Grève de foule
Le PDG de CrowdStrike, George Kurtz, a déclaré jeudi que 97 pour cent de tous les systèmes Windows exécutant son logiciel de capteur Falcon étaient de nouveau en ligne, une semaine après une panne liée à une mise à jour Le logiciel de sécurité de l'entreprise a retardé des vols et a mis hors service les systèmes d'intervention d'urgence, entre autres perturbations. La mise à jour, qui a provoqué l'apparition du redoutable écran bleu de la mort et le redémarrage des PC Windows, a affecté environ 8,5 millions de systèmes Selon les calculs de Microsoft, il en reste environ 250 000 qui doivent encore être remis en ligne.
John Cable, vice-président de Microsoft a déclaré dans un article de blog que la société a « engagé plus de 5 000 ingénieurs de support travaillant 24 heures sur 24, 7 jours sur 7 » pour aider à nettoyer le désordre créé par la mise à jour de CrowdStrike et a fait allusion à des changements Windows qui pourraient aider – s'ils ne se heurtent pas aux régulateurs, en tout cas.
« Cet incident montre clairement que Windows doit donner la priorité au changement et à l'innovation dans le domaine de la résilience de bout en bout », a écrit Cable. « Ces améliorations doivent aller de pair avec les améliorations continues en matière de sécurité et se faire en étroite collaboration avec nos nombreux partenaires, qui se soucient également profondément de la sécurité de l'écosystème Windows. »
Câble pointé vers Enclaves VBS et Attestation Azure Il a cité comme exemples de produits qui pourraient sécuriser Windows sans nécessiter d'accès au niveau du noyau, comme le font actuellement la plupart des produits de sécurité basés sur Windows (y compris le capteur Falcon de CrowdStrike). Mais il n'a pas précisé quels changements spécifiques pourraient être apportés à Windows, se contentant de dire que Microsoft continuerait à « renforcer notre plateforme et à faire encore plus pour améliorer la résilience de l'écosystème Windows, en travaillant ouvertement et en collaboration avec la vaste communauté de sécurité ».
Lorsqu'il est exécuté en mode noyau plutôt qu'en mode utilisateur, le logiciel de sécurité a un accès complet au matériel et aux logiciels d'un système, ce qui le rend plus puissant et plus flexible ; cela signifie également qu'une mauvaise mise à jour comme celle de CrowdStrike peut causer beaucoup plus de problèmes.
Les versions récentes de macOS ont déconseillé les extensions de noyau tierces pour cette raison précise, ce qui explique en partie pourquoi les Mac n'ont pas été mis hors service par la mise à jour CrowdStrike. Mais les efforts passés de Microsoft pour exclure les sociétés de sécurité tierces du noyau Windows, plus récemment à l'ère de Windows Vista— ont rencontré une certaine résistance de la part des régulateurs de la Commission européenne. Ce niveau de scepticisme est justifié, compte tenu de la passé (et suite) record d'utilisation de la position de marché de Windows pour promouvoir ses propres produits et servicesToute tentative actuelle visant à restreindre l’accès des fournisseurs tiers au noyau Windows serait susceptible de susciter un examen similaire.
Microsoft a également dû faire face à de nombreux problèmes de sécurité récemment, à tel point qu'il a a promis de restructurer l'entreprise pour donner plus d’importance à la sécurité.
Les conséquences de CrowdStrike
CrowdStrike a fait ses propres promesses à la suite de la panne, notamment des tests plus approfondis des mises à jour et un système de déploiement progressif qui pourrait empêcher un mauvais fichier de mise à jour de causer autant de problèmes que celui de la semaine dernière. rapport d'incident initial a pointé du doigt une défaillance dans ses procédures de test comme étant la cause du problème.
Pendant ce temps, la récupération se poursuit. Certains systèmes pourraient être réparés simplement par un redémarrage, même s'ils ont dû le faire jusqu'à 15 fois— cela pourrait donner aux systèmes une chance de récupérer un nouveau fichier de mise à jour avant de pouvoir planter. Pour le reste, les administrateurs informatiques devaient soit les restaurer à partir de sauvegardes, soit supprimer manuellement le fichier de mise à jour défectueux. Microsoft a publié un outil de démarrage cela pourrait aider à automatiser le processus de suppression de ce fichier, mais cela nécessitait toujours de mettre la main sur chaque installation Windows affectée, que ce soit sur une machine virtuelle ou un système physique.
Et toutes les solutions de remédiation de CrowdStrike n'ont pas été bien accueillies. La société a envoyé des codes promotionnels UberEats de 10 $ pour couvrir la « prochaine tasse de café ou la prochaine collation de fin de soirée » de certains de ses partenaires, ce qui a donné lieu à quelques regards révoltés sur les réseaux sociaux (le code a également été brièvement inutilisable car Uber l'a signalé comme frauduleux, selon un représentant de CrowdStrike). Pour mettre les choses en contexte, la société d'analyse Parametrix Insurance a estimé le coût de la panne pour les entreprises du Fortune 500 quelque part dans le domaine de 5,4 milliards de dollars.