L’échec de CrowdStrike met en évidence l’importance de la phase de test et son impact potentiel sur la sécurité

Dernières nouvelles sur la chute mondiale après une faillite dans une entreprise Microsoft

MADRID, 19 juillet (Portaltic/EP) –

La perturbation des entreprises du monde entier causée par l’échec sur la plateforme CrowdStrike Il ne s’agit pas d’un incident de sécurité, mais apparemment dû à une erreur humaine, mais cela soulève des questions sur la portée de la technologie aujourd’hui, qui est devenue de plus en plus complexe, et sur l’importance de la phase de test avant un lancement.

La panne de la plateforme Falcon de CrowdStrike a affecté les entreprises de tous les secteurs du monde qui utilisent des ordinateurs avec le système Microsoft, puisqu’elle a été identifiée dans la mise à jour du contenu pour les hôtes Windows.

George Kurtz, PDG de Crowdstrike, a confirmé qu’ils “travaillaient activement” avec les clients concernés par ce bug signalé et que Il ne s’agit pas « d’un incident de sécurité ou d’une cyberattaque ».

Il s’agit cependant d’un exemple de la portée de la technologie aujourd’hui. “La technologie et en particulier les logiciels représentent de plus en plus une complexité croissante. Aujourd’hui, les excès ont des conséquences néfastes et “La qualité du logiciel n’est pas qu’il soit inférieur, c’est qu’il est beaucoup plus complexe”a noté le PDG de l’entreprise technologique espagnole Pandora FMS, Sancho Lerena, dans une note envoyée à Europa Press.

Crowdstrike a déjà identifié et isolé le problème, et a même mis en œuvre un correctif pour le résoudre. Cependant, comme l’explique Kaspersky, « la difficulté est que lorsqu’un problème de cette nature survient, chaque appareil (ordinateur, portable ou serveur) doit redémarrer manuellement en mode sans échec, puisque cela ne peut pas être fait à l’aide d’outils de gestion.

Kevin Reed, RSSI d’Acronis, s’est exprimé dans le même sens, soulignant que la mise à jour défectueuse « nécessite une intervention manuelle pour la résoudre, notamment le redémarrage des systèmes en « mode sans échec » et la suppression du fichier du pilote défectueux », un processus qui “laisse les systèmes vulnérables dans l’intervalle, invitant potentiellement à des attaques opportunistes.” Et il a ajouté que l’interruption “semble avoir son origine dans une erreur de son agent EDR, qui n’a malheureusement pas été testé de manière approfondie”.

C’est un problème “Cela pourrait être un vecteur d’attaque parfaitement plausible, mais ça n’a pas été le cas”, José Rosell, associé directeur de S2 Grupo, précise dans des déclarations à Europa Press. ” Apparemment, ceci C’était une erreur humaine dans une mise à jour. “C’était une erreur dans la distribution d’un fichier, et c’est simplement un échec du processus, une erreur de la part d’une personne qui a distribué un fichier avec une erreur.”

Cependant, et « à titre d’hypothèse », un tel échec pourrait être utilisé pour concevoir une attaque avec les mêmes prémisses que l’erreur. “Cela pourrait être un vecteur d’attaque, mais je comprends que la société de sécurité aussi CrowdStrike sera suffisamment protégé pour empêcher ce type d’attaques passives contre ses clients“, précise Rosell.

L’IMPORTANCE DES TESTS

Reed a également ajouté que la panne “semble provenir d’une erreur dans leur agent EDR, qui n’a malheureusement pas été testé de manière approfondie”. Tant la société que Kaspersky – qui ont fourni des explications dans des communiqués de presse séparés – s’accordent sur le fait que la nécessité de tests complets avant de publier des mises à jour.

Généralement, les fournisseurs de sécurité accompagnent généralement la publication des mises à jour d’« un nombre important de tests et de contrôles internes », comme le détaille Kaspersky, qui souligne également l’importance de «respecter le principe de diffusion granulaire des mises à jour”, Autrement dit, évitez de distribuer la mise à jour à tous les clients en même temps afin qu’en cas de panne, elle puisse être détectée et résolue dans les plus brefs délais.

Pour le RSSI d’Acronis, « cet incident met en évidence l’importance de tests rigoureux et de mises à jour échelonnées. Généralement, les tests sont effectués à chaque version et peut prendre de quelques jours à quelques semaines, selon la taille de la mise à jour ou des modifications“, il ajoute.