillance‌ ont été considérables. Selon‌ les estimations de la société Interos, environ 674 ⁢620 relations directes avec des⁣ clients d’entreprise de CrowdStrike et Microsoft ont été touchées. Microsoft a rapporté que 8,5 millions⁤ de machines Windows ont rencontré des problèmes. Au-delà du temps de remédiation ‍informatique colossal, des retards dans les vols et les expéditions ont été observés en raison de ces pannes généralisées.

Origine de la Défaillance

D’après les informations ‌fournies par CrowdStrike, la cause de⁣ cette panne était « une erreur logique‍ entraînant un crash du système et un écran bleu (BSOD) sur les systèmes affectés ». ⁢Ce crash aurait été ‌provoqué par des données corrompues qui ont été intégrées dans un ⁤fichier de configuration de Falcon, connu sous le nom de Channel File, qui régule le fonctionnement du logiciel de sécurité de⁤ CrowdStrike.

Fonctionnement des Channel Files

Les ‌Channel Files ⁣sont régulièrement mis à jour par CrowdStrike et envoyés ⁢aux systèmes utilisant son logiciel. Falcon utilise les informations contenues dans ces fichiers pour ‌détecter et répondre aux menaces. Dans ce cas précis, un fichier de configuration a été⁤ déployé sur des millions d’ordinateurs Windows exécutant Falcon, provoquant une confusion dans le logiciel de sécurité, ce qui a conduit à un crash complet du système. Lors du redémarrage d’un appareil ‍affecté, Falcon se ⁤lançait presque immédiatement et provoquait à nouveau un crash.

Localisation des ​Channel Files

Selon CrowdStrike, les Channel Files sur les machines Windows se trouvent dans le répertoire suivant :

C:WindowsSystem32driversCrowdStrike

Ces fichiers suivent une convention de nommage commençant⁣ par « C- » suivie d’un numéro d’identification unique. Dans ce cas, le nom du fichier problématique commençait ⁣par « C-00000291-« , suivi‍ de divers autres chiffres, et se terminait par l’extension .sys. Cependant,⁤ CrowdStrike précise qu’il ne s’agit pas de pilotes du‌ noyau, mais de fichiers de données utilisés par Falcon, qui fonctionne à un niveau de pilote. En d’autres termes, le fichier de configuration défectueux n’était ⁢pas un exécutable de pilote, mais il a été traité⁢ par le code de niveau système d’exploitation de CrowdStrike, et lorsque ce code a été‍ perturbé par le fichier défectueux, cela a entraîné l’effondrement complet du système d’exploitation – Microsoft Windows dans cette affaire.

Erreur Logique et Conséquences

Le Channel File 291 régule la manière dont Falcon évalue l’exécution des pipes nommés ⁤sur les systèmes Windows. Ces pipes sont utilisés⁣ pour la communication interprocessus ou intersystèmes. CrowdStrike a expliqué dans un résumé technique que la mise à​ jour de configuration visait à ‌cibler des pipes nommés malveillants observés dans des frameworks⁢ C2 courants‍ lors de cyberattaques. Cette ‌mise à jour a déclenché une erreur ⁣logique entraînant un crash du ⁣système d’exploitation.

Analyse des⁣ Experts

Bien ⁢que des spéculations aient circulé sur le fait que ⁢l’erreur pourrait être liée à des octets nuls dans le Channel‍ File, CrowdStrike‌ a fermement démenti cette hypothèse. Des experts en sécurité,⁢ tels que Tavis‍ Ormandy de Google Project Zero, ont suggéré que le Channel File défectueux a pu amener Falcon à accéder à des informations en⁣ mémoire qui ​n’étaient pas présentes, provoquant ainsi un⁤ crash.

Réactions et Conséquences

Le PDG de CrowdStrike, George Kurtz, a été convoqué pour témoigner devant le Congrès à ce ⁤sujet. Les administrateurs informatiques craignent que la résolution ⁣de cette crise prenne des semaines. ‌Les utilisateurs mécontents ont partagé leurs expériences concernant cette panne de CrowdStrike.

Pratiques Recommandées

Omkhar Arasaratnam, un vétéran de la cybersécurité, a souligné que plusieurs meilleures pratiques⁢ auraient dû être respectées. Il a recommandé de ne pas exécuter de logiciels en⁤ mode noyau si cela peut être évité, d’assurer une qualité de test plus rigoureuse, et d’adopter des déploiements progressifs comme le fait Google avec ses versions Canary.

cette défaillance de ⁤CrowdStrike met en lumière l’importance d’une gestion rigoureuse des mises à ⁢jour logicielles et des tests approfondis pour éviter des conséquences catastrophiques sur des systèmes critiques.

Tags:
Shares:
Show Comments (0)
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *