Search for:

Mise à Jour : 97 % des systèmes Windows de nouveau fonctionnels, selon CrowdStrike

Près d’une semaine après qu’une mise à jour logicielle ratée de CrowdStrike a déclenché une panne mondiale massive des systèmes Windows, 97 % des ordinateurs concernés sont à nouveau opérationnels. George Kurtz, PDG de CrowdStrike, a annoncé jeudi soir que « 97 % des capteurs Windows étaient de nouveau en ligne au 25 juillet » et a remercié « les efforts inlassables de nos clients, partenaires et le dévouement de notre équipe chez CrowdStrike ».

Pour les 3 % de clients encore en difficulté, Kurtz a exprimé ses regrets. « À nos clients toujours touchés, sachez que nous ne nous reposerons pas tant que nous n’aurons pas complètement récupéré. Chez CrowdStrike, notre mission est de gagner votre confiance en protégeant vos opérations. Je suis profondément désolé pour la perturbation causée par cette panne et je m’excuse personnellement auprès de toutes les personnes touchées. Bien que je ne puisse pas promettre la perfection, je peux promettre une réponse ciblée, efficace et avec un sentiment d’urgence. »

Dans une publication LinkedIn, Kurtz a ajouté que les techniques de récupération automatisées combinées à la « mobilisation de toutes nos ressources pour soutenir nos clients » ont contribué à accélérer la récupération des systèmes. Sur la page d’assistance de CrowdStrike, il est indiqué : « En utilisant une comparaison hebdomadaire, plus de 97 % des capteurs Windows sont en ligne au 24 juillet à 17 heures PT, par rapport à avant la mise à jour du contenu. »

 

Plus tôt dans la journée, la société a publié un rapport préliminaire après incident indiquant la cause première de la mise à jour défectueuse du capteur Falcon. « Le 19 juillet 2024, à 04h09 UTC, une mise à jour du contenu de réponse rapide pour le capteur Falcon a été publiée sur les hôtes Windows exécutant la version 7.11 et supérieure du capteur. Cette mise à jour devait recueillir des données de télémétrie sur les nouvelles techniques de menace observées par CrowdStrike, mais a déclenché des plantages (BSOD) sur les systèmes qui étaient en ligne entre 04h09 et 05h27 UTC. »

L’analyse post-incident a également indiqué que les plantages étaient liés à « un défaut dans le contenu de réponse rapide, qui n’a pas été détecté lors des contrôles de validation ». Lorsque le contenu mis à jour était chargé par le capteur Falcon, « cela provoquait une lecture de mémoire hors limites, entraînant des plantages de Windows (BSOD) ».

Pour éviter que les futures mises à jour ne connaissent le même sort catastrophique, CrowdStrike a déclaré qu’il améliorerait les tests de contenu de réponse rapide en utilisant « des tests de développement local, de mise à jour et de restauration de contenu, de stress, de fuzzing, d’injection de pannes, de stabilité et d’interface de contenu ». Les tests incluront de nouveaux contrôles de validation du code pour éviter des problèmes similaires.

En plus de ce qui précède, CrowdStrike a déclaré qu’il ferait :

  • Résilience et capacité de récupération améliorées
  • Stratégie de déploiement affinée
  • Renforcement de la validation par des tiers

Impact financier et responsabilités

Selon la compagnie d’assurance Parametrix, le coût estimé de la mise à jour défectueuse de CrowdStrike et de la panne du système Microsoft qui a suivi s’élève à 5 milliards de dollars en pertes directes pour les seules entreprises du Fortune 500. Les principales conclusions du rapport Parametrix intitulé « L’impact de CrowdStrike sur les entreprises Fortune 500 » incluent :

  • Environ 25 % des entreprises du Fortune 500 ont connu des perturbations en raison de la panne de CrowdStrike.
  • Les secteurs les plus touchés sont les compagnies aériennes, la santé et la banque.
  • Les pertes assurées devraient se situer entre 0,54 et 1,08 milliard de dollars, soit 10 à 20 % de la perte financière totale.

Dave Stapleton, responsable de la sécurité des systèmes d’information chez ProcessUnity, a déclaré que CrowdStrike pourrait être confronté à des problèmes de responsabilité et de droit. « Il reste encore à voir si les clients auront la capacité ou la volonté d’engager des poursuites judiciaires », a-t-il déclaré. Des inquiétudes ont également été exprimées concernant le fait que CrowdStrike n’aurait pas dû publier une mise à jour un vendredi. « [Aucun fournisseur] ne devrait publier une mise à jour pour l’ensemble de la population mondiale en une seule fois, toutes les versions nécessitent la suite complète de tests et ne devraient pas supposer qu’une mise à jour est solide en se basant sur le succès d’une mise à jour précédente », a-t-il déclaré.

Josh Lemon, directeur de la détection et de la réponse gérées pour Uptycs, est d’accord avec Stapleton, ajoutant : « D’après ce qui s’est passé la semaine dernière, CrowdStrike semble simplement envoyer des mises à jour à tous les clients en même temps, ce qui est assez dangereux compte tenu du nombre de clients qu’ils ont. »

Selon Lemon, les meilleures pratiques consistent à envoyer les mises à jour à un sous-ensemble de clients sur les systèmes de production. Ensuite, il faut surveiller pour s’assurer qu’il n’y a pas d’effets indésirables. Puis envoyer les mises à jour à un autre sous-ensemble de clients et continuer ce processus jusqu’à ce que tout soit mis à jour dans la production, a-t-il déclaré.

Le club des trois pourcent

Jeudi, Delta Airlines a déclaré qu’elle continuait de réparer les systèmes endommagés liés à la panne. La compagnie a indiqué que même si les systèmes étaient en train de revenir en ligne, des milliers de vols Delta ont été annulés.

Atténuer les problèmes liés à la panne de CrowdStrike-Microsoft pourrait être plus difficile pour certains, a expliqué Justin Endres, directeur des revenus chez Seclore. « Il y a plusieurs raisons pour lesquelles la récupération est lente pour certains », a déclaré Endres. « Tout d’abord, l’intervention manuelle pour reconstruire ces systèmes. Il est clair que ceux qui ont un grand nombre de machines Windows prendront plus de temps. »

Le chiffrement peut également constituer un défi lorsqu’il s’agit de remédier aux problèmes des appareils CrowdStrike-Microsoft, a déclaré Endres. « Les organisations qui ont investi dans la sécurité en cryptant les disques durs de leurs ordinateurs auront encore plus de mal à accéder au fichier (du capteur Falcon) qui doit être supprimé. »

Par ailleurs, le ministère des Transports enquête sur Delta concernant la manière dont les passagers ont été traités pendant la panne de CrowdStrike-Microsoft. CrowdStrike reste déterminé à restaurer les systèmes restants et à améliorer ses processus pour éviter de futures pannes similaires.