Pourquoi Crowdstrike a-t-elle eu des troubles le 19 juillet ? Le spécialiste de la sécurité partage une première analyse de la manière dont des millions de PC Windows ont été mis hors service.
Le 19 juillet a été une journée très noire pour Crowdstrike. Un bogue dans le logiciel Sensor Tower a bloqué 8,5 millions d’ordinateurs et de serveurs dans le monde entier, provoquant un chaos inédit. On savait déjà que la cause du problème était une mise à jour défectueuse, et Crowdstrike partage aujourd’hui plus d’informations quant à la manière dont elle a passé le processus de test.
Dans une analyse post-incident (préliminaire), Crowdstrike décrit ce qui a mal tourné et les circonstances de ce 19 juillet tant redouté. Tout d’abord, il faut savoir que Crowdstrike applique deux types de mises à jour : les mises à jour Sensor Content et les mises à jour Rapid Response Content. La mise à jour de vendredi dernier était du type Rapid Response Content destinée à actualiser le logiciel de sécurité en fonction des nouveaux types de menaces.
Qu’est-ce qui a mal tourné ?
En février, Crowdstrike a lancé un nouveau type de modèle, un code avec des champs prédéfinis, sur lequel des instances sont ensuite construites pour déployer ces mises à jour Rapid Response Content. Ce type de modèle a été testé et approuvé en février et en mars et a déjà été utilisé en avril pour déployer une mise à jour de Windows. Aucun problème majeur n’est survenu à ce moment-là.
Sautons à juillet. Deux nouvelles instances ont été créées pour la mise à jour du 19 juillet, qui a de nouveau reçu le feu vert du Content Validator. Crowdstrike ne précise pas exactement ce que le Content Validator est censé faire, mais son nom suggère que ce système est censé vérifier le contenu des mises à jour. Le système a apparemment fait une erreur le 19 juillet, donnant ainsi libre cours à la mise à jour malveillante.
Avertissement
Pour résumer, Crowdstrike s’est (trop) fié à sa procédure de test automatisée et en paie aujourd’hui lourdement le prix. L’entreprise avait pourtant déjà reçu un avertissement quand une mise à jour Sensor avait causé des problèmes sous Linux.
Elle promet de tester et de valider les mises à jour plus minutieusement à l’avenir avant de les déployer. Les clients auront également plus de contrôle sur l’exécution des mises à jour. Il se peut que les clients exécutent les mises à jour en retard, mais au moins, de cette manière, les mises à jour malveillantes ne seront pas installées automatiquement.
Ce sont les premières conclusions provisoires de Crowdstrike. L’entreprise de sécurité promet de partager une analyse complète ultérieurement.
Réglementation européenne
Entre-temps, Microsoft a préparé sa propre analyse. Étonnement, le géant du logiciel accuse l’Europe. Il est rare qu’un bogue dans un logiciel tiers détruise complètement Windows. Selon Microsoft, le fait que cela se soit produit maintenant est le résultat d’un accord conclu en 2009 avec la Commission européenne, qui oblige Microsoft à donner à des parties comme Crowdstrike l’accès au cœur du système d’exploitation Windows.
La plupart des systèmes affectés sont désormais remis en service, mais la solution n’est pas si simple. Est-ce que votre entreprise est encore en train de récupérer du crash de Crowdstrike ? Consultez le portail de récupération de Crowdstrike ou exécutez notre solution de contournement.