Contexte et Importance des Incidents de Sécurité
Perturbations Récentes : La semaine dernière, un problème lié à l’agent Falcon Sensor de CrowdStrike a provoqué des perturbations majeures à l’échelle mondiale, et les conséquences se poursuivent alors que des acteurs malveillants cherchent à tirer parti de la situation. Il est intéressant de rappeler un incident moins médiatisé survenu plus tôt cette année, lorsque la mise à jour de CrowdStrike a entraîné le plantage simultané de tous les serveurs Debian Linux, les empêchant de démarrer. Il a fallu plusieurs semaines à ce fournisseur de cybersécurité pour fournir une analyse des causes profondes, révélant que la mise à jour était incompatible avec la dernière version stable de Debian.
Récapitulatif des Événements : Les événements de vendredi ne sont pas les premiers à avoir causé des perturbations significatives sur plusieurs systèmes d’exploitation par CrowdStrike, un fournisseur de services de cybersécurité bien connu. Pour résumer, des machines Windows à travers le monde ont commencé à afficher le redouté écran bleu de la mort lors de leur démarrage, affectant des secteurs tels que les banques, les compagnies aériennes, les médias, les chaînes alimentaires et bien d’autres entreprises. Le problème a été attribué à la société de sécurité et à un problème avec son agent Falcon Sensor, en lien avec des applications et services Microsoft 365.
Problèmes de Compatibilité Persistants
Incidents Passés : Un autre incident, moins remarqué, s’est produit en avril lorsque la mise à jour de CrowdStrike a provoqué le plantage simultané de tous les serveurs Debian Linux. Cette mise à jour était incompatible avec la version stable la plus récente de Debian, malgré le fait que cette distribution Linux soit censée être prise en charge par CrowdStrike.
Problèmes Répétitifs : Ces incidents sur plusieurs mois soulignent des problèmes de compatibilité persistants entre le logiciel de sécurité et certaines distributions Linux. Par exemple, des utilisateurs de CrowdStrike ont signalé des problèmes similaires après la mise à niveau vers Rocky Linux 9.4, où les serveurs ont planté en raison d’un problème de noyau.
Réaction de CrowdStrike et Conséquences
Réponse Lente : La réponse de CrowdStrike à l’incident Debian a été lente. Il a fallu plusieurs semaines pour fournir une analyse des causes profondes, qui a révélé que la configuration de Debian Linux n’était pas incluse dans leur matrice de tests.
Inquiétudes Soulevées : Ces problèmes antérieurs soulèvent de sérieuses inquiétudes quant aux procédures de mise à jour et de test du logiciel de l’entreprise. La lenteur de la réponse à l’incident Debian suggère que les procédures de test de l’entreprise sont inadéquates pour les systèmes Linux, entraînant ces problèmes de compatibilité.
Conséquences de l’Incident Global
Poursuite des Perturbations : Pendant ce temps, les répercussions de l’incident mondial de vendredi se poursuivent. CrowdStrike a corrigé le bogue de l’agent Windows, mais le processus de remédiation manuelle de chaque ordinateur affecté devrait continuer à causer des perturbations. Il n’est pas surprenant que des acteurs malveillants exploitent cette situation.
Exploitation par des Cybercriminels : La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a rapporté que, bien que l’incident ne soit pas dû à une cyberattaque, des hackers s’engagent dans des activités malveillantes telles que le phishing, profitant du chaos. Des acteurs malveillants envoient des courriels de phishing à partir de domaines imitant CrowdStrike, prétendant faussement offrir des solutions à l’incident en échange de paiements vers des portefeuilles crypto aléatoires.
Stratégies de Manipulation : Les cybercriminels se font passer pour des employés de CrowdStrike ou d’autres spécialistes techniques par le biais d’emails ou même d’appels téléphoniques. Ils ont également rapidement mis en place des sites Web trompeurs avec des noms de domaine contenant des mots-clés tels que « CrowdStrike » et « écran bleu ». Une fois qu’ils ont piégé leurs victimes, ils les incitent à révéler des informations sensibles telles que des mots de passe et d’autres codes de sécurité.
