Une « tempête parfaite de problèmes » et d’erreurs de validation internes a entraîné la mise à jour défectueuse du logiciel de CrowdStrike qui a provoqué une panne du réseau informatique mondial en juillet, a déclaré un dirigeant lors d’un témoignage mardi lors d’une audience au Congrès.
Adam Meyers, vice-président senior des opérations de contre-attaque chez CrowdStrike, a accepté l’entière responsabilité et s’est excusé au nom de l’entreprise pour avoir provoqué l’une des plus grandes pannes informatiques de l’histoire, lors d’un témoignage devant les membres de la sous-commission de la Chambre sur la cybersécurité et la protection des infrastructures.
« La confiance prend des années à se construire et quelques secondes à se briser, et nous comprenons que nous avons trahi cette confiance et que nous devons travailler pour la regagner », a déclaré Meyers.
Les membres du sous-comité se sont montrés en grande partie compréhensifs face aux défis techniques du secteur de la cybersécurité, même si dans quelques moments de confrontation, les législateurs ont critiqué les processus de CrowdStrike qui ont permis à l’erreur de passer à travers les tests.
« Cela semble être une erreur majeure. Vous touchez à beaucoup de choses. Vous touchez à de nombreuses infrastructures aux États-Unis, un domaine pour lequel nous comptons sur vous, et pour lequel vous avez fait un excellent travail jusqu’à présent », a déclaré le représentant Morgan Luttrell.
« Vous évoquez la Corée du Nord, la Chine et l’Iran, nos acteurs extérieurs essaient de nous avoir tous les jours. Nous nous sommes tiré une balle dans le pied à l’intérieur de la maison. »
Bien que la faute incombe à CrowdStrike dans cet incident, l’impact général de son erreur sur les utilisateurs de Windows a remis en question les pratiques des fournisseurs de cybersécurité, en particulier la dépendance de leurs outils au contrôle approfondi et à l’accès au noyau Windows.
L’implication de Microsoft est importante et sa réponse est surveillée de près alors que l’entreprise continue de réviser sa stratégie de cybersécurité. La semaine dernière, Microsoft a présenté certains tests internes et modifications de systèmes sur lesquels elle travaille pour éviter une nouvelle panne généralisée via des fournisseurs tiers.
Voici cinq points à retenir du témoignage de Meyers :
1. Le processus de test de CrowdStrike a échoué.
Le processus de CrowdStrike pour tester les mises à jour de contenu avant et pendant la mise à jour défectueuse du 19 juillet s’appuyait sur des validateurs qui testaient les fichiers de chaînes de contenu individuellement, mais pas collectivement. Cela a changé depuis.
« La nouvelle méthodologie consiste à tester toutes les mises à jour de contenu en interne avant de les diffuser aux premiers utilisateurs », a déclaré Meyers.
Lors du témoignage de Meyers, certains législateurs ont voulu comprendre ce qui n’allait pas avec la mise à jour du contenu du capteur défectueux. Les procédures ont été suivies, mais ces procédures internes n’ont pas réussi à détecter l’erreur.
« Nous avons testé chacun des canaux, donc chacune des différentes règles qui se trouvaient à l’intérieur de ce fichier de contenu a été testée individuellement », a déclaré Meyers.
Les validateurs ont vérifié que les règles étaient conformes à la structure élaborée par CrowdStrike pour la mise à jour du contenu. « Le test a montré qu’il était propre ou bon, et c’est pourquoi il a été autorisé à être déployé », a déclaré Meyers.
Pourtant, le fichier de contenu a déclenché un problème au sein du noyau. « C’est presque comme si vous imaginiez un échiquier essayant de déplacer une pièce d’échecs vers un endroit où il n’y a pas de case. C’est en fait ce qui s’est passé à l’intérieur du capteur », a déclaré Meyers.
La mise à jour de la configuration présentait une incompatibilité dans les champs, ce qui laissait l’un des champs non lié à une règle.
« Ce n’était pas un manque de suivi du processus. C’était un problème avec le validateur de contenu », a déclaré Meyers. « La situation était telle que le validateur de contenu a permis à la configuration du contenu d’être envoyée au capteur, et le capteur n’a pas pu trouver la règle qu’il recherchait, ce qui a provoqué le problème. »
Le caractère inédit de ce qui s’est passé n’a pas échappé à Meyers, qui a déclaré : « C’est la première fois que ce problème se manifeste, à ma connaissance. »
2. CrowdStrike explique pourquoi il a besoin d’un accès au noyau dans les systèmes Windows.
Le noyau est la partie centrale du système d’exploitation Windows, responsable de l’interface avec le matériel. Selon Meyers, il est également essentiel pour les outils de cybersécurité de garantir les performances, de maintenir la visibilité à l’échelle du système et de prévenir les menaces.
« Le pilote du noyau est un composant clé de tous les produits de sécurité auxquels je pourrais penser. Le fait qu’ils déclarent effectuer la majeure partie de leur travail dans le noyau ou non varie d’un fournisseur à l’autre, mais essayer de sécuriser le système d’exploitation sans accès au noyau serait très difficile », a déclaré Meyers.
Le noyau Windows garantit également une protection anti-falsification, ce qui est essentiel pour empêcher les cybercriminels de désactiver les outils de sécurité, a déclaré Meyers.
La visibilité du noyau est essentielle pour garantir que les groupes de menaces n’accèdent pas au noyau et ne désactivent pas ou ne suppriment pas les produits et fonctionnalités de sécurité, a déclaré Meyers.
« Nous avons fait des erreurs dans ce cas et nous tirons les leçons de ce qui s’est passé et nous avons mis en œuvre des changements pour garantir que cela ne se reproduise plus. »
Microsoft a déclaré qu’il prévoyait de renforcer les capacités de sécurité en dehors du noyau, notamment la protection anti-falsification et les exigences en matière de capteurs de sécurité.
3. Les clients CrowdStrike contrôlent désormais la cadence de mise à jour du contenu.
Les mises à jour de contenu de CrowdStrike fonctionnent désormais selon un modèle d’adhésion que Meyers décrit comme un « système d’anneaux concentriques ». Cette approche progressive donne aux clients la possibilité de choisir quand et comment leurs systèmes reçoivent les mises à jour de configuration de contenu.
Les tests, première étape de ce nouveau processus, se déroulent en interne au sein de CrowdStrike. À partir de là, les clients peuvent choisir de faire partie du programme d’adoption précoce pour recevoir les mises à jour de contenu dès que CrowdStrike les met à disposition.
La disponibilité générale intervient après l’adoption précoce et les clients peuvent retarder davantage les mises à jour à leur discrétion ou choisir de ne pas les recevoir du tout. CrowdStrike ne peut pas outrepasser unilatéralement ces contrôles de mise à jour de contenu.
L’adoption précoce est appropriée à des fins de test en entreprise, « si une organisation souhaite recevoir ces mises à jour de contenu en temps opportun et s’assurer qu’il n’y a pas de résultat ou de comportement inattendu », a déclaré Meyers.
« Pour les systèmes critiques ou les choses pour lesquelles ils préféreraient attendre plus longtemps, ils peuvent choisir de le faire, mais cela comporte bien sûr le risque de ne pas obtenir les informations de renseignement sur les menaces les plus récentes fournies à leur système », a déclaré Meyers.
4. CrowdStrike a modifié sa politique pour traiter les mises à jour de contenu comme du code.
La mise à jour défectueuse de la configuration du contenu, qui incluait une erreur de saisie de champ de base qui provoquait une lecture de mémoire hors limites, n’était pas du code, mais plutôt des informations sur les menaces distribuées aux capteurs des clients de CrowdStrike.
À la suite de l’erreur, CrowdStrike ne fait plus de distinction entre les modifications du code logiciel et les mises à jour de configuration du contenu en ce qui concerne les tests.
« La configuration est désormais traitée comme du code, alors qu’auparavant elle était considérée comme de simples informations de configuration », a déclaré Meyers. « Nous offrons donc beaucoup plus de contrôle et de visibilité sur ce que cela représente et sur la manière dont cela est transmis au système. »
Les mises à jour de contenu de CrowdStrike pour les capteurs font désormais l’objet de tests internes plus rigoureux avant d’être distribuées aux premiers utilisateurs ou aux clients qui ont opté pour les mises à jour de disponibilité générale.
« Avant cela, nos packages de capteurs, tout notre code source, avaient déjà ces bonnes pratiques établies en place, et maintenant nous appliquons cela également aux mises à jour de contenu », a déclaré Meyers.
5. Les mises à jour rapides de configuration de contenu sont là pour rester.
CrowdStrike publie des mises à jour de configuration de contenu pour les capteurs Windows 10 à 12 fois par jour, en moyenne.
Ces mises à jour « contiennent les dernières informations de renseignement sur les menaces pour instrumenter notre capteur, notre outil, afin de comprendre quelles nouvelles menaces évoluent », a déclaré Meyers.
« Le paysage des menaces évolue parfois à chaque instant », a déclaré Meyers. « Pour anticiper ces menaces et permettre à la plateforme CrowdStrike de les détecter et de les prévenir, des mises à jour régulières sont nécessaires. »
Meyers n’a donné aucune indication que CrowdStrike prévoit de limiter la fréquence à laquelle il met à jour les capteurs.
« Nous continuerons à mettre à jour notre produit avec des informations sur les menaces aussi souvent que nécessaire afin de garder une longueur d’avance sur les menaces auxquelles nous sommes confrontés », a déclaré Meyers. « La rapidité est importante dans ce domaine afin de garder une longueur d’avance sur ces acteurs de la menace. »
#mea #culpa #CrowdStrike #points #retenir #témoignage #Capitole
