Un expert explique ce qui s’est passé et pourquoi

Une grave panne informatique a touché des entreprises du monde entier, immobilisant des avions et portant préjudice aux banques et au secteur de la santé.

George Kurtz, PDG de la société de cybersécurité Crowdstrike, a déclaré que le problème était dû à un «défaut détecté dans une seule mise à jour de contenu» des logiciels de sécurité qu’ils fournissent pour le système d’exploitation Microsoft Windows sur les ordinateurs.

Microsoft a déclaré que le problème était dû à une « mise à jour d’un plateforme logicielle tierce» et que le «cause sous-jacente» avait déjà été résolu.

The Conversation s’est entretenu avec le professeur Alan Woodward, expert en cybersécurité à l’Université de Surrey, sur ce qui n’a pas fonctionné et sur la manière dont le problème pourrait être résolu.

Pouvez-vous expliquer ce qui s’est passé ?

Je pense qu’il y a deux choses. Premièrement, Microsoft semble avoir eu un problème avec la plateforme qui fournit ses services cloud, Azure. Ce n’est pas très clair, mais il semble que le service ait commencé à avoir des problèmes dans l’après-midi du 18 juillet. Cependant, cela n’a pas complètement échoué.

Mais la plus grande complication semble être de loin une mise à jour qui aurait été effectuée en fin d’après-midi du 18 juillet sur le produit Falcon de Crowdstrike, un vérificateur de cybermenaces. Falcon travaille à travers un logiciel « agent » profondément intégré dans le système d’exploitation de chaque PC, qui surveille cet ordinateur et « donne l’alarme » en cas de problème. Vous recevez également des mises à jour sur ce qu’il faut surveiller en cas de menaces. Il est largement utilisé par les grandes multinationales, qui doivent contrôler un grand nombre d’ordinateurs.

Je suis sûr que Crowdstrike enquête de toute urgence sur ce qui s’est passé. Ce logiciel Il est conçu pour protéger les personnes contre les attaques de ransomware etc. D’après les informations les plus récentes que j’ai vues, il semble que le fichier système de mise à jour ait été publié dans un format incorrect.

Le système d’exploitation Windows atteint cette mise à jour et ne sait pas comment la gérer, il plante donc. C’est pourquoi les gens reçoivent « l’écran bleu de la mort », un message d’erreur sur l’écran indiquant une panne du système.

Et le gros problème est qu’il ne peut pas être résolu à distance. Vous devez accéder à chaque machine séparément et la mettre en mode « sécurisé » ou « récupération » pour isoler le logiciel. À partir de là, vous devriez pouvoir redémarrer la machine et la redémarrer. Mais dans une entreprise internationale disposant d’un grand parc informatique, cela prendra beaucoup de temps.

Pourquoi cette perturbation a-t-elle été si profonde ?

Crowdstrike a connu un grand succès : des centaines de milliers de grands clients à travers le monde utilisent son logiciel de sécurité. Ainsi les compagnies aériennes, les aéroports, les chemins de fer, les hôpitaux, les bourses… ils sont tous en faillite.

En Australie, cela a commencé vendredi lorsqu’ils se sont levés pour travailler. La mise à jour a clairement été envoyée hier soir, heure du Royaume-Uni, et s’est répandue dans le monde entier.

Dans les attaques délibérées de ransomware Ils attaquent généralement une ou deux cibles à la fois. Mais dans ce cas-ci, cela est arrivé à des milliers d’organisations à la fois. Rien de tel ne s’était produit auparavant.

Il n’a pas encore été déterminé comment Crowdstrike corrigera le problème. logiciel. Comme je l’ai expliqué, il est clair que les entreprises peuvent éviter ce problème. Mais pour certaines très grandes organisations, cela pourrait affecter leur infrastructure critique et leur activité pendant longtemps : il leur faudra des jours pour travailler physiquement autour de toutes ces machines.

Les entreprises de sécurité peuvent-elles garantir que cela ne se reproduise plus ?

Il logiciel La sécurité est étroitement liée au système d’exploitation d’un ordinateur. Il doit y avoir un moyen pour que s’il détecte que quelque chose est endommagé, il ne continue pas à planter le système, ce qui devra peut-être être fait en collaboration avec Microsoft, propriétaire du système d’exploitation Windows.

Il doit y avoir un moyen de revenir en arrière, et il existe. Cependant, la plupart des personnes qui tentent de s’introduire dans leur ordinateur ne savent pas comment le mettre en mode sans échec et revenir à un état antérieur.

Pour le moment, il semble que ce soit un fichier corrompu qui soit à l’origine d’un problème global. Les ordinateurs téléchargent des mises à jour tout le temps, donc je ne sais pas comment Microsoft empêche que cela se produise avec cette mise à jour. Ce n’est pas immédiatement évident. Et la question à un million de dollars est la suivante : comment ce fichier corrompu a-t-il été publié en premier lieu ?

Combien de temps faudra-t-il pour résoudre complètement ce problème ?

Cela prendra certainement des jours, voire des semaines. C’est comme ces hôpitaux de Londres qui ont été attaqués avec ransomware. Ils souffrent encore, ces choses laissent une longue trace.

Et dans ce cas-ci, il ne s’agit pas seulement d’un sillage, mais cela affecte un très large éventail d’organisations mondiales liées aux transports, à la santé et à de nombreuses autres organisations. Je ne pense pas que nous ayons vu quelque chose de pareil auparavant.

Chez X, anciennement Twitter, George Kurtz, co-fondateur et PDG de Crowdstrike, commenté: « Le problème a été identifié, isolé et une solution mise en œuvre. Nous renvoyons les clients vers le portail d’assistance pour les dernières mises à jour.