Beaucoup plus de mal: non
Ici un simple reboot en sans échec et suppression d'un fichier permet de rétablir le service
Certes c'est très chiant et probablement long mais il y a 0 impact ensuite.
Un crypto ou un vrai attaquant c'est bien plus long à réparer.
Avec des conséquences bien plus graves (fuites de données/ pertes de donnes/ image /...)
Franchement, on pourrait comparer hier à un cryptolocker mondial. Juste vis à vis des pc touchés. Si crowdstrike avait raison en indiquant qu'ils étaient sur 50% des PC pros.
Ensuite, le "il suffit simplement de rebooter en enlevant le fichier" oui et non : sur la plupart des postes de travail il y a en général bitlocker pour le chiffrement et un mot de passe sur l'EFI. ça complexifie, et en tout cas c'est moins facile pour les personnes chez elles.
Pour les serveurs, je suis assez d'accord avec ce qui a été dis au dessus. Je vois beaucoup plus. Beaucoup beaucoup plus de linux en infra que de windows serveur : je trouve que c'est une bonne chose. Après crowdstrike peut aussi être installé sur linux via le "falcon-agent.service", qui aurait pu planter tout autant si la bêtise avait été équivalente sous linux. Dans ce cas, ça aurait été beaucoup plus grave sur les serveurs.
Je pense qu'il y a tout une frange de devices qui tournent sous windows : les bornes libre service, pas mal d'écrans, etc... Qui devraient tourner sur un linux allégé (avec le minimum vital et une LTS supportée très longtemps. Voir même avec un linux custom doté uniquement d'une webapp par exemple). Windows sur ces appareils n'est pas pertinent.
Par contre, encore une fois, ça aurait pu arriver sur linux. ça montre l’hégémonie de crowdstrike qui est en position dominante et qui a fait une grosse bourde. Peut être que plus tard, les DSI referont des appels d'offres pour diversifier les fournisseurs mais en général, en informatique : quand un petit fournisseur est bon, il se fait racheter par les grosses boites américaines et ensuite il ne reste plus qu'une liste qui se compte sur les doigts d'une main. Et souvent ce sont des fournisseurs américains.
A un moment, Jean Luc mélanchon a fait de la récupération politique sur twitter en critiquant le choix de l'armée d'utiliser microsoft. Il s'est tapé une réponse bien faite comme quoi l'armée n'utilise pas crowdstrike et s'occupe de la mise en sécurité de leurs infras, et qu'hier, ça fonctionnait bien.
https://www.frandroid.com/produits-android/ordinateurs/2086750_pourquoi-jean-luc-melenchon-se-trompe-sur-microsoft
Crowdstrike est inexcusable, ils auraient du tester : beaucoup plus. Mais aussi, dans le cas d'hier, on est dans le cas d'un "EDR" antivirus avancé qui analyse au plus près de la machine son comportement en plus du classico "antivirus". Donc les mises à jour à la volée partout, ça ne me choque pas car en cas de virus grave, il faut pouvoir agir vite. Mais dans le cas où c'est l'EDR lui même qui plante... oopsi.
D'un point de vue timing, on a quand même eu une certaine chance : beaucoup de personnes en vacances avec des postes éteints. Beaucoup de postes éteint vers 7h du matin quand la maj foireuse a commencé à faire des dégâts. Rapidement la maj a été supprimée et donc les postes éteints n'ont pas été touchés.
Et en cas de backup la nuit, la MAJ s'est diffusée assez tard dans la nuit donc les backup étaient sains et frais.