Le monde entier s’est réveillé en panique ce vendredi, voyant s’afficher le fameux « écran bleu de la mort » (Blue Screen of Death) s’afficher sur leur écran. Une panne mondiale touche en effet de nombreux ordinateurs équipés du système d’exploitation Windows. Le monde de l’entreprise est principalement touché par ce problème, et non les particuliers, à cause d’un logiciel utilisé par les professionnels.
Microsoft n’est pas le véritable responsable de la panne
La panne n’est pas le résultat d’une mise à jour foireuse via Windows Update, mais de celle d’un antivirus utilisé par de nombreuses entreprises et administrations. L’entreprise CrowdStrike édite l’antivirus CrowdStrike Falcon, ou plutôt un Endpoint detection and response. L’EDR est une évolution de ce que nous appelons un antivirus et une mise à jour défectueuse est à l’origine des problèmes de stabilités des ordinateurs.
L’élément perturbateur a ainsi été rapidement identifié, comme nous pouvions le lire dès 10h33 sur le compte X du CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques). « Le CERT-FR a été informé ce jour d’un incident majeur affectant les systèmes Microsoft Windows disposant de l’EDR Crowdstrike Falcon. Cet incident semble provoquer un écran bleu système entraînant un redémarrage du poste », pouvait-on lire.
Si vous pouvez lire sur la toile que le problème est résolu, la réalité est plus complexe. Microsoft et CrowdStrike ont rapidement communiqué à ce sujet. Le géant de Redmond a expliqué « avoir pris connaissance d’un problème affectant Windows du fait d’une mise à jour d’une plateforme logicielle tierce ». Et d’ajouter : « Nous nous attendons à ce qu’une solution soit bientôt trouvée ». Microsoft ne peut pas vraiment faire davantage puisqu’il n’est pas le responsable de cette panne.
Qu’est-ce CrowdStrike Falcon, le vrai responsable de cette panne mondiale ?
CrowdStrike Falcon est l’œuvre d’une société américaine spécialisée dans les outils de cybersécurité. Fondée en 2011 et basée à Austin (Texas). Elle fournit de nombreux produits et services, dont cette plateforme conçue pour protéger des menaces en ligne. Sur le site officiel de la firme, Falcon est présentée comme une plateforme spécialisée aux multiples fonctionnalités.
Elle assure une protection du cloud ou des endpoints (ordinateurs, smartphones, serveurs, tablettes…) contre les cyberattaques. « Les cyberpirates actuels ne se limitent plus à l’utilisation stricte de logiciels malveillants. Ils ont recours à des exploits, à des attaques zero day ou à des techniques plus difficiles à déceler », explique CrowdStrike pour justifier l’intérêt de sa solution. La société comptabiliserait près de 30 000 clients et a déjà fait parler d’elle à plusieurs reprises. Elle a aidé les États-Unis à inculper des pirates militaires chinois accusés de cyberespionnage économique contre des entreprises américaines. CrowdStrike a aussi joué un rôle en 2014 dans l’identification des responsables du piratage de Sony Pictures.
Des solutions et un correctif, mais de très nombreux dégâts
Face à la situation désastreuse, CrowdStrike a annulé sa mise à jour problématique pour éviter que le problème ne se propage. Cependant, le mal était déjà fait aux quatre coins du monde et perturbe de nombreux secteurs. De plus, il ne résout pas le problème sur les machines déjà impactées même si des solutions ont vite émergé. L’une consiste à faire plusieurs manipulations via un compte « admin ».
À lire : Microsoft : une panne géante sème la panique dans le monde entier (avions, banques, TV…)
D’autres expliquent que plusieurs redémarrages successifs (jusqu’à 15) peuvent faire repartir les ordinateurs défaillants. Connectés au réseau, ils sont en capacité de recevoir la mise à jour corrective publiée par CrowdStrike. Le patron de l’entreprise, George Kurtz, a aussi pris la parole sur les réseaux sociaux afin de rassurer les utilisateurs : « CrowdStrike travaille activement avec les clients touchés par un défaut trouvé dans une seule mise à jour de contenu pour les hôtes Windows (…) Il ne s’agit pas d’un incident de sécurité ou d’une cyberattaque ». Toutefois, le mal est déjà fait. Il faudra sans doute attendre plusieurs heures avant que les aéroports, banques, administrations et autres puissent reprendre une activité normale.
Il précise au passage que les utilisateurs sous « Mac et Linux ne sont pas concernés » par le problème.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Crowdstrike est le lampiste, Microsoft est le fournisseur, les entreprises sont les responsables techniques, et le défaut de gouvernance vient des États qui auraient dû trancher depuis 20 ans sur les problèmes de sécurité, de fiabilité et de souveraineté posés par la dépendance à Microsoft, très en retard sur des exigences pourtant satisfaites par d’autres environnements. C’est le dernier OS moderne encore déployé en kit, l’OS d’un côté, les applications de l’autre, sans intégration, sans gestion de la distribution, sans réglage du compromis entre stabilité et nouveauté, et mises à jour directes selon la seule politique des éditeurs. Est-ce que c’est sérieux que les entreprises travaillent encore comme ça ?
“sans intégration, sans gestion de la distribution, sans réglage du compromis entre stabilité et nouveauté, et mises à jour directes selon la seule politique des éditeurs”
Les entreprises ont en général un service IT qui gère et temporise les Mises à jour.
Si elle se dit que le service IT est un panier percé et rendu inutile par la capacité des éditeurs à push les mises à jour directement sur les endpoints c’est le problème des entreprises et la panne est de leur responsabilité.
Par contre l’antivirus c’est un peu plus problématique. Les failles zerodays doivent être corrigées le jour même… Mais bon, un bon service IT se doit tout de même de temporaire l’application de la mise à jour de quelques heures avant de l’envoyer en production.