Il semblerait que quelqu’un chez CrowdStrike se soit dit que « tester c’est douter » avant la mise en production de certains changements effectués. 😁

Mise à jour, d'après les explications de @chattentif, après ma première réponse

Ha ha ha ha ha ha!

Bon, je ne connais pas l'affaire, mais je connais bien "les produits" microsoft, c'est à dire ce vieux logiciel de 1990 connu sous le nom de "windows", retapé ici et là pour avoir l'air récent. Pour qu'un ordi avec un processeur 50000 fois plus rapide qu'en 1985 soit aussi lent que Gem à la même époque, il faut qu'il y ait de sacrés problèmes de conception. Pire, l'interface windows ne progresse pas, mais se dégrade, en gros depuis XP (courbe très pifométrique):.

On peut supposer beaucoup de choses pour expliquer cet incroyable mépris des usagers, l'une d'elle serait que "quelqu'un" utilise nos PCs pour son propre travail, via les "hôtes de service" (une ressucée d'un truc plus ancien). Comment savoir, si les séances de grattage de disque s'arrêtent quand on démare le gestionnaire de tâche, un comportement hautement suspect.

Pour l'affaire en cours, d'après wikipédia, un EDR "cherche à détecter, enregistrer, évaluer et répondre aux activités suspicieuses qui pourraient résulter de logiciels problématiques ou d'utilisateurs frauduleux.", au lieu des anti-virus classiques qui analysent les fichiers à la recherche de virus connus. On comprend donc que si effectivement microsoft, ou d'autres entités, utilisent nos ordis via des "hôtes de service", ou si des parties de windows envoient des données aux serveurs de microsoft (ou à d'autres entités, par exemple notre asurance santé), on comprend que ces EDR aient considéré ces parties de microsoft comme suspectes.

En fait ce n'est pas marrant du tout, et si les suppositions ci-dessus sont correctes, ce serait le moment de lancer une grande enquête, et d'interdire d'éventuelles activités frauduleurs par windows.

Bon en fait on va encore avoir droit à "tout va bien" sans aucune explication, et les EDRs seront programmés pour ne plus toucher à microsoft.

Il serait pourtant simple, aujourd'hui, d'avoir une alternative à windows. Mais on n'a que ce linux compliqué et cet Apple élitiste.

Ma page sur ce problème, sous forme de blog.

Mise à jour, d'après les explications de @chattentif:

Ses éléments de réponse placent plutôt le blame sur CrowdStrike (mise à jour mal testée, trop banal, lol). Encore que le scénario que je décris ci-dessus reste possible, mais on ne nous le dira jamais.

Il reste tout de même un problème: pourquoi s'entêter à utiliser windows sur des applications de confiance? windows n'est pas open source, il est très compliqué, et le risque est gros d'une faille de sécurité, volontaire ou involontaire. Et quand, dans une application de sécuité il y a un risque sur la sécurité, on ne prend PAS ce risque. Il y a au miminum Linux, et c'est ce qui est utilisé en Europe (et ils n'ont pas eu le bug). Windows est interdit dans les administrations européennes, windows est interdit pour les applications médicales, windows est interdit dans l'air et dans l'espace. La raison ultime de ce bug est la RELIGION de windows, le CULTE de windows.

Bon en Europe ils utilisent à la place ce linux moche et compliqué, qui n'a pas non plus eu de mise à jour vraiment significative depuis 20 ans. Il peut fonctionner dans des grosses sociétés avec des nuées d'ingénieurs, mais il est ingérable pour les petites entreprises et les particuliers. (supprimé, voir commentaires)

Avec tous nos génies informatiques Il serait pourtant facile de faire quelque chose de vraiment bien, efficace, à jour et facile à utiliser, même pour un paysan Burkinabé. Surtout que les réseaux neuronnaux sont en train de préparer la mise à mort du PC de Von Neuman.

J'ai vu la vidéo d'un ancien dev Microsoft. Il expliquait la raison de la panne : il s' agit d'un antivirus qui exécute une partie de son code à l'intérieur d'un pilote. Ce dernier passe normalement une série de test pour être certifié par Microsoft. Mais en l'occurrence ce driver chargé lui-même des fichiers de définition .sys qui contenaient du code et s'exécuter au même niveau de sécurité.

C'est un de ces fichiers de définition qui faisait planter Windows et qui provoquait les écrans bleus rapportés par la presse. La première leçon et que l'éditeur du logiciel a employer un procédé peut-être nécessaire mais en tout cas qui a court-circuté les vérifications de Microsoft quant à la stabilité de son pilote. C'est sans doute une nécessité mais l'éditeur de logiciel devrait être plus attentif quand aux mises à jour de Windows est testé tous ses fichiers de définition de façon exhaustive.

La deuxième leçon est que quand on opère une infrastructure critique comme une banque ou un aéroport, on doit faire le fastidieux travail de tester les mises à jours logicielles manuellement puis de les déployer manuellement en production.

Je n'arrive pas à comprendre si ce travail a été fait vu l'ampleur des dégâts je me dis qu'il y a quelque chose qui est passé dans les trous de la raquette.

J'adore !

J'attends la prochaine ^^ et surtout celle qui mettra au sol ce colosse aux pieds d'argile qu'est le capitalisme moderne.

Mais vous me manquerez :'( ;)

Voilà le point que je peux faire en regardant les informations publiées sur le sujet.

Qu'est-ce que CrowdStrike ?

1. C'est une solution de sécurité informatique destinée aux entreprises. Il n'est pas proposé au grand public, et en Europe on évite normalement les produits de sécurité de nos amis des États-Unis. La loi américaine oblige les sociétés de ce pays à donner au gouvernement des USA accès aux informations qu'ils possèdent, quelque soit le pays où est installé le logiciel.
2. Le logiciel pour fonctionner au mieux doit avoir accès aux fonctionnalités de bas niveau sur la machine, et collationne de nombreuses informations sur tous les systèmes. Notre ami Donald Trump, s'il est élu, aura donc bientôt accès à tout cela.
3. Ce n'est donc pas utilisé par le grand public, et c'est moins utilisé en Europe. En France les recommandation de sécurité sont d'éviter les produits américains de ce type.

https://www.francetvinfo.fr/internet/microsoft/panne-informatique-mondiale-ce-que-l-on-sait-du-bug-qui-a-mis-a-l-arret-des-aeroports-des-hopitaux-et-de-nombreux-services_6675141.html

https://www.francetvinfo.fr/internet/panne-informatique-mondiale/panne-informatique-mondiale-cela-revele-une-ame-un-peu-moutonniere-de-beaucoup-d-entreprises-explique-l-ong-internet-society-france_6675603.html

Pourquoi les entreprises utilisent-elle CrowdStrike ?

La moitié des plus grandes entreprises mondiales l'utilisent. Cela a trois avantages.

1. C'est le leader sur le marché. Les responsables informatiques des entreprises ne risquent pas leur poste si le produit plante, car ils ont l'excuse que les autres se trompent aussi.
2. C'est probablement le moins cher (je n'ai pas les prix). Un parc installé plus important permet de diminuer les coûts unitaires. En automatisant les processus et en délocalisant la main d’œuvre la société de sécurité peut employer moins de monde, et leur donner des salaires plus faibles.
3. Cela permet de supprimer des postes dans l'informatique. Comme c'est une solution intégrée pour tous les systèmes et que tout se passe automatiquement, il y a moins besoin de personnel.

Que s'est-il passé ?

Une mise à jour de CrowStrike diffusée automatiquement, a entrainé des reboots sans fin de machines et serveur Windows. Cela produit un écran bleu très apprécié des utilisateurs en plein travail.

Il a fallu des heures pour trouver la source du problèmes. Voici la solution publiée par l'ANSSI https://www.cert.ssi.gouv.fr/actualite/CERTFR-2024-ACT-032/

Pour les machines physiques

Redémarrer la machine pour permettre une mise à jour de l’agent.

En cas d’échec, démarrer le système d’exploitation en mode « sans échec » (« safe mode ») ou en utilisant le Windows Recovery Environment.

Supprimer tout fichier de la forme "C-00000291*.sys" dans le répertoire %WINDIR%\System32\drivers\CrowdStrike.

Redémarrer la machine.

Pour les systèmes virtualisés

Solution 1

Détacher de la machine virtuelle le disque sur lequel le système d'exploitation est installé, et en effectuer une copie par mesure de précaution.

Procéder au montage du disque sur une machine virtuelle saine, puis supprimer le fichier de la forme "C-00000291*.sys" dans le répertoire %WINDIR%\System32\drivers\CrowdStrike.

Rattacher le disque sur la machine virtuelle affectée.

Solution 2

Une autre solution consiste à restaurer une version des systèmes affectés antérieure au 19 juillet 2024 4h09 UTC (6h09 heure de Paris)

1. Ce n'est pas à la portée d'un utilisateur ordinaire, et il faut espérer que les entreprises n'ont pas licencié trop de personnel informatique, car il faut intervenir sur les machines une par une.
2. 
   
3. Ce n'est pas précisé dans le bulletin d'alerte, mais quand le système est chiffré (une bonne pratique de sécurité) il faut entrer la clef de sécurité à la main https://www.cnbc.com/2024/07/19/what-is-crowdstrike-crwd-and-how-did-it-cause-global-it-outages.html. Il ne faut pas faire d'erreur avec les 48 chiffres...

Comment les pirates essaient-ils de profiter de l'incident ?

De très nombreux faux sites ont été créés pour proposer de télécharger des "solutions", qui sont en fait des malwares.

Des messages ont été envoyés en masse incitant à cliquer sur un lien pour se protéger. Ensuite le site essaye de récupérer des codes d'accès bancaires, des logins et mots de passe d'entreprise, ou d'installer un logiciel malveillant.

https://www.latimes.com/story/2024-07-19/who-is-crowdstrike-and-how-did-it-cripple-so-many-computers

Les dangers de la monoculture informatique.

D'un point de vue sécurité.

1. Il est conseillé d'avoir plusieurs solutions de sécurité différentes. Cela augmente les chances qu'un produit détecte ce que n'a pas vu l'autre.
2. Il est conseillé de segmenter, et de ne pas laisser l'accès à des systèmes sensibles à un logiciel externe.
3. Il est conseillé de tester...

Plus nous avons des systèmes centralisés qui contrôlent tout ce qui se passe sur la planète informatique, sans être contrôlés eux-mêmes, et plus ce type de panne est probable.