12/12/2024

Entreprise

Panne informatique : 8,5 millions de PC Windows touchés par la mise à jour CrowdStrike !

Quelques jours après la panne informatique géante, il est temps de faire le point sur cet incident et sur le nombre de machines Windows impactées.... Voici ce que l'on sait de sources officielles.

78 minutes et une situation chaotique

La mise à jour foireuse de CrowdStrike Falcon a été déployée aux machines Windows en ligne pendant 78 minutes : un laps de temps qui semble court, mais en même beaucoup trop long quand on voit les impacts de cet incident.

Dans un nouvel article publié sur son site, CrowdStrike explique que les machines en ligne entre vendredi 19 juillet 2024 04:09 UTC et le vendredi 19 juillet 2024 05:27 UTC ont pu être impactées par ce bug. Heure de Paris, cela correspond à la plage horaire suivante : entre 06:09 et 07:27, ce qui explique qu'il y a eu une belle pagaille dès le début de la journée.

Chaque machine Windows qui a reçu cette mise à jour buguée de CrowdStrike Falcon, était inutilisable puisqu'elle faisait planter le système d'exploitation en lui-même. À l'échelle mondiale, cet incident technique s'est rapidement fait ressentir, comme nous l'évoquions dans ce précédent article dédié à cette panne géante.

8,5 millions de machines Windows affectées par la panne

De son côté, Microsoft a fait les comptes. L'entreprise américaine estime que cette mise à jour a impactées 8,5 millions de machines : "Nous estimons actuellement que la mise à jour de CrowdStrike a affecté 8,5 millions d'appareils Windows, soit moins d'un pour cent de l'ensemble des machines Windows."

Bien que cette panne ait touché moins de 1% des machines Windows, il s'avère qu'elle a affectée des organisations importantes. Microsoft n'oublie pas de le préciser dans son rapport : "Bien que le pourcentage soit faible, les incidences économiques et sociétales générales reflètent l'utilisation de CrowdStrike par des entreprises qui gèrent de nombreux services essentiels.". Au passage, cet incident concerne aussi les PC Cloud de l'offre Windows 365.

Qu'est-ce qui ne va pas avec cette mise à jour ?

À la suite de cet incident, CrowdStrike a procédé à une analyse technique de sa mise à jour pour tenter de comprendre ce qu'il s'est passé, et surtout, pour essayer de se justifier auprès du monde entier. Ce problème est lié à ce que CrowdStrike appelle des "Channel Files", c'est-à-dire des fichiers dont le nom commence par "C-" et se termine par l'extension ".sys". En l'occurrence, dans le cas présent, c'est le fichier  "C-00000291*.sys" qui est lié au bug.

"Le fichier de canal touché dans cet événement est le 291 et son nom de fichier commence par "C-00000291-" et se termine par une extension .sys. Bien que les fichiers de canaux se terminent par l'extension SYS, il ne s'agit pas de pilotes de noyau.", peut-on lire sur le site CrowdStrike.

Ce Channel File de CrowdStrike Falcon est là pour évaluer l'exécution de Named Pipe sur les systèmes Windows. Dans le cas présent, la mise à jour avait pour objectif de cibler les pipes malveillants récemment observés et utilisés par les structures C2 utilisées par les pirates au sein de cyberattaques.

CrowdStrike estime que cette mise à jour a déclenchée une erreur logique (certains évoquent une histoire de pointeur NULL, tandis que d'autres tentent de prouver le contraire), provoquant ainsi le plantage du système Windows. Si Linux et macOS ne sont pas touchés par ce bug, c'est parce qu'ils n'utilisent pas le Channel File 291, ce dernier étant lié à une fonction propre à Windows.

Malgré tout, nous avons encore le droit de nous interroger sur le processus de validation des mises à jour du côté de l'équipe de développement de CrowdStrike : comment cela a-t-il pu se produire ? Cette mise à jour a-t-elle été testée avant d'être publiée ? Tout porte à croire que non.

Attention aux cybercriminels

Les cybercriminels sont déjà sur le coup pour tenter de profiter de la situation, notamment par l'intermédiaire de campagnes de phishing ou de faux sites web. CrowdStrike a déjà repéré plusieurs tentatives d'escroqueries, notamment avec des appels téléphoniques visant à usurper l'identité d'un agent de CrowdStrike, des e-mails malveillants pour tenter d'apporter du support aux entreprises en galère, ou encore la vente d'outils de récupération du système.

Dans cet article, CrowdStrike référence des noms de domaines malveillants qui pourraient être utilisés par les pirates pour essayer de piéger les entreprises. Voici un aperçu de cette liste :

Source : CrowdStrike

Méfiance, donc. Enfin, si vous êtes touchés par cet incident, nous vous invitons à consulter cette page du site de CrowdStrike.

Que pensez-vous de cet incident majeur ?

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.