Le vendredi 19 juillet 2024, le monde entier subissait une panne informatique massive, faisant planter les ordinateurs sous Windows. La faute à une mise à jour défectueuse de l’EDR Falcon, géré par la société CrowdStrike. Ozérim revient sur cette panne qui a touché 8,5 millions de systèmes Windows à l’échelle mondiale.
Il suffit parfois d’un petit grain de sable pour enrayer la plus puissante des machines. C’est l’amère constatation qu’on fait des millions d’utilisateurs en juillet 2024, à la suite d’une mise à jour logicielle sur Windows.
Institutions financières, organismes de santé, administrations publiques : la panne CrowdStrike n’a épargné personne, lançant les PC touchés dans une boucle infinie de reboots et « d’écrans bleus de la mort ».
Pourquoi et comment a pu se produire une telle panne ? L’équipe Ozérim répond à vos interrogations sur l’incident CrowdStrike.
CrowdStrike est l’une des entreprises de cybersécurité les plus connues au monde. Ses solutions sont déployées au sein de nombreuses organisations sur la planète.
Falcon est un EDR (Endpoint Detection and Response), c’est-à-dire une solution de sécurité qui analyse en temps réel les comportements sur les machines et permet de contrer des menaces qu’un antivirus classique laisserait passer.
Un EDR profite d’une intégration profonde avec le système d’exploitation qu’il protège, lui autorisant à mettre fin rapidement à toute intrusion malveillante grâce à des privilèges élevés.
Malheureusement, c’est cela qui a mis en péril des millions de machines sous Windows, le célèbre OS de Microsoft, lors d’une panne chaotique jamais vue dans le monde informatique.
Le 19 juillet 2024, l’entreprise CrowdStrike a lancé sur le réseau une mise à jour de son EDR Falcon. Rien d’anormal jusque-là. La mise à jour d’un logiciel de cybersécurité peut, en effet, advenir plusieurs fois lors d’une même journée.
Toutefois, ce fameux 19 juillet restera dans les annales.
Cet incident qui a affecté plus de 8,5 millions de machines Windows doit sa source à un fichier de configuration, un « Channel File », en l’occurrence le Channel File 291.
Celui-ci a déclenché une erreur logique lors de sa mise à jour, entrainant le plantage du système d’exploitation et des redémarrages en chaîne. Il aura fallu 79 minutes à CrowdStrike pour déployer un correctif.
Et des jours entiers à certaines entreprises pour reprendre le contrôle de leurs machines pour purger les fichiers touchés, souvent de façon manuelle…
Une simple mise à jour aura suffi à mettre à terre environ 1 % du parc informatique mondial utilisant les solutions Windows.
Vols retardés, opérations chirurgicales annulées, bourse en panique : le bilan se monterait à 15 milliards de dollars US selon le CEO de Parametrix Insurance, entreprise spécialisée dans l’assurance cloud.
De nombreuses entreprises françaises en ont fait les frais, notamment les aéroports d’Orly, Lyon et Nantes, ainsi que les chaînes télévisées TF1, Canal+ ou encore CNews.
Microsoft a indiqué avoir travaillé main dans la main avec CrowdStrike pour réparer au plus vite les dégâts causés. Précisons au passage que les machines Linux et Mac OS n’ont pas été affectées par cette mise à jour chaotique.
Cette panne de CrowdStrike a clairement remis sur le tapis la question de la souveraineté numérique (nous abordons la souveraineté des données dans notre article dédié).
En effet, des entreprises françaises et européennes ont été affectées, car elles utilisent le combo 100 % US Windows + CrowdStrike sur l’ensemble de leur parc informatique.
Ozérim a tout d’abord été très surprise de cet incident majeur et des conséquences directes que cela a créées.
En d’autres termes : « Mais c’est quoi ce bordel ? ».
Il a tout d’abord été constaté la mauvaise gestion de cette crise, liée principalement aux médias qui ont communiqué tout et n’importe quoi sur la cause réelle de l’incident, créant une certaine panique.
Il ne faut pas oublier qu’au début de l’incident, c’était Microsoft la source du problème, alors que finalement non !
Après une explication plus claire et détaillée de la cause, stupeur et incompréhension qu’un éditeur de l’envergure de CrowdStrike décide de déployer une mise à jour de son EDR directement en production, sans même inclure un pré-déploiement pilote.
Cette panne CrowdStrike montre bien cette dépendance que nous avons tous à ce genre de produit centralisé, nous laissant peu de maitrise.
Cela nous a rassuré sur notre démarche de toujours privilégier des produits On Premise, que nous maitrisons à 100 %, qui permet une meilleure passerelle entre l’éditeur et le client final : le prestataire IT garde sa valeur ajoutée !
Pour terminer (et vous conviendrez que ce fut un bel exemple), abordons le sujet de la souveraineté numérique : cela a montré le nombre d’entreprises dépendantes à 100 % de produits US, dont un bon nombre nos entreprises françaises et européennes gérant des secteurs vitaux.
Quand les USA éternuent, l’Europe tombe malade… D’autant plus vrai que quelques jours plus tard, Microsoft Azure / Office 365 rencontrait une panne majeure sans aucun lien avec CrowdStrike, pénalisant, elle aussi, des millions d’utilisateurs…
Sources : Blog Crowdstrike, CERT-FR, Le Monde Informatique, Les Numériques, CNews
EXPERT IT DU CLOUD MAÎTRISÉ
Nous prônons la haute technicité, l’indépendance et la souveraineté des données, au service de votre sécurité.
L’avènement du cloud computing a fait exploser les besoins en data centers. Mais qu’est-ce[...]
C’est une information qui est passée presque inaperçue cet été. Pourtant, elle a de quoi alarmer les[...]
Face à la mondialisation, la souveraineté des données devient indispensable pour protéger les informations[...]
La fibre optique est un fil en verre ou en plastique dans lequel passe internet et qui permet une connexion plus rapide[...]
L’avènement du cloud computing a fait exploser les besoins en data centers. Mais qu’est-ce[...]
