Comment un fichier de 40 Ko a déclenché « l’Armageddon » informatique dans le monde : « Cela peut se reproduire »

Comment un fichier de 40 Ko a declenche lArmageddon

La société de cybersécurité a informé EL ESPAÑOL – Omicrono que le problème était dû à un échec dans une mise à jour de sa plateforme CrowdStrike Falcon, l’un des systèmes de protection de Windows. Plus précisément, les clients ont été concernés « par un défaut détecté dans une seule mise à jour de contenu pour les hôtes (serveurs) sous Windows ; sans affecter les serveurs Mac et Linux ». La société a également confirmé qu’il ne s’agissait « pas d’un incident de sécurité ou d’une cyberattaque. Le problème a été identifié, isolé et une solution a été mise en œuvre ».

De son côté, un porte-parole de Microsoft, l’autre entreprise concernée, a déclaré à ce média qu’elle était « au courant d’un problème qui affectait les appareils Windows ». en raison d’une mise à jour d’une plateforme logicielle tierce » Et il a précisé que le revers n’était pas de sa responsabilité, mais de celle d’une autre entreprise. Comme plusieurs experts l’expliquent à ce journal, la dernière mise à jour de Crowdstrike Falcon comportait des erreurs qui ont fait planter Azure, ce qui a provoqué l’apparition du fameux « écran bleu du Computer Death » (ou BSOD en anglais), qui montrait que les systèmes avaient cessé de fonctionner et qu’il fallait redémarrer les serveurs.

Longues files d’attente à l’aéroport de Madrid-Barajas après le crash du système Microsoft. EP Omicrono

Et comme le souligne sur les réseaux sociaux Bernardo Quintero, fondateur de la société de cybersécurité Virustotal et responsable du centre Google de Malaga, « 40 Ko n’ont jamais causé autant de dégâts ». Un minuscule fichier informatique qui a déclenché un grand désordre mondial et qui n’est pas unique, puisque cet événement pourrait se répéter à un autre moment. « Il est certainement possible que cela se reproduise, mais probablement pas pour la même raison.. Ce qui s’est passé ici est donc quelque chose d’exceptionnel », déclare au journal Juan Manuel Pascual, expert en cybersécurité et PDG d’Innovery Spain.

« Ces situations vraiment Ils surviennent très rarement et pas exactement pour la même raison. Ici, la question de savoir si la même chose se reproduira ou non n’est pas évaluée par une analyse technique, mais par l’impact. C’est comme les accidents d’avion. Cela peut arriver, mais heureusement, cela arrive très rarement. Et lorsqu’ils surviennent, l’impact est brutal. Dans ce cas, c’est un peu pareil. Analysant le niveau d’ingénierie logicielle, l’entreprise de cybersécurité [CrowdStrike] développera de nouveaux contrôles de qualité et il se peut qu’à un moment donné, il y ait autre chose que ce système de contrôle n’ait pas couvert », précise Pascual.

« Une pandémie numérique »

Crowdstrike est un programme de sécurité conçu pour protéger les organisations contre les logiciels malveillants et les cybermenaces. Actuellement, « C’est le produit le plus utilisé au monde pour détecter et répondre aux cyberattaques.. Il est utilisé par tous les types d’organisations publiques et privées et est le plus sophistiqué selon toutes les comparaisons ; étant le seul à offrir une garantie financière en cas de cyberattaque réussie », explique à ce journal Juan José Nombela, directeur du master en Cybersécurité de l’Université UNIE.

Dans ce cas, ce qui s’est passé, c’est qu’une panne informatique a produit « un conflit ou une interaction incorrecte entre Microsoft et Windows et la dernière version de ce qu’on appelle le capteur Crowdstrike, qui est installé sur tous les ordinateurs des entreprises bénéficiant de cette protection ». dit Nombela. Un problème qui a bloqué les services informatiques et aurait pu être évité « en effectuant des tests plus approfondis avant de lancer les produits et de les déployer sur les ordinateurs des organisations. » Bien que Juan Manuel Pascual estime que « cela aurait pu être évité, mais je ne pense pas dans ce cas, car je suis convaincu que Crowdstrike a tout mis en place pour empêcher que cela ne se produise ». qui se passe. » .

Le site Web CrowdStrike. EP Omicrono

De son côté, Chris Dimitriadis, directeur de la stratégie globale à l’ISACA, souligne à ce média que cet événement représente une « crise importante dans le domaine numérique. Lorsqu’un prestataire de services dans la chaîne d’approvisionnement numérique est affecté, toute la chaîne peut se briser, provoquant des perturbations à grande échelle Cet incident. C’est un exemple clair de ce qu’on pourrait appeler une pandémie numérique– Un point de défaillance unique qui affecte des millions de vies dans le monde. Les médecins ne peuvent pas voir leurs patients et les voyageurs sont bloqués dans les aéroports. « Cela n’affecte pas seulement les opérations commerciales, mais également la vie réelle. »

Pascual pointe également dans cette direction, qui signale que le problème est que de nombreuses entreprises, y compris les grandes entreprises, utilisent cet outil et les mêmes programmes ; Ainsi, une défaillance de l’un d’entre eux les amène tous à paralyser leur activité et aboutit à une situation de chaos. Une erreur qui, parfois, « Cela se produit en raison d’échecs involontaires lors de la mise à jour du logiciel.. D’autres sont le résultat d’une cyberattaque. Mais l’ironie est que les entreprises de cybersécurité font également partie de cette chaîne d’approvisionnement, et que ces mêmes entreprises qui luttent pour établir une cyber-résilience peuvent également devenir des victimes, affectant ainsi la continuité des services », explique Dimitriadis.

Concernant la manière de résoudre un problème comme celui-ci, Juan José Nombela souligne que « c’est très simple et consiste simplement à supprimer un fichier sur les ordinateurs concernés. C’est un processus qui prend quelques minutes, mais il doit être réalisé équipe par équipe, et cela prend du temps. » Pour sa part, l’Institut national de cybersécurité (INCIBE) a partagé une série de mesures d’atténuation et de correction, telles que la mise à jour composants provoquant l’écran bleu ou n’exécutez pas la mise à jour de l’agent Crowdstrike jusqu’à ce qu’une solution vérifiée soit disponible.

INCIBE a également noté que le fichier de canal défectueux avait été annulé, ce qui devrait « atténuer toute expansion ultérieure ». Dans le cas de systèmes en panne, certains d’entre eux ont été redémarrés à un état de fonctionnement normal et il a été considéré qu’ils devaient choisir le nouveau fichier de composant qui ne posait pas de problèmes plutôt que celui qui en posait. Et si les systèmes tombaient simplement en panne en boucle, une intervention manuelle serait nécessaire. Dans ces cas, Crowdstrike explique que vous devez démarrer Windows en mode sans échec, accéder au répertoire « C:WindowsSystem32driversCrowdStrike » dans l’Explorateur, rechercher le fichier « C-00000291*.sys » et le supprimer.

« Minimiser les dégâts »

La panne informatique de Crowdstrike a eu de nombreuses répercussions, tant pour les utilisateurs que pour les entreprises elles-mêmes. Des interruptions de service et des employés de centaines d’entreprises incapables de travailler à l’inconfort des clients dans les aéroports en raison des retards de vols. « Il n’y a pas de perte d’informations ni de conséquences ultérieures. Dans le cas d’AENA, je sais qu’elle dispose de l’équipe la mieux préparée pour faire face à une situation de crise présentant ces caractéristiques. Ils ont activé leurs plans de gestion de crise et ont fourni le service en mode manuel et avec des mécanismes des alternatives. Mais c’est le cas. une situation totalement étrangère à leurs systèmes de sécurité et sa configuration », explique Nombela.

Chris Dimitriadis va plus loin et note que cet incident « souligne le besoin urgent d’une cyber-résilience et d’une préparation solides pour éviter des crises similaires à l’avenir. En matière de cybersécurité, la détection et la réponse aux crises sont aussi importantes que la protection et la prévention. Des protocoles appropriés doivent être établis longtemps à l’avance. agir rapidement lorsque des attaques et des perturbations se produisent et minimiser les dommages et les perturbations. Mais cela n’est pas possible sans des personnes possédant les connaissances nécessaires pour établir des cadres de sécurité sur mesure et garantir que toutes les personnes impliquées reçoivent une formation sur la façon de les suivre. Si nous ne nous préparons pas, cela se reproduira« .

Un employé de bureau avec un écran bleu après l’échec de Crowdstrike. EP Omicrono

Après tout ce qui s’est passé, George Kurtz, PDG de CrowdStrike, a profité de l’occasion pour se manifester et s’excuser de l’impact des interruptions dans le monde causées par la mise à jour logicielle de la plateforme de cybersécurité. Dans un communiqué officiel, le responsable a souligné que « nous avons résolu le problème. Nos clients continuent d’être pleinement protégés ». Nous comprenons la gravité de la situation et sommes profondément désolés pour la gêne occasionnée. et pannes. » Et il a noté qu’ils travaillaient avec tous les clients concernés pour « garantir que les systèmes sont de nouveau opérationnels et capables de fournir leurs services ».

Kurtz a également précisé dans une interview avec NBC que l’entreprise devrait enquêter plus en profondeur sur « la façon dont fonctionnent certains systèmes d’exploitation. C’est notre mission, et c’est pour cela que nous sommes là, de nous assurer que tous les clients se rétablissent complètement. et nous n’arrêterons pas nos efforts tant que tous les clients ne seront pas de retour là où ils étaient. nous continuons à les protéger et à garder les méchants hors de leurs systèmes« .

fr-02