2024-07-23 06:20:00
Vendredi dernier a été une journée inoubliable pour les techniciens et gestionnaires de systèmes du monde entier. La journée a commencé par une panne des systèmes qui a touché les aéroports, les institutions financières, les hôpitaux, les médias, les supermarchés et les bureaux du monde entier. Un échec dans la mise à jour de l’antivirus Falcon CrowdStrike, qui s’exécutait automatiquement, a provoqué l’effondrement de Windows, le système d’exploitation le plus utilisé, emportant avec lui des milliers d’ordinateurs.
Tout au long du même vendredi, CrowdStrike, la société américaine de cybersécurité responsable de l’antivirus, et Microsoft ont publié des instructions pour que les utilisateurs, principalement des entreprises, puissent résoudre le problème. La solution consistait à supprimer le fichier contenant la dernière mise à jour de Falcon et à redémarrer l’ordinateur.
Est-ce que cela a été résolu ? C’est ce que nous savons pour l’instant de l’incident qui nous a rappelé la terreur produite par « l’écran bleu de la mort », celui qui apparaît lorsque Windows plante.
Combien y a-t-il de personnes concernées ?
Microsoft affirme que 8,5 millions d’ordinateurs dans le monde ont été touchés, ce qui représente moins de 1 % des ordinateurs exécutant le système d’exploitation Windows (qui détient à son tour une part de marché de plus de 70 %). Ce seraient les clients Windows directement concernés, étant donné qu’une seule machine bloquée au comptoir d’enregistrement d’un aéroport, par exemple, pourrait nuire à plusieurs voyageurs à la fois. Microsoft n’a pas proposé de nouvelles données à ce sujet depuis samedi, malgré les questions de ce journal.
Que s’est-il passé spécifiquement ?
Le premier signe que quelque chose n’allait pas est venu des aéroports. Tôt le matin, les premiers vols avaient déjà été annulés, ce qui représente finalement 5 467 vols à travers la planète et 45 648 autres ont été retardés. Il n’a pas fallu longtemps pour que des nouvelles de faillites dans les banques, les systèmes de paiement électronique, les hôpitaux et les bureaux, entre autres, arrivent également.
On a rapidement appris que le problème n’était pas le résultat d’une cyberattaque, mais qu’il était lié à CrowdStrike, bien qu’il n’y ait eu aucune confirmation officielle de la part de l’entreprise avant presque midi. La dernière mise à jour de Falcon, son antivirus le plus avancé, qui surveille une série de menaces en temps réel et grâce à l’intelligence artificielle (connue dans le jargon sous le nom d’EDR, Détection et réponse aux points finaux), a incorporé un problème dans le code. Cet échec a affecté un conducteur (ou pilote de périphérique, un programme qui indique au système d’exploitation comment communiquer avec un matériel) qui a arrêté Windows et provoqué le redoutable écran bleu.
La mise à jour a été exécutée aux premières heures du vendredi 19 (en Espagne, il était six heures du matin, heure de la péninsule), ce qui a pris tout le monde au dépourvu.
Le problème a-t-il été résolu ?
CrowdStrike a supprimé la mise à jour problématique peu de temps après le signalement des premiers incidents. Mais cela n’a fait qu’empêcher le problème de continuer à se propager. Dans le même temps, Microsoft Azure, la division cloud computing du géant de la technologie, a publié un guide pour que ses utilisateurs puissent rétablir leurs systèmes.
Les utilisateurs Windows devaient démarrer le système en mode sans échec, supprimer le dernier fichier de mise à jour et redémarrer le système normalement. Le problème est que ce processus a dû être effectué machine par machine, et certaines entreprises en possèdent des centaines, voire des milliers. Dans certains cas, ceux-ci tombaient en outre dans une boucle de redémarrage, il fallait donc attendre quelques heures pour exécuter le processus. Tout cela signifie qu’il nous faudra encore des jours, voire des semaines, pour que certains systèmes concernés se rétablissent. « On dit que dans certains secteurs, dans moins d’un mois, il sera difficile de revenir au fonctionnement comme avant », explique David Arroyo Guardeño, chercheur principal du groupe Cybersécurité et protection de la vie privée du CSIC.
Microsoft et CrowdStrike ont collaboré dès le début et ont annoncé qu’ils travaillaient sur un correctif pour Microsoft Azure. Dimanche, c’était prêt : les administrateurs système pouvaient télécharger un outil de récupération sur une clé USB qui leur permettait de restaurer automatiquement les machines endommagées.
Cela aurait-il pu être évité?
Tous les experts consultés s’accordent à dire que la crise de vendredi est la conséquence d’un malheureux enchaînement d’erreurs humaines. La dernière mise à jour de l’antivirus comportait une erreur dans le code, écrite par quelqu’un, mais les tests correspondants n’ont pas été effectués avant son lancement. « La qualité des mises à jour est essentielle : elles doivent toutes être validées et hautement testées pour garantir qu’elles n’affecteront pas le système », explique Pedro Viana, responsable des avant-ventes chez Kaspersky, un concurrent de CrowdStrike.
Une autre pratique courante dans le secteur, souligne Viana, consiste à diviser les mises à jour en livraisons. « S’ils sont envoyés progressivement, l’impact des échecs pourrait être moindre. Si vous constatez qu’il y a un problème, vous arrêtez le reste des livraisons et vous vous concentrez sur la résolution de l’incident », explique-t-il.
Qui a été sauvé ?
La crise CrowdStrike s’est étendue à un grand nombre de pays. De l’Australie, la Thaïlande et l’Inde à la France, l’Italie, l’Allemagne, le Royaume-Uni ou l’Espagne, en passant par les États-Unis ou le Mexique. La chute a été mondiale.
Mais il existe deux exceptions notables. La Russie n’a connu aucun problème. Le ministre russe du Développement numérique, des Communications et des Médias, Maxout Shadayev, a déclaré dimanche que les mesures prises par Moscou contre les sanctions contre les entreprises russes avaient sauvé le pays de la panne informatique. “La situation avec Microsoft démontre une fois de plus l’importance du remplacement des importations de logiciels étrangers, principalement dans les infrastructures d’information critiques”, a déclaré le ministre dans un communiqué. collecté par Interne du milieu des affaires.
La Chine n’a pas non plus connu de problèmes majeurs vendredi. Chez le géant asiatique, Microsoft a une position résiduelle : les grands dominateurs du cloud sont Alibaba, Tencent et Huawei. CrowdStrike, pour sa part, est à peine présent sur ce marché.
Quels sont les risques actuels ?
Les hackers sont experts dans l’art de pêcher en eaux troubles. « À partir du moment où Windows plante, une brèche peut se créer dans laquelle la machine n’est plus protégée », explique Viana. Kaspersky ne dispose pas encore de données sur le nombre d’incidents de sécurité que l’échec de la mise à jour CrowdStrike a pu provoquer, mais ils ont enregistré plusieurs cas dans lesquels quelqu’un se fait passer pour des sociétés telles que Microsoft lui-même pour voler des informations à ceux qui ont subi le problème.
Est-ce que cela peut se reproduire ?
Personne n’est à l’abri des erreurs. La première ligne de défense devrait consister à établir des protocoles pour examiner et tester les mises à jour avant de les publier, ce que les grandes entreprises ont tendance à suivre strictement.
L’incident CrowdStrike n’est pas le premier incident de ce type à se produire, même s’il s’agit du plus grave. En 2010, une mise à jour de l’antivirus McAfee a provoqué un problème dans le système d’exploitation Windows. Leurs clients ont dû redémarrer le système. Le directeur technologique de l’entreprise à l’époque était George Kurtz, actuel PDG de CrowdStrike.
Vous pouvez suivre Technologie EL PAÍS dans Facebook et X ou inscrivez-vous ici pour recevoir notre newsletter semestrielle.
#Microsoft #fondu #bleu #qui #paralysé #millions #dordinateurs #Technologie
1721767740
