La Fibre
Télécom => Logiciels et systèmes d'exploitation => 
Microsoft Windows => Discussion démarrée par: trekker92 le 19 juillet 2024 à 11:42:28
-
Edit:
Crowdstrike a publié mardi 6 août 2024 un rapport détaillé expliquant comment la faille a pu échapper à ses procédures de test.
En résumé, le code fautif faisait appel à « vingt et unième paramètre », en réalité inexistant, qui n’était pas utilisé dans les précédentes mises à jour du logiciel, ni dans les tests conduits par l’entreprise, ce qui explique qu’il est passé inaperçu.
(cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/testdebit/windows10/202806_crowdstrike_analyse_incident_19_juillet_2024.webp) (https://lafibre.info/testdebit/windows10/202806_crowdstrike_analyse_incident_19_juillet_2024.pdf)
Le journal de TF1 de 13h presque entièrement consacré au bug :
https://www.youtube.com/watch?v=P7SPK50xtJ8
Timelapse de 12 heures des 3 compagnies les plus affectés par la panne mondiale Crowdstrike :
https://lafibre.info/videos/windows/202407_crowdstrike_impact_sur_3_compagnies_aerienne_americaines.mp4
Présentation de Crowdstrike au FIC (Forum International de la Cybersécurité) de Lille (5-7 avril 2023)
La force de Crowdstrike, "c'est la capacité à déployer très très vite, dans des situations critiques, des dizaines de milliers d'agents, sans reboot, sans risque d'interaction ou de problème"
https://lafibre.info/videos/securite/202304_crowdstrike_presentation_fic.webm
Des pannes informatiques signalées à l'échelle mondiale après un problème technique détecté dans un logiciel de sécurité (https://www.francetvinfo.fr/internet/l-australie-visee-par-une-panne-technique-a-grande-echelle-des-problemes-de-telecommunications-signales-egalement-au-japon_6674940.html)
(https://lafibre.info/testdebit/windows10/202407_crowdstrike_ecran_bleu_windows_19juillet2024.avif)
BSOD à l'aéroport de Sydney ce vendredi 19 juillet 2024 :
(https://lafibre.info/testdebit/windows10/202407_crowdstrike_ecran_bleu_windows_19juillet2024_aeroport_sydney_1.jpg) (https://lafibre.info/testdebit/windows10/202407_crowdstrike_ecran_bleu_windows_19juillet2024_aeroport_sydney_2.avif)
Il provient de la MAJ de l'agent Falcon Sensor de CrowdStrike et un workaround est proposé :
https://www.reddit.com/r/crowdstrike/comments/1e6vmkf/bsod_error_in_latest_crowdstrike_update/ (https://www.reddit.com/r/crowdstrike/comments/1e6vmkf/bsod_error_in_latest_crowdstrike_update/)
oui, c'est partout dans la presse ce matin :
https://www.boursorama.com/bourse/actualites/une-panne-informatique-geante-paralyse-de-nombreuses-entreprises-dans-le-monde-36ac7509823049cd0867d30e1d062055
(sauf chez NXI bizarrement)
https://news.ycombinator.com/item?id=41002195
https://old.reddit.com/r/crowdstrike/comments/1e6vmkf/bsod_error_in_latest_crowdstrike_update/
CrowdStrike semble être un acteur majeur de la cyber (comme il en existe des milliers :D), également leader dans son domaine, comme la TPE du coin ;)
https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue
En deux mots :
qu'est ce que CrowdStrike?
un géant des solutions cyber, présent partout dans le monde, dans diverses industries
pourquoi windows bug?
parce qu'il y a eu une couille dans la matrice un détecteur à priori défectueux (voir *1*) dans un logiciel de cybersec fonctionnant sous windows.
pourquoi NXI n'a rien encore écrit à ce sujet?
parce que seuls les journaux généralistes se sont réveillés, ça fait vendre leur papelard ; pour de l'info de qualité, attendre 24 à 48h :)
qui n'est pas affecté?
les ordis windows non équipés de crowdstrike, les ordis sans windows
qui est affecté?
voir *2*
le fil des experts francophones :
https://www.mail-archive.com/frnog@frnog.org/msg76219.html
l'afp précise enfin les raisons de la panne :
Le souci technique concerne une solution de cybersécurité de la marque Crowdstrike, utilisée par des milliers d'entreprises dans le monde. Le logiciel en question, appelé Falcon, est un EDR ("endpoint detection and response" ), qui permet une surveillance en temps réel de tous les serveurs et les ordinateurs d'un même système informatique dans sa globalité.
Le bug empêche, à l'heure actuelle, l'ouverture et le lancement des ordinateurs sous Windows. Microsoft indique vendredi matin avoir pris des "mesures d'atténuation" pour tenter de limiter les pannes liées à cet incident. Selon nos informations, plusieurs entreprises françaises sont concernées. La panne mondiale touche "les activités informatiques de Paris 2024", annonce le Comité d'organisation des Jeux Olympiques et Paralympiques de Paris 2024.
https://www.francetvinfo.fr/internet/direct-panne-informatique-mondiale-les-principales-compagnies-aeriennes-americaines-clouent-au-sol-leurs-vols-selon-la-faa_6674985.html
1: Security company CrowdStrike has finally confirmed the massive Windows 10 BSOD outage is due to its new sensors update. As you probably know, CrowdStrike offers endpoint protection and other services, which are used by every other company, but a new update for CrowdStrike sensors is causing significant issues.
On X, there are widespread reports of Blue Screen of Death (BSOD) errors on Windows hosts, and they appear to be associated with multiple versions of CrowdStrike sensors. In our tests, Windows Latest observed that csagent.sys (or C-00000291*.sys) is causing the problem, so if you delete the file or rename the driver folder, you should be able to boot.
https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/
What you need to know
Global outages: Tech disruptions across the world have hit airlines and businesses, which are scrambling to respond.
Microsoft investigating: Microsoft said it was investigating an issue preventing users from accessing its apps and services. Industry experts said the disruption appears to stem from an issue with CrowdStrike, a cybersecurity firm that has Microsoft among its clients.
Travel stalled: Major US carriers including Delta, United and American Airlines have had flights grounded, according to the Federal Aviation Administration. International airlines, including Virgin Australia and Qantas, have also seen disruptions.
Critical infrastructure hit: Banks and telecoms companies in Australia and New Zealand have been affected, while Israel’s hospitals and health services are facing a computer “malfunction,” authorities said.
CrowdStrike and Microsoft shares down before markets open
From CNN's Laura He
CrowdStrike stock plummeted by more than 18% in pre-market trading on Friday in New York, indicating heavy selling pressure that could cause it to open sharply lower.
Microsoft’s shares also declined 2%. Both companies are listed on the Nasdaq exchange.
Industry experts have said the global tech outages appear to stem from an issue with CrowdStrike, a cybersecurity firm that has Microsoft Windows among its clients.
2:
Mass tech outages worldwide have caused IT systems to shut down, sparking delays and issues at European airports as well as affecting other transport links.
London’s Gatwick Airport said it is “affected by the global Microsoft issues” and that passengers may experience delays checking in and going through security.
Germany’s Berlin Airport said that it is experiencing delays to check-in due to a “technical fault.”
Amsterdam’s Schiphol Airport said the “global system failure” had affected “flights to and from Schiphol” and the impact is “now being mapped.” KLM Royal Dutch Airlines said the outages are “making flight handling impossible.”
Scotland’s Edinburgh Airport said IT systems outages mean “wait times are longer than usual at the airport.” Teams are on hand to assist while the airport works to resolve its issues, it said.
Spain’s airport authority, AENA, which supervises airports in Madrid, Barcelona and others across the country said in a post on X there was an “incident in the computer system” which “could cause delays,” adding that it was working to solve the problems.
Prague Airport said on X that the issues have affected its global check-in system, delaying flights.
Ryanair also confirmed a disruption to the airline’s network, advising passengers to arrive at least three hours before their scheduled departure time.
Air France, the country’s flag carrier, said the global IT issue had disrupted its operations — though flights already in the air are not affected.
Turkish Airlines said it was experiencing problems with ticketing, check-in and reservations. “Our teams are working diligently to resolve the issue as soon as possible,” the airline said in a statement.
Trains in the UK are also having issues, with Thameslink, a mainline route on the British railway, saying: “Our IT teams are actively investigating to determine the root cause of the problem.”
https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html
Thousands of Windows machines are experiencing a Blue Screen of Death (BSOD) issue at boot today, impacting banks, airlines, TV broadcasters, supermarkets, and many more businesses worldwide. A faulty update from cybersecurity provider CrowdStrike is knocking affected PCs and servers offline, forcing them into a recovery boot loop so machines can’t start properly. CrowdStrike is widely used by many businesses worldwide for managing the security of Windows PCs and servers.
Australian banks, airlines, and TV broadcasters first raised the alarm as thousands of machines started to go offline. The issues are now spreading, as businesses based in Europe are starting their working days. UK broadcaster Sky News was unable to broadcast its morning news bulletins for hours this morning, and was showing a message apologizing for “the interruption to this broadcast.” Ryanair, one of the biggest airlines in Europe, also says it’s experiencing a “third-party” IT issue, which is impacting flight departures.
https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue
-
Il faut démarrer Windows en mode sans échec (touche F8 au démarrage).
Une fois l'ordinateur démarré aller dans le disque C:
Il faut aller précisément dans C:\Windows\System32\drivers\CrowdStrike
Dans ce dossier, supprimer le fichier qui commence par C-00000291 et termine par .sys
Redémarrer l'ordinateur.
Et pis c'est tout!
Faut juste être admin du binz.
-
Il faut démarrer Windows en mode sans échec (touche F8 au démarrage).
Une fois l'ordinateur démarré aller dans le disque C:
Il faut aller précisément dans C:\Windows\System32\drivers\CrowdStrike
Dans ce dossier, supprimer le fichier qui commence par C-00000291 et termine par .sys
Redémarrer l'ordinateur.
Et pis c'est tout!
Faut juste être admin du binz.
problème, la planète entière n'est pas supposée se retrouver dans la situation ou madame de la compta ou jérome de l'accueil **doivent** réaliser cette procédure.
ca va leur couter une blinde.. c'est presque le niveau d'un rancongiciel là
déjà c'est bien hard d'accéder en F8 au mode sans échec, si maintenant certains s'imaginent qu'i faudra moins d'une demie journée facturée pour résoudre le problème sur chaque machine..
-
Oui, au final Crowdstrike aura peut-être engendré plus de dégâts que les menaces dont il est censé protéger les entreprises.
J'ai déjà vu des spécialistes en sécurité dire que la seule différence entre un virus et un antivirus, c'est que pour les antivirus, on les paie
-
Oui, au final Crowdstrike aura peut-être engendré plus de dégâts que les menaces dont il est censé protéger les entreprises.
J'ai déjà vu des spécialistes en sécurité dire que la seule différence entre un virus et un antivirus, c'est que pour les antivirus, on les paie
mais attendez, on rentre en plein dans la tendance voulue par l'IA : des investissemnts massifs, une tendance dont tout le monde parle, qui accouche au mieux d'une souris, au pire de nombreux incidents ! :D
edit: NXI se réveille
https://next.ink/144344/panne-et-paralysie-mondiale-une-mise-a-jour-crowdstrike-provoque-des-bugs-en-cascade/
-
Une gigantesque panne affecte actuellement de nombreuses structures, y compris de grosses entreprises, des aéroports et des hôpitaux. En cause apparemment, une mise à jour des logiciels de cybersécurité de CrowdStrike. Elle provoque des écrans bleus sur les machines équipées de Windows, ainsi que des redémarrages en boucle.
Partout dans le monde, des entreprises et autres structures rapportent être partiellement ou totalement bloquées. Une cyberattaque ? A priori non. Le problème vient d’une mise à jour déployée par CrowdStrike pour son EDR (détection et intervention sur les points de terminaison) Falcon Sensor. Des banques, des aéroports, des hôpitaux, des magasins, des chaines de télévision ou encore des organes de presse sont touchés.
Le symptôme est le même partout : un écran bleu de Windows et un redémarrage du système. Falcon Sensor étant un produit destiné aux entreprises, le grand public n'est pas censé être concerné.
De très nombreuses structures touchées
Les exemples sont très nombreux. Parmi les plus retentissants, la bourse de Londres, dont le service de nouvelles « est actuellement confronté à un problème technique global d'une tierce partie, empêchant la publication de nouvelles sur www.londonstockexchange.com ». De nombreux aéroports sont touchés, dont ceux de Berlin, Melbourne, Hong-Kong, Prague ou plusieurs en Inde. Aux États-Unis, tous les avions de Delta, United et American Airlines sont cloués au sol.
Citons également les groupes médias ABC aux États-Unis et Sky News au Royaume-Uni, dont les services sont perturbés. Même chose pour les trains au Royaume-Uni.
CrowdStrike au courant, un début de solution
CrowdStrike indique être au courant de la situation dans une note, qui réclame malheureusement un compte pour la lire. La société ajoute qu’elle enquête sur le problème, qui semble lié à un souci de déploiement. La modification a été annulée.
Sur Reddit, la solution présentée dans la page « cachée » de CrowdStrike est mise en avant. Elle consiste à :
redémarrer Windows en mode sans échec
se rendre dans le dosser C:\Windows\System32\drivers\CrowdStrike et à
y effacer un fichier de type « C-00000291*.sys ».
Après le redémarrage, le problème disparaitrait. Mais, comme indiqué dans de nombreuses réponses sur Reddit : il est presque impossible d’accéder aux machines actuellement. En outre, la solution serait impossible à appliquer sur les machines où BitLocker (solution de chiffrement intégral de Microsoft) est actif.
En France, le CERT vient également de communiquer : « Le CERT-FR a été informé ce jour d'un incident majeur affectant les systèmes Microsoft Windows disposant de l'EDR CrowdStrike Falcon. Cet incident semble provoquer un écran bleu système entraînant un redémarrage du poste. À ce stade, le CERT-FR n'a pas d'élément indiquant que cet incident est lié à une attaque informatique ». Le Centre ajoute suivre « avec attention les évolutions de cet incident ». Même son de cloche à l’ANSSI.
La nouvelle pourrait fortement impacter CrowdStrike. Avant même l’incident, l’entreprise voyait son action chuter à cause de divers problèmes de valorisation. Hier, on a également appris que le cabinet d’analyse Redburn Atlantic baissait sa note pour CrowdStrike (et Palo Alto Networks), citant le prix trop élevé de son action et des conditions changeantes sur le marché.
Comment en est-on arrivés là ?
À l’heure actuelle, ni CrowdStrike ni Microsoft n’ont publiquement communiqué sur cette vaste panne, alors que de nombreuses questions restent ouvertes. La plus évidente : comment une telle mise à jour a-t-elle pu passer les différentes étapes de vérification ?
While current evidence points to a CrowdStrike update gone wrong — let's not forget that causing this level of outage, by a single application, should not be possible in the first place.
How did 1. Windows, 2. process isolation and 3. null-safe kernel code also fail to catch it?
— Lars Veelaert (@larsveelaert) July 19, 2024
Quelques heures auparavant, Microsoft avait des problèmes avec Azure et Microsoft 365, mais ils semblent désormais réglés et sans lien apparent avec les soucis du jour. Ces derniers viennent pour rappel d’une mise à jour de chez CrowdStrike, pas d’un problème chez Microsoft.
https://next.ink/144344/panne-et-paralysie-mondiale-une-mise-a-jour-crowdstrike-provoque-des-bugs-en-cascade/
-
également, les anglophones souhaiteront peut être la synthèse + le détail sur la page wiki (:D) :
https://en.wikipedia.org/wiki/July_2024_global_cyber_outages
I'm in Australia. All our banks are down and all supermarkets as well so even if you have cash you can't buy anything.
https://old.reddit.com/r/crowdstrike/comments/1e6vmkf/bsod_error_in_latest_crowdstrike_update/ldw3oiv/
My wife’s machine BSODd live when this happened. I was like, babe, you are gonna read about this in the news tomorrow. I don’t think you’re gonna get in trouble with your boss
I felt like the cop in Dark Knight Rises telling the rookie ‘you are in for a show tonight’
https://old.reddit.com/r/crowdstrike/comments/1e6vmkf/bsod_error_in_latest_crowdstrike_update/ldw2znr/
on dirait un entrainement à skynet.. qui fait une belle pub pour les unix!
-
Il faut démarrer Windows en mode sans échec (touche F8 au démarrage).
Une fois l'ordinateur démarré aller dans le disque C:
Il faut aller précisément dans C:\Windows\System32\drivers\CrowdStrike
Dans ce dossier, supprimer le fichier qui commence par C-00000291 et termine par .sys
Redémarrer l'ordinateur.
Et pis c'est tout!
Faut juste être admin du binz.
non car t'as oublié la ligne la plus importante:
En outre, la solution serait impossible à appliquer sur les machines où BitLocker (solution de chiffrement intégral de Microsoft) est actif.
un non admin peut éventuellement faire la procédure, encore faut-il que la machine ait un clavier ou un moyen de brancher un clavier pour faire F8.
si y'a du BitLocker il faut en plus les clés de chiffrement pour faire la manip... ce qui n'est pas forcement possible, sur ce genre de terminaux on ne garde pas forcement ces clés.
Sur une machine ou on est met Falcon Sensor (le produit en question) et il est souvent aussi logique de Bitlocker le stockage.
ca veut dire reset complet et réinstallation l'équivalent de la procédure de changement d'un terminal.
.. qui en général sont pre parametrés en atelier avant d'être déployé sur site.
bref suivant les cas ca peut être long et couteux de remedier au probleme...
-
En attendant, ça fout le boxon partout.
Au niveau de la TV, TF1, CNEWS, LCI n'ont pu diffuser correctement leurs émissions. CANAL+ est en recouvery mode, Canal+ Foot, Sport 360, Info Sport+ ont cessé d'emmener pendant 3h. CStar a vu son écran figée pendant 3h.
Certaines chaines ont carrément cessé d'émettre. Comme National Géographic et Nat Géo Wild.
A l'étranger, j'ai vu que Sky News Australia et UK avait été concernées.
Ce qui m'inquiète le plus, c'est de savoir que aux USA, le 911, le numéro d'urgence, est tombé en rade. Pour le coup, faisant parti des infrastructures vitales, je ne comprends pas trop...
-
on dirait un entrainement à skynet.. qui fait une belle pub pour les unix!
Alors c'est pas tout a fait vrai.
Ce genre d'agent -de merde- est dispo aussi sous linux avec tout ce qu'il faut pour faire un kernel panic. https://access.redhat.com/solutions/7068083 (https://access.redhat.com/solutions/7068083)
Pour moi c'est plus un symptôme de ces services cloud-based qui viennent avec des agents opaques dont la qualification est souvent mal/pas faite compte tenu des mises a jour trop rapides liées au fait que ce sont des merdes livrées avec des milliards de truc à corriger car 'il faut aller vite'.
-
non car t'as oublié la ligne la plus importante
En démarrant d'un CD/clef Linux ça peut pas jouer la combine?
-
Alors c'est pas tout a fait vrai.
Ce genre d'agent -de merde- est dispo aussi sous linux avec tout ce qu'il faut pour faire un kernel panic. https://access.redhat.com/solutions/7068083 (https://access.redhat.com/solutions/7068083)
Pour moi c'est plus un symptôme de ces services cloud-based qui viennent avec des agents opaques dont la qualification est souvent mal/pas faite compte tenu des mises a jour trop rapides liées au fait que ce sont des merdes livrées avec des milliards de truc à corriger car 'il faut aller vite'.
les DSI sont friands d'agents qui ne font pas qu'antivirus.. ce qui devait arriver arriva, et arrivera à nouveau dans dix ans..
En démarrant d'un CD/clef Linux ça peut pas jouer la combine?
vous avez déjà vu un linux accéder/modifier un système de fichiers protégé par bitlocker, vous?
de mon coté, pour avoir essayé il y a quelques jours : message d'erreur de volume mal démonté, qu'il ne peut remonter (d'ailleurs, bitlocker est fait pour empecher les unix/linux d'accéder, sinon le chiffrement serait une blague :D )
-
si y'a du BitLocker il faut en plus les clés de chiffrement pour faire la manip... ce qui n'est pas forcement possible, sur ce genre de terminaux on ne garde pas forcement ces clés.
Sur une machine ou on est met Falcon Sensor (le produit en question) et il est souvent aussi logique de Bitlocker le stockage.
Étrangement, les numériques ont posté un article où bitlocker peut se contourner en ignorant la saisie des clés puis en bootant en mode sans échec... encore un journaliste qui ne s'est pas relu :-X https://www.lesnumeriques.com/antivirus/panne-microsoft-crowdstrike-comment-corriger-le-probleme-n224510.html
-
RIP le gars qui a fait la MEP chez Crowdstrike :-\
-
En démarrant d'un CD/clef Linux ça peut pas jouer la combine?
non si c'est chiffré.
et souvent ces machines n'ont pas de quoi mettre une clé linux pour booter.. les ports ne pas présents ou désactivés physiquement pour des raisons de sécurité...
il faut bien comprendre que ce sont des "PC" au sens ou Windows tourne dessus mais pas des "PC de bureau".
suivant les cas on trouve:
- des écrans tout en un ou la carte mere est intégrée et seul un port Ethernet et une alimentation électrique sont dispo (souvent avec un cable combiné spécifique).
- des "pc" au format "boite noire" avec juste un port ethernet, une alim et un port HDMI.
- et des fois y'a meme pas de port Ethernet juste du wifi.
bref la 'manip' manuelle pour les débloquer n'est pas forcement évidente à faire.
Certains ont prévu le coup et on des process en place ou un moyen de reinstaller completement l'OS a distance. D'autres n'ont rien prévu du tout et doivent faire appel a des interventions humaines.
Et dans bc de cas ce sont des sous-traitants...ils n'ont pas les compétences internes.
Et ca tombe un vendredi en période de vacances.
Certains ont quelques terminaux de secours qu'ils peuvent utiliser en remplacement mais personne n'a 100% de son parc en stock de secours...
-
non si c'est chiffré.
et souvent ces machines n'ont pas de quoi mettre une clé linux pour booter.. les ports ne pas présents ou désactivés physiquement pour des raisons de sécurité...
il faut bien comprendre que ce sont des "PC" au sens ou Windows tourne dessus mais pas des "PC de bureau".
suivant les cas on trouve:
- des écrans tout en un ou la carte mere est intégrée et seul un port Ethernet et une alimentation électrique sont dispo (souvent avec un cable combiné spécifique).
- des "pc" au format "boite noire" avec juste un port ethernet, une alim et un port HDMI.
- et des fois y'a meme pas de port Ethernet juste du wifi.
bref la 'manip' manuelle pour les débloquer n'est pas forcement évidente à faire.
Certains ont prévu le coup et on des process en place ou un moyen de reinstaller completement l'OS a distance. D'autres n'ont rien prévu du tout et doivent faire appel a des interventions humaines.
Et dans bc de cas ce sont des sous-traitants...ils n'ont pas les compétences internes.
Et ca tombe un vendredi en période de vacances.
Certains ont quelques terminaux de secours qu'ils peuvent utiliser en remplacement mais personne n'a 100% de son parc en stock de secours...
ca doit être de l'arm pour beaucoup non?
c'est très souvent le cas sur de l'affichage public (en: digital signage) ou des bornes d'interaction publiques (en: PoS, Point of Sale)
déjà sur une tablette, hors du port USB adb ya pas grand chose..
le seul point positif, c'est que la france/europe n'a pas l'air particulièrement touchée
si l'australie s'amusait pas à mettre tous ses oeufs...
-
vous avez déjà vu un linux accéder/modifier un système de fichiers protégé par bitlocker, vous?
de mon coté, pour avoir essayé il y a quelques jours : message d'erreur de volume mal démonté, qu'il ne peut remonter (d'ailleurs, bitlocker est fait pour empecher les unix/linux d'accéder, sinon le chiffrement serait une blague :D )
Avec dislocker ça fonctionne bien si y'a pas de TPM d'utilisé.
-
c'est très souvent le cas sur de l'affichage public (en: digital signage) ou des bornes d'interaction publiques (en: PoS, Point of Sale)
Pourquoi mettre Windows + un EDR "corporate" + Bitlocker sur ce genre de système ? Je n'ai jamais compris ...
le seul point positif, c'est que la france/europe n'a pas l'air particulièrement touchée
Si ... Des enseignes de distribution généralistes ou spécialisées, des compagnies aériennes. Transavia a par exemple une liste de vols annulés et un message (https://www.transavia.com/information/fr-fr/panne-informatique) qui indique : Il n'est pas possible aussi de réserver un vol, de se connecter à Mon Transavia et de s'enregistrer. Nous sommes désolés pour la gêne occasionnée.
-
Pourquoi mettre Windows + un EDR "corporate" + Bitlocker sur ce genre de système ? Je n'ai jamais compris ..
depuis que les entreprises foutent tout dans le .clou, je cherche meme plus à comprendre les marteaux..
comment prêcher la bonne paroisse :
(https://i.ibb.co/8MZ7cpZ/Capture-d-cran-du-2024-07-19-13-09-53.png)
-
c'est un coup des russes ?
Poutine c'est toi qui est derrière tout ça ?
(https://media1.tenor.com/m/wLRglEAjRyMAAAAd/%D0%BF%D1%83%D1%82%D0%B8%D0%BD-putin.gif)
-
c'est un coup des russes ?
Poutine c'est toi qui est derrière tout ça ?
(https://rehost.diberie.com/Uploads/0/20240719-162702-a6dd12aa-a268-407f-9b1e-522e86f37481.0.pic.gif)
-
c'est un coup des russes ?
Quand on pense qu'on dit souvent qu'Arpanet, le précurseur d'Internet, créé à la fin des années 60, devait supporter des dommages majeurs sur le pays (y compris résultant d'attaque nucléaire) ...
Certains "pères fondateurs" doivent se retourner dans leurs tombes, ou être consternés
-
Les entreprises omettent la moitié du temps d'évaluer la sécurité des principales mises à jour des applications logicielles, car cela est compliqué, coûteux et prend du temps, d'après CrowdStrike
https://securite.developpez.com/actu/360418/Les-entreprises-omettent-la-moitie-du-temps-d-evaluer-la-securite-des-principales-mises-a-jour-des-applications-logicielles-car-cela-est-complique-couteux-et-prend-du-temps-d-apres-CrowdStrike/
la messe est dite ..
-
Pourquoi Apple n'est pas présent sur le serveur et le cloud (industriel) ?
Microsoft est juste hégémonique...
-
Quand trop de sécurité empêche d'utiliser les PC (et probablement les serveurs windows aussi équipés)... Et cela à un période de vacances où les services informatiques ne sont pas au complet. Les entreprises ou administrations touchées doivent être ravies.
Pour aller plus loin, les EDR ont la réputation de pouvoir facilement bloquer, si ce n'est le système, au moins des applications légitimes, qui ont parues suspectes à l'EDR. Celui-ci est souvent basé sur des signatures des applications à qui il fait confiance.
C'est pourquoi, au moins au début de son installation, il est mis en mode détection, et pas 'Response' (blocage). Il est arrivé à plusieurs reprises, que par exemple des hôpitaux aient bien eu un EDR, mais aient été victime d'un ransomware, car l'EDR avait bien détecté le ransomware, la nuit de samedi à dimanche à 3h du matin...., mais ne l'avait pas bloqué.
C'est par exemple ce qui était arrivé à l'hôpital de Versailles, André Mignot, en Décembre 2022 :
...
Selon nos sources, l’hôpital André Mignot est équipé d’un système de détection et de réponse sur les hôtes (EDR, Endpoint Detection and Response), serveurs et postes de travail. Et celui-ci, signé Cybereason, aurait bien détecté des signaux trahissant l’attaque en cours – sans qu’il nous ait été précisé à quel stade de celle-ci la détection avait commencé.
L’outil lui-même n’est pas supervisé en interne par les équipes informatiques de l’hôpital, mais par un prestataire de services managés. Selon nos informations, l’EDR était configuré pour générer des alertes et pas pour bloquer les activités suspectes observées. Ce qui suggérerait un déploiement relativement récent : en début d’adoption de ce genre d’outil, il est souvent préféré – sinon recommandé – d’attendre, afin d’activer les capacités de blocage et éviter les erreurs ainsi que leur impact sur les activités des métiers.
...
https://www.lemagit.fr/actualites/252528032/Cyberattaque-au-centre-hospitalier-de-Versailles-la-piste-dun-usurpateur-de-LockBit
Il y a eu également le cas d'antivirus traditionnels dont la mise à jour avait entrainé des blocages des PCs.
-
souvent ces machines n'ont pas de quoi mettre une clé linux pour booter.. les ports ne pas présents ou désactivés physiquement pour des raisons de sécurité...
Oui, c'est vrai que j'ai un peu tendance à voir ça depuis mon clavier de chez moi ;)
À part ça Orly n'a pas dû être touché avec son Windows 3.1 (https://www.lemonde.fr/pixels/article/2015/11/11/une-panne-informatique-a-l-aeroport-d-orly-liee-a-windows-3-1_4807479_4408996.html)
-
N'empêche que, BSD-*, toujours ce grand oublié de cette journée... (free, net, open..)
-
On n'a pas dit au stagiaire de ne pas faire de mise à jour le vendredi ? ;D
-
RIP le gars qui a fait la MEP chez Crowdstrike :-\
Si une seule personne peut pousser en production, ce n'est pas de la faute d'une seule personne mais du service/système.
Il devrait y avoir un système de validation par plusieurs personnes (et par des outils).
En toute logique, la personne qui a écrit le fichier incorrect devrait rester en poste (sauf si par ailleurs elle fait vraiment du mauvais travail).
C'est plutôt un responsable haut placé qui devrait s'inquiéter...
-
Pour les serveurs, un backup suffisamment tôt permet de solutionner le BOSD (car entre temps crowdstrike a supprimé la mise à jour).
Sur les postes de travail, quand les postes sont chiffrés avec bitlocker, c'est plus compliqué : il faut obtenir la clé (potentiellement, une fois que le service informatique a donné la clé, prévoir une rotation de clé, c'est à dire une nouvelle clé) puis effectuer la manipulation : supprimer le fichier incriminé.
On va en entendre parler de ce crowdstrike.
Mais il y a quelques années ( avant 2010) macafee avait fait la même chose et ça provoquait des BOSD sur windows xp.
Après comme pour tout antivirus, si c'est une mise à jour de la "base virale" et bien elle doit pouvoir être faite rapidement partout. Si c'est une mise à jour du client, il est anormal de ne pas avoir de séparations entre environnements.
-
Il ne s'agit pas de protéger des serveurs , des PCs mais les flux de données si j'ai bien compris ...
... genre j’accède à mes données de n'importe où avec n'importe quoi : c'est le "cloud"
C'est donc très compliqué et on n'a pas le droit à l'erreur pour ne pas tout bloquer ...
Mais ça arrive , la preuve ici , parfois les effets de bord, parfois parce que c'est fait par des humains [pour l'instant]
Donc il y a tjrs la possibilité de retour en arrière (version N-1, puis/ou version N corrigée après analyse par les experts ...) mais que ce fût long ici !
PS : l'Europe pourrait s'occuper de la partie Europe d'Internet pour sa sécurité , mais bon les moyens financiers et les compétences informatiques nécessaires semblent manqués (?)
PS : L'Europe pourrait sortir de écosystème Microsoft pour son indépendance, on en parle depuis, euh, longtemps et créer son OS mais etc...
Alors il faut faire avec
-
Il y a bien la version « Gendarmerie nationale » d'Ubuntu, c'est toujours d'actualité : https://fr.wikipedia.org/wiki/GendBuntu
-
Et Free qui se mange une secousse sur une grosses partie de ses services géniaux en fin de journée ;D
https://www.universfreebox.com/article/568993/certains-abonnes-rencontrent-actuellement-des-problemes-sur-la-freebox-et-nont-plus-acces-a-la-tv
OQEE en rade, Zimbra en rade, Authentication Freebox en rade.
-
Le journal de TF1 de 13h presque entièrement consacré au bug :
Fait étonnant, ils listent les services qui fonctionnent et non ceux en panne.
https://www.youtube.com/watch?v=P7SPK50xtJ8
-
Pourquoi Apple n'est pas présent sur le serveur et le cloud (industriel) ?
Microsoft est juste hégémonique...
parcequ'ils s'en branlent, qu'ils n'ont jamais rien fait pour ca, et que gérer une flotte de mac en entreprise ca donne juste envie de se pendre tant rien n'est prevu correctement pour
Apple fait des milliards avec ses fanboys ils ont pas besoin de l'entreprise, et n'ont jamais rien fait pour
et croire que ca changerait qqchose c'est juste illusoire, le probleme ne vient pas de MS en l'occurence mais d'un logiciel de sécurité tiers
logiciel de sécurité qui serait aussi installé sur un mac (ou un linux) en entreprise, et qui donc pourrait causer les memes degats.
Et apple a deja connu des maj foireuse, comme Microsoft, et comme tous.
-
Et Free qui se mange une secousse sur une grosses partie de ses services géniaux en fin de journée ;D
Mais d'après un commentaire, ce serait plutôt lié à une panne de clim dans un datacenter Free...
-
Journal de TF1 de 9h00 ce matin, la situation est plus confuse et TF1 est également impactée, ce qui bloqué les génériques ou les cartes météos :
https://lafibre.info/videos/windows/202407_tf1_jt_vendredi_19_juillet_9h_panne_informatique_mondiale.mp4
-
Présentation de Crowdstrike au FIC (Forum International de la Cybersécurité) de Lille (5-7 avril 2023)
La force de Crowdstrike, "c'est la capacité à déployer très très vite, dans des situations critiques, des dizaines de milliers d'agents, sans reboot, sans risque d'interaction ou de problème"
https://lafibre.info/videos/securite/202304_crowdstrike_presentation_fic.webm
-
Timelapse de 12 heures des 3 compagnies les plus affectés par la panne mondiale Crowdstrike :
https://lafibre.info/videos/windows/202407_crowdstrike_impact_sur_3_compagnies_aerienne_americaines.mp4
-
parcequ'ils s'en branlent, qu'ils n'ont jamais rien fait pour ca, et que gérer une flotte de mac en entreprise ca donne juste envie de se pendre tant rien n'est prevu correctement pour
Apple fait des milliards avec ses fanboys ils ont pas besoin de l'entreprise, et n'ont jamais rien fait pour
et croire que ca changerait qqchose c'est juste illusoire, le probleme ne vient pas de MS en l'occurence mais d'un logiciel de sécurité tiers
logiciel de sécurité qui serait aussi installé sur un mac (ou un linux) en entreprise, et qui donc pourrait causer les memes degats.
Et apple a deja connu des maj foireuse, comme Microsoft, et comme tous.
oui et non : apple s'en branlent pas
apple sur le mobile, a bien plus que les PDM d'ordis dell/hp réunis en gamme pro en corporate
dans aucune boite/multinationale que j'ai vue, les iphone n'étaient absents.. ils sont meme souvent préférés voire exigés aux samsung dernier cri..
en gros, pour l'entreprise, apple se résume à l'iphone, et surtout à la gestion de flotte (qui reste importante)
serlet avait bien précisé en son temps que SJ disait à ses équipes, dans les années 2000, à propos de la gamme serveurs : "je ne veux pas voir ce truc"
l'ergonomie et l'apparence, c'est souvent aux antipodes du SI..
Fait étonnant, ils listent les services qui fonctionnent et non ceux en panne.[/size]
fait évident : c'est parce que parler de ce qui fonctionne, ne fait pas vendre.
chose à souligner : cela permet au moins d'avoir une pompe à essai incendie skynet, notamment pour "rappeler au monde" que le numérique n'est pas dispo h24/99%", contrairement à ce que certains essaient de prétendre.
souvenez vous, quand l'écran faillit, il reste souvent le papier crayon, le meilleur ami du travail conscencieux et toujours fiable, bien que beaucoup moins efficace.. mais un petit stage dans les services de corbeil essonnes seront un très bon entrainement, et surtout une piqûre de rappel à cette indispensable alternative, vendue pour accompagner, non remplacer! ;)
-
Pourquoi Apple n'est pas présent sur le serveur et le cloud (industriel) ?
Microsoft est juste hégémonique...
Microsoft n'est pas hégémonique sur le cloud et les serveurs, loin de là.
Dans le monde, il y a beaucoup plus de serveurs (ou machines virtuelles) qui tournent sous Linux que sous Windows. Voir stat ci dessous.
Certaines niches ont énormément de serveurs windows, oui. Notamment pour certaines applications métier en entreprise.
Et windows est hégémonique comme OS sur les desktop/laptop, y compris en entreprise.
Quand à Apple, ils ont tenté des produits orienté serveurs (serveurs et OS), à plusieurs reprises dans les ~25 dernières années, mais ça n'a jamais vraiment marché et ils ont abandonné. Il est facile de trouver des articles sur le sujets. Demande nous si tu ne trouves pas.
Il ne s'agit pas de protéger des serveurs , des PCs mais les flux de données si j'ai bien compris ...
... genre j’accède à mes données de n'importe où avec n'importe quoi : c'est le "cloud"
Les EDR en question (dont CrowdStrike) sont censés protéger les 2 : les machines (PC/serveurs) et les flux de donnée, avec remontée des "signaux faible", gestion à distance via le cloud, etc... Je te laisse lire le marketing associé à ces solutions.
Le journal de TF1 de 13h presque entièrement consacré au bug :
Fait étonnant, ils listent les services qui fonctionnent et non ceux en panne.
C'est dans l'esprit du 13h de TF1 : conserver un ton optimiste, rassurant, avoir un maximum de sujets positifs. C'est ce qui fait son succès auprès de la population visée : les personnes agées / isolées principalement.
2 remarques additionnelles par rapport à cet événement hors norme:
Beaucoup de médias grand public se concentrent sur Microsoft, et ne parlent même pas de CrowdStrike, alors que le problème vient bel et bien de CrowdStrike. Le JT de France 2 n'a pas parlé de CrowdStrike.
La mauvaise publicité (à tort) envers Microsoft est énorme. C'est quand même injuste pour Microsoft...
L'action CrowdStrike a chuté, mais pas tant que ça : de 345$ à 302$. Je suis surpris que la sanction de la bourse soit "faible" en comparaison de la pagaille, et des dommages causés par ce bug.
Crowdstrike a fait beaucoup plus de mal à ses clients, que les menaces cyber contre lesquelles il est censés les protéger...
Leon.
-
Beaucoup plus de mal: non
Ici un simple reboot en sans échec et suppression d'un fichier permet de rétablir le service
Certes c'est très chiant et probablement long mais il y a 0 impact ensuite.
Un crypto ou un vrai attaquant c'est bien plus long à réparer.
Avec des conséquences bien plus graves (fuites de données/ pertes de donnes/ image /...)
-
Beaucoup de médias grand public se concentrent sur Microsoft, et ne parlent même pas de CrowdStrike, alors que le problème vient bel et bien de CrowdStrike. Le JT de France 2 n'a pas parlé de CrowdStrike.
La mauvaise publicité (à tort) envers Microsoft est énorme. C'est quand même injuste pour Microsoft...
Oui.
Une coïncidence qui n'a pas aidé : il y a eu une panne de Microsoft 365 / Azure pendant la nuit, juste avant !
-
Mais d'après un commentaire, ce serait plutôt lié à une panne de clim dans un datacenter Free...
Qu'est-ce qui gère la clim?
Peut-être un appareil "crowdstriké".
-
Beaucoup plus de mal: non
Ici un simple reboot en sans échec et suppression d'un fichier permet de rétablir le service
Certes c'est très chiant et probablement long mais il y a 0 impact ensuite.
Un crypto ou un vrai attaquant c'est bien plus long à réparer.
Avec des conséquences bien plus graves (fuites de données/ pertes de donnes/ image /...)
Franchement, on pourrait comparer hier à un cryptolocker mondial. Juste vis à vis des pc touchés. Si crowdstrike avait raison en indiquant qu'ils étaient sur 50% des PC pros.
Ensuite, le "il suffit simplement de rebooter en enlevant le fichier" oui et non : sur la plupart des postes de travail il y a en général bitlocker pour le chiffrement et un mot de passe sur l'EFI. ça complexifie, et en tout cas c'est moins facile pour les personnes chez elles.
Pour les serveurs, je suis assez d'accord avec ce qui a été dis au dessus. Je vois beaucoup plus. Beaucoup beaucoup plus de linux en infra que de windows serveur : je trouve que c'est une bonne chose. Après crowdstrike peut aussi être installé sur linux via le "falcon-agent.service", qui aurait pu planter tout autant si la bêtise avait été équivalente sous linux. Dans ce cas, ça aurait été beaucoup plus grave sur les serveurs.
Je pense qu'il y a tout une frange de devices qui tournent sous windows : les bornes libre service, pas mal d'écrans, etc... Qui devraient tourner sur un linux allégé (avec le minimum vital et une LTS supportée très longtemps. Voir même avec un linux custom doté uniquement d'une webapp par exemple). Windows sur ces appareils n'est pas pertinent.
Par contre, encore une fois, ça aurait pu arriver sur linux. ça montre l’hégémonie de crowdstrike qui est en position dominante et qui a fait une grosse bourde. Peut être que plus tard, les DSI referont des appels d'offres pour diversifier les fournisseurs mais en général, en informatique : quand un petit fournisseur est bon, il se fait racheter par les grosses boites américaines et ensuite il ne reste plus qu'une liste qui se compte sur les doigts d'une main. Et souvent ce sont des fournisseurs américains.
A un moment, Jean Luc mélanchon a fait de la récupération politique sur twitter en critiquant le choix de l'armée d'utiliser microsoft. Il s'est tapé une réponse bien faite comme quoi l'armée n'utilise pas crowdstrike et s'occupe de la mise en sécurité de leurs infras, et qu'hier, ça fonctionnait bien.
https://www.frandroid.com/produits-android/ordinateurs/2086750_pourquoi-jean-luc-melenchon-se-trompe-sur-microsoft
Crowdstrike est inexcusable, ils auraient du tester : beaucoup plus. Mais aussi, dans le cas d'hier, on est dans le cas d'un "EDR" antivirus avancé qui analyse au plus près de la machine son comportement en plus du classico "antivirus". Donc les mises à jour à la volée partout, ça ne me choque pas car en cas de virus grave, il faut pouvoir agir vite. Mais dans le cas où c'est l'EDR lui même qui plante... oopsi.
D'un point de vue timing, on a quand même eu une certaine chance : beaucoup de personnes en vacances avec des postes éteints. Beaucoup de postes éteint vers 7h du matin quand la maj foireuse a commencé à faire des dégâts. Rapidement la maj a été supprimée et donc les postes éteints n'ont pas été touchés.
Et en cas de backup la nuit, la MAJ s'est diffusée assez tard dans la nuit donc les backup étaient sains et frais.
-
Ce qui est incompréhensible pour moi, c'est que la mise à jour n'a pas été testée avant la mise en prod.
C'est pourtant ce que font la plupart des sociétés.
-
Ce qui est incompréhensible pour moi, c'est que la mise à jour n'a pas été testée avant la mise en prod.
As-tu lu quelque part que le BSOD était systématique, sur tous les Windows ?
En ce qui me concerne, sur une VM Windows 11 non rebootée mais avec un "resume" fait vers 8h50, j'ai constaté dans la matinée que j'avais bien le fameux fichier .SYS qu'il fallait supprimer pour redémarrer une machine plantée. J'ai certainement reçu par la suite des mises à jour mais n'ai pas subi de crash.
C'est pourtant ce que font la plupart des sociétés.
Ca a certainement été testé, de manière "automatisée", dans un environnement contrôlé, visiblement insuffisant pour tenir compte de la réalité des systèmes déployés. George Kurtz, le patron de CrowdStrike a promis une "transparence totale" ... Si ça n'est pas le cas, il faudra que les clients l'interrogent sérieusement, notamment les agences fédérales américaines affectées (https://fedscoop.com/federal-government-agencies-affected-by-worldwide-it-outage/). En ce qui concerne les clients français lourdement pénalisés (pertes CA importantes) comme les compagnies aériennes ou les commerces, aucun espoir d'indemnisation à mon avis :(
-
Attention: le fichier de driver crowdstrike incriminé est présent aussi sur les machines saines. Dans ce cas il ne fallait pas le supprimer. Le timestamp permet de savoir si c’est la version vérolée ou pas. Si ça marche, il ne fallait pas toucher.
-
Microsoft n'est pas hégémonique sur le cloud et les serveurs, loin de là.
Le probleme est leur hégémonie dans le monde de l'entreprise. le 'cloud' ce n'est pas qu'Internet et des serveurs Web ou Linux domine.
Pour les serveurs d'entreprise qu'ils soient dans le cloud ou pas c'est Windows qui est la dorsale de leur infrastructure simplement a cause d'Active Directory qui permet la gestion centralisée a grande échelle des postes de travail et des utilisateurs.
Ce qui est incompréhensible pour moi, c'est que la mise à jour n'a pas été testée avant la mise en prod.
C'est pourtant ce que font la plupart des sociétés.
Faut attendre la publication du post-mortem si il est rendu public.
A priori c'est "encore" un souci de null pointer: https://x.com/Perpetualmaniac/status/1814376668095754753
Une des raisons de pousser une maj sans faire tous les tests d'intégration c'est peut-être l'urgence de contrer une faille activement exploitée a grande échelle a l'instant T.
Ou ca peut aussi être simplement des mauvais tests , tout était au vert pour eux.
Pour les amateurs, Fireship a sorti sa vidéo sur l'incident:
https://www.youtube.com/watch?v=4yDm6xNeYas
il résume bien a la fin (a partir de 3 minutes) le problème de fond: la pression sur les grandes entreprises de sécuriser leur infra et le fait qu'elles soutraitent cela a des sociétés/solutions comme Cloudstrick qu'on peut blâmer s'il y'a un incident.
autrement dit, comportement mouton du DSI/RSSI grand compte: "bah j'ai choisi la solution que tout le monde utilise, j'ai payé $millions/an , j'ai tout les organismes certificateurs qui ont validé ma sécurité donc j'ai fait mon job , le fautif ce n'est pas moi."
-
Franchement, on pourrait comparer hier à un cryptolocker mondial. Juste vis à vis des pc touchés. Si crowdstrike avait raison en indiquant qu'ils étaient sur 50% des PC pros.
bien ce que je disais : après l'épreuve covid, entrainement skynet :D
Pour les serveurs, je suis assez d'accord avec ce qui a été dis au dessus. Je vois beaucoup plus. Beaucoup beaucoup plus de linux en infra que de windows serveur : je trouve que c'est une bonne chose. Après crowdstrike peut aussi être installé sur linux via le "falcon-agent.service", qui aurait pu planter tout autant si la bêtise avait été équivalente sous linux. Dans ce cas, ça aurait été beaucoup plus grave sur les serveurs.
perso jamais installé d'av sur un linux/unix : je pars du principe que sans le mdp root, et avec des logiciels à jour, seul l'utilisateur peut péter son environnement.
normalement il peut pas modifier les entrailles du système.
Je pense qu'il y a tout une frange de devices qui tournent sous windows : les bornes libre service, pas mal d'écrans, etc... Qui devraient tourner sur un linux allégé (avec le minimum vital et une LTS supportée très longtemps. Voir même avec un linux custom doté uniquement d'une webapp par exemple). Windows sur ces appareils n'est pas pertinent.
ben suffit de voir sur le topic voisin, les fails des écrans "verts" des distributeurs de la ratp :D
Par contre, encore une fois, ça aurait pu arriver sur linux. ça montre l’hégémonie de crowdstrike qui est en position dominante et qui a fait une grosse bourde. Peut être que plus tard, les DSI referont des appels d'offres pour diversifier les fournisseurs mais en général, en informatique : quand un petit fournisseur est bon, il se fait racheter par les grosses boites américaines et ensuite il ne reste plus qu'une liste qui se compte sur les doigts d'une main. Et souvent ce sont des fournisseurs américains.
je pense pas que ca aurait pu arriver à un linux, ça se serait déjà vu..
par contre, voir ce genre de chose arriver à un iphone/android... n'oublions pas que les deux ont de beaux cadavres dans leurs placards :
l'autonomie de l'iphone (fameux batterygate), l'antenne de l'iphone 4, le chargeur de l'iphone 3..
et je parle meme pas, pour samsung, des services qui deviennent indispo à peine quatre ans après l'achat de l'appareil..
A un moment, Jean Luc mélanchon a fait de la récupération politique sur twitter en critiquant le choix de l'armée d'utiliser microsoft. Il s'est tapé une réponse bien faite comme quoi l'armée n'utilise pas crowdstrike et s'occupe de la mise en sécurité de leurs infras, et qu'hier, ça fonctionnait bien.
il a perdu en crédibilité mais pas en popularité, il a fait un tir gagnant.
D'un point de vue timing, on a quand même eu une certaine chance : beaucoup de personnes en vacances avec des postes éteints. Beaucoup de postes éteint vers 7h du matin quand la maj foireuse a commencé à faire des dégâts. Rapidement la maj a été supprimée et donc les postes éteints n'ont pas été touchés.
Et en cas de backup la nuit, la MAJ s'est diffusée assez tard dans la nuit donc les backup étaient sains et frais.
c'est pas le 15 aout non plus..
Beaucoup plus de mal: non
Ici un simple reboot en sans échec et suppression d'un fichier permet de rétablir le service
Certes c'est très chiant et probablement long mais il y a 0 impact ensuite.
Un crypto ou un vrai attaquant c'est bien plus long à réparer.
Avec des conséquences bien plus graves (fuites de données/ pertes de donnes/ image /...)
imaginez le nombre de journées facturées pour remettre ça en route (non, josiane de la compta ne saura pas suivre la procédure par tel, elle se plantera au milieu si elle essaie)
C'est dans l'esprit du 13h de TF1 : conserver un ton optimiste, rassurant, avoir un maximum de sujets positifs. C'est ce qui fait son succès auprès de la population visée : les personnes agées / isolées principalement.
c'est surtout que l'esprit du JT, c'est "que la mamie de 90 ans du cantal doit comprendre, sinon on ferme boutique", m'avait dit un journalo.
ne jamais attendre d'eux un journal précis dans les détails, avec moult recherches et bien expliqué, cela va à l'opposé de la vulgarisation.
L'action CrowdStrike a chuté, mais pas tant que ça : de 345$ à 302$. Je suis surpris que la sanction de la bourse soit "faible" en comparaison de la pagaille, et des dommages causés par ce bug.
Crowdstrike a fait beaucoup plus de mal à ses clients, que les menaces cyber contre lesquelles il est censés les protéger...
c'est très peu cher payé pour avoir gelé tous ces SI : sur d'autres forums, on parle, à raison, d'un minimum de la faillite de l'entreprise.
elle sera sans doute rachetée, démantelée, il serait inadmissible qu'elle survive en l'état vu les dommages causés et réparations associées.. ca va leur couter des dizaines de millions, la boite n'a pas les moyens d'un grand groupe.
imaginez qu'une renault, psa, nissan, hyundai, ou autre mercedes/bmw/vkw se paie une énorme indispo sur tous ses véhicules du jour au lendemain, les conséquences occasionnées? à minima ce serait le vilain petit canard du secteur pendant des décennies...
nous avons un exemple similaire avec boeing, qui est loin d'avoir terminé sa correction, et qui selon moi sera certainement démantelé dans quelques décennies (et pas à tort vu les dégats)
As-tu lu quelque part que le BSOD était systématique, sur tous les Windows ?
l'information contraire n'a pas été trouvée.
Ce qui est incompréhensible pour moi, c'est que la mise à jour n'a pas été testée avant la mise en prod.
C'est pourtant ce que font la plupart des sociétés.
Crowdstrike est inexcusable, ils auraient du tester : beaucoup plus.
c'est un ingénieur d'une SSII française qui rencontre un ingénieur Microsoft. Il
discutent 'Techniques de développement'.
Le premier dit au second 'Moi, ça me coûte un fric et un temps fou de tester mes
logiciels avant de les commercialiser'.
L'ingénieur Microsoft lui réponds 'Tu testes tes logiciels toi-même ? T'as pas
de clients pour faire ça ?'
:D
le simple fait que l'incident crowdstrike ait eu lieu devrait couper des têtes à moult dsi, voire balayer définitivement l'ère SSII/ESN derrière nous.. sans regrets.
[edit by Leon : j'ai refais certain quote qui pointait vers le mauvais message, je n'ai pas modifié le contenu]
-
Beaucoup plus de mal: non
Ici un simple reboot en sans échec et suppression d'un fichier permet de rétablir le service
Certes c'est très chiant et probablement long mais il y a 0 impact ensuite.
Un crypto ou un vrai attaquant c'est bien plus long à réparer.
Franchement, on pourrait comparer hier à un cryptolocker mondial. Juste vis à vis des pc touchés. Si crowdstrike avait raison en indiquant qu'ils étaient sur 50% des PC pros.
+1 ; Tout à fait.
Il y a une grande similitude dans les conséquences entre un crypto-locker et ce bug CrowdStrike . Appareil (PC, écran d'information, caisse de supermarché) bloqué. Vu que ça impacte beaucoup de machines "sur le terrain", il faudra des interventions humaines physiquement sur le terrain.
Donc c'est des pertes de chiffre d'affaire énorme (vols annulés, banques et supermarché fermés), des risques importants quand ça impacte les hopitaux.
Et surtout la "réparation" sera très similaire dans les 2 cas : dans la majorité des cas, c'est une intervention humaine consistant à réinstaller la machine, soit à partir d'une sauvegarde, soit en partant de zéro (une image ou procédure d'install automatisée) pour les nombreuses machines qui ne stockent rien d'important en local.
Je pense qu'il y a tout une frange de devices qui tournent sous windows : les bornes libre service, pas mal d'écrans, etc... Qui devraient tourner sur un linux allégé (avec le minimum vital et une LTS supportée très longtemps. Voir même avec un linux custom doté uniquement d'une webapp par exemple). Windows sur ces appareils n'est pas pertinent.
Côté Windows, il y avait Windows Embedded qui permettait de faire une installation minimaliste, en sélectionnant les fonctionnalités strictement nécessaires, pour créer une image d'installation dédiée à chaque application. Tout ça pour minimiser la "surface d'attaque potentielle".
Ca a été remplacé par Windows-IoT, que je ne connais pas du tout.
Mais pour moi Windows-Embedded (donc probablement Windows-IoT) était tout aussi pertinent qu'un Linux minimaliste sur ces applications.
Leon.
-
Je ne connais pas windows embedded mais je n'ai pas l'impression que c'est beaucoup utilisé sur les bornes grand public. En général ça reste des windows complet, par flemme de faire les choses bien, je pense.
Ensuite pour la remarque des ESN : je ne pense pas que cet incident va décrédibiliser les ESN et les prestas (nombreux) dans les grandes boites. En effet, au bout d'un moment, les décisions politiques reviennent aux internes et à la hiérarchie. J'aimerais un monde pro sans les ESN qui prennent leur grasses marges sans laisser beaucoup de valeur au consultant (ni même sans créer une grosse plus value tout court à défaut de caser en mission)... Mais on s'éloigne du sujet.
Pour les antivirus et linux, il s'est déjà vu des malwares / virus sur linux. Je considère sur un pc perso que le risque est faible si on fait pas n'importe quoi. Sur l'environnement pro, je trouve qu'il y a nécessité à avoir un EDR/ antivirus qui sait superviser et être proactif. On a déjà vu des cryptolocker linux, des programmes qui minent du bitcoin, etc...
-
Ensuite pour la remarque des ESN : je ne pense pas que cet incident va décrédibiliser les ESN et les prestas (nombreux) dans les grandes boites. En effet, au bout d'un moment, les décisions politiques reviennent aux internes et à la hiérarchie. J'aimerais un monde pro sans les ESN qui prennent leur grasses marges sans laisser beaucoup de valeur au consultant (ni même sans créer une grosse plus value tout court à défaut de caser en mission)... Mais on s'éloigne du sujet.
on est en plein dans le FUD ibm là..
Pour les antivirus et linux, il s'est déjà vu des malwares / virus sur linux. Je considère sur un pc perso que le risque est faible si on fait pas n'importe quoi. Sur l'environnement pro, je trouve qu'il y a nécessité à avoir un EDR/ antivirus qui sait superviser et être proactif. On a déjà vu des cryptolocker linux, des programmes qui minent du bitcoin, etc...
un programme qui mine du bitcoin sur du linux, déjà vu aussi.
mais la nécessité d'avoir un EDR, pour moi c'est la réincarnation du bullshit marketing :
en 2011, blackberry avait subi une lourde panne aussi :
https://en.wikipedia.org/wiki/BlackBerry#Service_outages
des millions d'appareils touchés, pendant des heures.
le PDG avait carrément fait des excuses publiques sur youtube à l'époque.
pas mieux que bitdefender en l'année d'avant..
-
Ca a certainement été testé, de manière "automatisée", dans un environnement contrôlé, visiblement insuffisant pour tenir compte de la réalité des systèmes déployés.
A priori le fichier qui s'est retrouvé sur les machines est juste rempli de zéros. (https://x.com/jeremyphoward/status/1814364640127922499) Il y aurait eu donc corruption quelque part dans le tuyau après test ? Le post-mortem devrait en effet être très intéressant à lire
-
Le post-mortem devrait en effet être très intéressant à lire
Lol.
si vous vous imaginez qu'il y aura un rapport d'expertise technique et détaillée, instructions et hexa à l'appui, voire extraits de code source.. "mdr", comme disent les gens..
au mieux, il y aura un communiqué de presse, quelques articles/vidéos de comm' et des rapports floutés, au nom de la sacro sainte cybersécurité
au nom de la sacro-sainte menace de sécurité, vous ne verrez jamais les détails techniques de la chose, la transparence étant agitée comme le porte-étendard du bris de sécurité que les entreprises louent..
-
A priori le fichier qui s'est retrouvé sur les machines est juste rempli de zéros. (https://x.com/jeremyphoward/status/1814364640127922499) Il y aurait eu donc corruption quelque part dans le tuyau après test ? Le post-mortem devrait en effet être très intéressant à lire
Quelques détails (https://www.crowdstrike.com/blog/technical-details-on-todays-outage/) fournis par CrowdStrike.
Ca reste très pudique sur cette histoire de fichier rempli de NULL: "The configuration update triggered a logic error that resulted in an operating system crash"
...
-
Quelques détails (https://www.crowdstrike.com/blog/technical-details-on-todays-outage/) fournis par CrowdStrike.
Ca reste très pudique sur cette histoire de fichier rempli de NULL: ...
Le truc a été corrigé vendredi matin à 5h27UTC = 7h27-Heure-de-Paris. C'est cohérent avec ce qu'on a constaté au boulot. Les PC/VM démarrés avant 7h30 ont été impactés.
Remarquez que dans cette communication:
* ils ne s'excusent pas
* ils ne disent pas qu'ils ont fait une erreur; ils disent qu'ils doivent trouver la root-cause et améliorer leur process en continu comme ils le font depuis toujours
Bref, la com n'est franchement pas bonne...
Leon.
-
oui et non : apple s'en branlent pas
apple sur le mobile, a bien plus que les PDM d'ordis dell/hp réunis en gamme pro en corporate
dans aucune boite/multinationale que j'ai vue, les iphone n'étaient absents.. ils sont meme souvent préférés voire exigés aux samsung dernier cri..
qu'on s'entende je parlais evidemment du monde du "PC" (laptop et fixe)
ajd en entreprise c'est 95% de windows au bas mot
-
Ce qui est incompréhensible pour moi, c'est que la mise à jour n'a pas été testée avant la mise en prod.
C'est pourtant ce que font la plupart des sociétés.
sur les définitions d'antivirus / solution de sécu ? pas dit
Je l'ai pas vu dans ma carriere en tout cas
on a un postponing des patchs / mise a jour de soft, avec souvent un premier deploiement sur un parc restreint de machine un peu partout sur le parc, puis une delivrance en production sur le reste du parc avec quelques jours de decallage, mais sur les maj de secu/défintiion de ces solutions c'est rare
notamment parceque ne pas déployer aussitot une maj comporte des risques aussi (ne pas etre capable de bloquer une attaque fraichement sortie)
la c'etait pas une maj du logiciel, mais bien une maj des definitions qui a foutu la grouille
-
Personnellement, je ne connaissais pas crowdstrike avant cet incident. Ce qui me frappe, c'est que sa solution EDR soit si largement utilisée dans le monde entier (occidental) alors que d'après ce que j'ai lu, elle a été fondée en 2011. Une telle uniformité de déploiement est dangereuse en cas de problème, alors que ce genre d'application a accès au noyau de l'OS...
-
Personnellement, je ne connaissais pas crowdstrike avant cet incident. Ce qui me frappe, c'est que sa solution EDR soit si largement utilisée dans le monde entier (occidental) alors que d'après ce que j'ai lu, elle a été fondée en 2011. Une telle uniformité de déploiement est dangereuse en cas de problème, alors que ce genre d'application a accès au noyau de l'OS...
ils font parti des grands leaders du domaine, domaine relativement jeune donc ca m'etonne pas vraiment
-
Le truc a été corrigé vendredi matin à 5h27UTC = 7h27-Heure-de-Paris. C'est cohérent avec ce qu'on a constaté au boulot. Les PC/VM démarrés avant 7h30 ont été impactés.
Oui, c'est pour ça que je ne comprenais pas qu'on n'ait pas eu d'impact sur nos laptops en Europe alors que les collègues australiens, néo-zélandais etc en étaient victimes.
Remarquez que dans cette communication:
* ils ne s'excusent pas
Si tu cherches bien, George Kurtz présente ces excuses ici (https://www.crowdstrike.com/blog/our-statement-on-todays-outage/) :I want to sincerely apologize directly to all of you for today’s outage. All of CrowdStrike understands the gravity and impact of the situation.
Bref, la com n'est franchement pas bonne...
Ils ont fini par engager un conseiller en com et "damage control", car je n'ai pas vu passer d'excuses dans les messages de Crowdstrike sur X ex twitter.
-
Personnellement, je ne connaissais pas crowdstrike avant cet incident. Ce qui me frappe, c'est que sa solution EDR soit si largement utilisée dans le monde entier (occidental) alors que d'après ce que j'ai lu, elle a été fondée en 2011. Une telle uniformité de déploiement est dangereuse en cas de problème, alors que ce genre d'application a accès au noyau de l'OS...
A l'échelle mondiale, il y a beaucoup trop de domaines où on prend des risques énormes avec des monopoles/oligopoles
* Les OS desktop/laptop avec Windows
* les OS mobiles avec iOS et Android
* les processeurs de PC serveur : AMD et Intel
* les fondeurs de puces : TSMC
* les machines pour graver ces puces : ASML
Dans tous ces cas, la concentration est effectivement très inquiétante, la situation m'inquiète autant que CrowdStrike sur le marché des EDR.
Par contre pour le "2011 c'est jeune", je ne comprends pas ta remarque.
Leon.
-
Je suis désolé mais je ne suis pas d'accord.
Certes l'impact immédiat est le même qu'un crypto.
Mais encore une fois une fois dépanné la machine repartira comme avant sans se taper une réinstallation dans la majorité des cas.
Ça n'a juste rien à voir.
Il est simple (mais clairement long et chiant) de remettre en route tes machines.
Même avec un bitlocker (si le taff a été bien fait la procédure existe déjà.)
Un crypto c'est:
Tout couper pour limiter la casse.
réussir à identifié le point d'entrée.
Sortir une sauvegarde si le crypto ne l'a pas flinguée.
Réinstaller tous les systèmes sur lesquels le crypto est passé.
D'expérience chez des clients c'est des mois de boulot avec un SI à moitié en vrac.
-
Leon, cette spécialiste a le même avis que toi : il faut sortir des monopoles
https://www.youtube.com/watch?v=uVXyVcXQ0Lc
https://www.youtube.com/watch?v=NZwR3WApamo
-
Je suis désolé mais je ne suis pas d'accord.
Certes l'impact immédiat est le même qu'un crypto.
Mais encore une fois une fois dépanné la machine repartira comme avant sans se taper une réinstallation dans la majorité des cas.
La différence est l'ampleur de l'attaque, contrairement à un ransomware qui cible une organisation.
Microsoft estime (https://blogs.microsoft.com/blog/2024/07/20/helping-our-customers-through-the-crowdstrike-outage/) que 8.5 millions de machines ont été affectées dans le monde ce qui représente selon eux moins de 1%.
D'expérience chez des clients c'est des mois de boulot avec un SI à moitié en vrac.
J'ai le cas près de chez moi du CHSF (https://www.capital.fr/economie-politique/la-cyberattaque-de-lhopital-de-corbeil-essonnes-revendiquee-avec-un-chantage-aux-donnees-1445943) (hôpital de Corbeil Essonnes - Evry) qui a mis des mois pour s'en remettre, avec des conséquences pour le personnel dans leur travail et pour les patients.
-
Microsoft estime (https://blogs.microsoft.com/blog/2024/07/20/helping-our-customers-through-the-crowdstrike-outage/) que 8.5 millions de machines ont été affectées dans le monde ce qui représente selon eux moins de 1%.
Même argument que Canal devant l'Arcom pour l'audience de C8 et CNews, deux chaines qui ont régulièrement des non-respects de leurs obligations : "Ces problèmes ne représentent que 0,00x% du nombre d'heures diffusées à l'antenne"
-
Leon, cette spécialiste a le même avis que toi : il faut sortir des monopoles
Yakafokon ...
Alors que les entreprises cherchent en permanence à réduire le coût de leur IT en recourant massivement à l'offshore (pour le secteur de l'IT que je connais bien), tout ça me paraît juste de belles paroles d'une personne qui ne connaît pas les réalités des directions des systèmes d'information.
-
1% des machines ne veut rien dire : ce sont des machines qui fournissent des services à l'étendue bien plus grand qu'un ordinateur personnel
-
La différence est l'ampleur de l'attaque, contrairement à un ransomware qui cible une organisation.
Microsoft estime (https://blogs.microsoft.com/blog/2024/07/20/helping-our-customers-through-the-crowdstrike-outage/) que 8.5 millions de machines ont été affectées dans le monde ce qui représente selon eux moins de 1%.
Oui, ce bug a fait énormément plus de dégat que n'importe quelle cyber-attaque.
Je pense que beaucoup de hackers (ou groupe de hacker) rêveraient d'avoir dans ses mains un outil aussi puissant...
Une question que je me pose très fréquemment : si un hacker (groupe de hacker) infiltre le système de mise à jour de Windows, ou de iOS, ou d'un constructeur automobile (Tesla ou autre), et réussit à pousser des mise à jour verolées vers des millions/milliards d'utilisateurs, il se passe quoi? C'est crédible comme attaque?
Un peu comme le hack de KA-Sat au début de la guerre en Ukraine, qui consistait à pousser des firmware volontairement vérolés vers les modems satellites, après s'être infiltré dans le système informatique de mise à jour de ViaSat, qui gérait ces modems.
Si ce genre d'attaque arrivait avec Windows ou iOS, ça serait une merde énorme.
Ca pourrait être un scénario pour Mr.Robot.
Pour les amateurs, Fireship a sorti sa vidéo sur l'incident:
[...]
il résume bien a la fin (a partir de 3 minutes) le problème de fond: la pression sur les grandes entreprises de sécuriser leur infra et le fait qu'elles soutraitent cela a des sociétés/solutions comme Cloudstrick qu'on peut blâmer s'il y'a un incident.
autrement dit, comportement mouton du DSI/RSSI grand compte: "bah j'ai choisi la solution que tout le monde utilise, j'ai payé $millions/an , j'ai tout les organismes certificateurs qui ont validé ma sécurité donc j'ai fait mon job , le fautif ce n'est pas moi."
Visiblement, ça va même plus loin que ça aux USA; ce genre de protection est une quasi obligation réglementaire, pour une catégorie d'entreprises sensibles.
Leon.
-
En quoi l'absence de monopole aurait évité ce type de problèmes à l'heure de l'inter opérabilité et de l'hyper connexion tout en sachant que ces monopoles permettent des économies d'échelle et également une réactivité plus grande pour corriger des failles.
-
Lorsqu'on utilise un système il faut respecter les règles : internet, le cloud c'est un système
Là c'est juste une erreur (humaine), pas une attaque
Par exemple en Angleterre, pour le train, ils ont décidé à une époque que chacun sur son tronçon pouvait faire ce qu'il voulait ...
... au bout de quelques accidents aux interconnexions ils ont dû arrêter et remettre les mêmes règles pour tous (comme au bon vieux temps du monopole honni )
Maintenant les américains qui gèrent "tout" ont dit à chaque fois aux européens qu'ils pouvaient gérer la "partie Europe" mais c'est très cher et cela demande beaucoup de compétences informatiques ...alors "on" en parle
PS : parfois les américains mettent en action des experts 24h/24 (bon une partie des intervenants ["English native language" ] est en Israël, l'autre en Inde ...) sur un sujet informatique technique : c'est impressionnant, leur nombre est tellement supérieur à tous les experts réunis du m^me domaine concerné en Europe
[Je pense par exemple à l'analyse des images GPS, il n'y a pas si longtemps ...]
-
En quoi l'absence de monopole aurait évité ce type de problèmes à l'heure de l'inter opérabilité et de l'hyper connexion tout en sachant que ces monopoles permettent des économies d'échelle et également une réactivité plus grande pour corriger des failles.
l'inter opérabilité de quoi ? tu ne peux pas installer une sonde d'un autre éditeur avec le système de CrowdStrike .
le monopole de Windows => pourquoi en 2024 Windows plante a ce point a cause d'un driver tierce partie ?
pourquoi le top 500 des sociétés du monde n'ont pas d'autres choix de sécu que de laisser un éditeur installer du code privilégié dans leur OS ?
Le kernel de Windows n'a pas de raison d'évoluer tant que la concurrence ne le menace pas.
tout le monde va gueuler suite a cet incident mais combien vont virer Windows ou CrowdStrike ?
pourquoi un hôpital ou un aéroport utilisent encore des clients Windows lourds comme terminaux avec par conséquence le besoin de les sécurisés a ce point ?
-
En quoi l'absence de monopole aurait évité ce type de problèmes à l'heure de l'inter opérabilité et de l'hyper connexion tout en sachant que ces monopoles permettent des économies d'échelle et également une réactivité plus grande pour corriger des failles.
Parce que l'essentiel des économies d'échelle obtenues par l'entreprise monopolistique se font sur le dos de la qualité des produits et services fournis, on en voit à nouveau un bel exemple ici ;)
-
Pour l'inter opérabilité par exemple, imaginons Roissy est touché par la faille de ce sujet sur ces systèmes. Tous les vols vers la France seront annulés car même si les aéroports de départs ne sont pas touchés, les avions ne voleront sans garantie que ça se passe bien à l'arrivée. C'est pareil pour beaucoup de domaines.
Si les services et produits sont mieux fournis par l'artisan du coin, ça serait facile de casser un monopole non ?
Pourquoi les entreprises utilisent windows ? Parce que beaucoup d'applications métiers ne fonctionnent que sur ce système.
-
Pour l'inter opérabilité par exemple, imaginons Roissy est touché par la faille de ce sujet sur ces systèmes. Tous les vols vers la France seront annulés car même si les aéroports de départs ne sont pas touchés, les avions ne voleront sans garantie que ça se passe bien à l'arrivée. C'est pareil pour beaucoup de domaines.
Ta définition d'inter-opérabilité n'est pas la bonne. Tu utilises visiblement ce mot sans comprendre/connaitre sa signification dans le monde de l'informatique...
J'aurais plutôt dit "inter dépendance" pour ce que tu expliques.
Pourquoi les entreprises utilisent windows ? Parce que beaucoup d'applications métiers ne fonctionnent que sur ce système.
En l'occurrence, ce qu'essaye d'expliquer kgersen, c'est que beaucoup des machines impactées n'ont justement aucune application spécifique Windows. Beaucoup ont juste besoin d'un navigateur web et rien de plus.
Leon.
-
Pourquoi les entreprises utilisent windows ? Parce que beaucoup d'applications métiers ne fonctionnent que sur ce système.
elles y ont été très fortement encouragées.
pourquoi les solutions opensource sont appréciées? pas parce qu'elles sont gratuites et le code accessible ; parce qu'elles sont compatible avec le plus grand nombre de plateformes.
faire tourner le logiciel libre préféré (ex gimp, blender, gramps..) sur un linux, un bsd, un haiku, c'est plus honorable et élégant qu'un msoffice piqué-borné à windows/macos, c'est un fait.
En quoi l'absence de monopole aurait évité ce type de problèmes à l'heure de l'inter opérabilité et de l'hyper connexion tout en sachant que ces monopoles permettent des économies d'échelle et également une réactivité plus grande pour corriger des failles.
diviser pour mieux régner, ne pas mettre tous ses oeufs dans le meme panier..
si on doit répéter l'adage, indispensable en informatique, à tous les pékins qui passent..
A l'échelle mondiale, il y a beaucoup trop de domaines où on prend des risques énormes avec des monopoles/oligopoles
* Les OS desktop/laptop avec Windows
* les OS mobiles avec iOS et Android
* les processeurs de PC serveur : AMD et Intel
* les fondeurs de puces : TSMC
* les machines pour graver ces puces : ASML
Dans tous ces cas, la concentration est effectivement très inquiétante, la situation m'inquiète autant que CrowdStrike sur le marché des EDR.
Par contre pour le "2011 c'est jeune", je ne comprends pas ta remarque.
Leon.
heureusement qu'il y a des alternatives aux iphones et aux android-likes.. fini la duopole, pour 0.0001% des utilisateurs! (bah quoi, yen a d'autre :D )
Alors que les entreprises cherchent en permanence à réduire le coût de leur IT en recourant massivement à l'offshore (pour le secteur de l'IT que je connais bien), tout ça me paraît juste de belles paroles d'une personne qui ne connaît pas les réalités des directions des systèmes d'information.
quand je lis ça, ça me réconforte à l'idée que l'humanité adore aller dans le mauvais sens, qui à exceller dans ce sport intensif...
Personnellement, je ne connaissais pas crowdstrike avant cet incident.
phénomène 9/11 : "il faut que ça pète pour que j'apprenne son existence"
valable pour les tours jumelles, pour le free-ix, et pour cet antivirus : la plupart de mes connaissances n'en avaient jamais entendu parler.
crodstrike is the new boeing, clairement l'entreprise qui pourra pas passer 2025. Le Blackberry de demain.
-
En l'occurrence, ce qu'essaye d'expliquer kgersen, c'est que beaucoup des machines impactées n'ont justement aucune application spécifique Windows. Beaucoup ont juste besoin d'un navigateur web et rien de plus.
Je te fais confiance sur cette citation, dans ce cas, on passe d'un monopole à un duopole. " Chrome/Safari " en cas de boulette sur un des 2 navigateurs.
-
Je te fais confiance sur cette citation, dans ce cas, on passe d'un monopole à un duopole. " Chrome/Safari " en cas de boulette sur un des 2 navigateurs.
correction : firefox/ladybird.
à un moment, le logiciel mené en bateau par du gros groupe, les gens commencent à prendre conscience des enjeux impliqués.
Ici, l'exercice fut magnifique. Mieux que le 14 juillet, ou que le bug de l'an 2000
-
En quoi l'absence de monopole aurait évité ce type de problèmes à l'heure de l'inter opérabilité et de l'hyper connexion tout en sachant que ces monopoles permettent des économies d'échelle et également une réactivité plus grande pour corriger des failles.
En fait, cela me rappelle l'attaque informatique de la Russie sur l'Ukraine en 2017, le virus Petya, qui s'était répandu à travers une mise à jour vérolée d'un logiciel de comptabilité obligatoire en Ukraine. Et qui s'était répandu dans le monde à travers les succursales ukrainiennes de grands groupes.
Avoir un logiciel quasi obligatoire(pour certains secteurs ou entreprises/administrations) fait qu'une faille sur ce logiciel a des conséquences extrêmement larges, et peut paralyser de nombreux secteurs.
https://www.lemondeinformatique.fr/actualites/lire-petya%C2%A0-la-police-ukrainienne-saisit-les-pc-de-l-editeur-medoc-68743.html
-
Lire le papier de Steven J. Vaughan-Nichols, un journaliste Tech réputé : https://www.computerworld.com/article/2889660/put-not-your-trust-in-windows-or-crowdstrike.html
Ca parle aussi charançon du cotonnier et fusariose du bananier Cavendish ...
-
Je te fais confiance sur cette citation, dans ce cas, on passe d'un monopole à un duopole. " Chrome/Safari " en cas de boulette sur un des 2 navigateurs.
y'a des solutions "terminal web" qui n'utilisent ni chrome ni safari. et safari n'est pas dans le duopole des navigateurs. c'est plutôt Firefox. Chrome est open source, beaucoup de solution web durci sont a base de Chromium pas Chrome.
Il est bien plus facile de "durcir" un client léger basé sur de l'open source (qui n'a un OS minimal et un navigateur mininal voir juste une webview) que Windows.
y'a surtout l'interopérabilité: tu changes de client léger très facilement, tu peux mixer ton parc (2 versions d'os & navigateurs par exemple). Alors qu'avec Windows + intégration AD + un EDT tiers c'est plus compliqué de changer et mixer.
-
je pige juste pas pourquoi les entreprises tournent encore sur windows, alors qu'il y a :
les linux
les bsd
les autres unix
les webapp..
https://www.developpez.net/forums/d2168161-2/club-professionnels-informatique/actualites/panne-chez-microsoft-provoquee-maj-logicielle-crowdstrike-repercussions-mondiales/#post12035444
:D :D
-
y'a des solutions "terminal web" qui n'utilisent ni chrome ni safari. et safari n'est pas dans le duopole des navigateurs. c'est plutôt Firefox. Chrome est open source, beaucoup de solution web durci sont a base de Chromium pas Chrome.
Il est bien plus facile de "durcir" un client léger basé sur de l'open source (qui n'a un OS minimal et un navigateur mininal voir juste une webview) que Windows.
y'a surtout l'interopérabilité: tu changes de client léger très facilement, tu peux mixer ton parc (2 versions d'os & navigateurs par exemple). Alors qu'avec Windows + intégration AD + un EDT tiers c'est plus compliqué de changer et mixer.
Tu le vois où firefox en 2e? Tous ceux qui annoncent les parts de marché que je vois passent Safari en 2e après Chrome.
-
Accéder à ses données où qu'elles soient, avec n'importe quoi par n'importe quels moyens supposent des règles communes ...
... Sinon on peut ne pas utiliser internet le cloud etc ...
... certains pays le font mais bon
-
Tu le vois où firefox en 2e? Tous ceux qui annoncent les parts de marché que je vois passent Safari en 2e après Chrome.
parts de quel marché ?
Safari c'est sur périfs Apple ...
-
Visiblement, CrowdStrike a déjà vécu des problèmes similaire avec Debian-Linux.
https://www.neowin.net/news/crowdstrike-broke-debian-and-rocky-linux-months-ago-but-no-one-noticed/
It turns out that similar problems have been occurring for months without much awareness, despite the fact that many may view this as an isolated incident. Users of Debian and Rocky Linux also experienced significant disruptions as a result of CrowdStrike updates, raising serious concerns about the company's software update and testing procedures. These occurrences highlight potential risks for customers who rely on their products daily.
Et CrowdStrike avec RedHat également
https://access.redhat.com/solutions/7068083
Kernel panic observed after booting 5.14.0-427.13.1.el9_4.x86_64 by falcon-sensor process.
Leon.
-
je pige juste pas pourquoi les entreprises tournent encore sur windows, alors qu'il y a :
les linux
les bsd
les autres unix
les webapp..
:D :D
Quel Linux ? Dès le départ il faut choisir une "distribution". Avant même de commencer, Linux pose des problèmes. Et après, itou,
-
Visiblement, CrowdStrike a déjà vécu des problèmes similaire avec Debian-Linux.
...
Et CrowdStrike avec RedHat également.
Indépendamment des conséquences commerciales pour eux, leurs négligences répétées risquent de les conduire devant une commission d'enquête (parlementaire ou autre).
-
parts de quel marché ?
Safari c'est sur périfs Apple ...
On ne peut en effet pas comparer Safari avec les autres navigateurs, vu qu'aujourd'hui il ne fonctionne pas sur PC.
Il faut donc des stats par type d'équipements :
(https://techreport.com/wp-content/uploads/2024/03/Usage-of-Web-Browsers-e1709702219423.jpeg)
-
Indépendamment des conséquences commerciales pour eux, leurs négligences répétées risquent de les conduire devant une commission d'enquête (parlementaire ou autre).
Ce qui est aberrant. Si le service d'une entreprise n'est pas à la hauteur, aux victimes de lui faire payer les dégâts dans le cadre contractuel, et on en change. Si leurs clients n'en ont pas changé alors qu'ils auraient eu des "négligences répétées", de quoi se plaignent-ils ? Ils ont pris des risques en toute connaissance de cause.
Et puis l'infaillibilité n'est pas de ce monde.
-
Si leurs clients n'en ont pas changé alors qu'ils auraient eu des "négligences répétées", de quoi se plaignent-ils ?
De quelles "négligences répétées" est-ce que tu parles, stp? J'ai lu de pas mal d'articles spécialisés ou non, ces 2 derniers jours, je n'ai pas l'impression que les clients se plaignaient de CloudStrike-Falcon-pour-Windows avant l'incident du 19 Juillet. Les 2 incidents que j'ai relaté ça concernait Falcon-pour-Linux. Donc rien ne dit que les clients impactés par l'incident du 19 Juillet étaient aussi client de Falcon-pour-Linux, et avaient eu des problèmes auparavant.
De plus, CloudStrike semble être en position de leader, sur un marché type oligopole.
Leon.
-
je pige juste pas pourquoi les entreprises tournent encore sur windows, alors qu'il y a :
les linux
les bsd
les autres unix
les webapp..
:D :D
Très souvent, c’est par ce que la suite office n’a pas d’équivalent et est dispo sur Windows ou Mac (car Microsoft sait que le Mac ne va jamais leur prendre tout leur pdm, vu le prix).
-
premier bulletin d'explications techniques de la part de Crowdstrike:
https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/
c'est assez leger comme explication et tres defensif.
une bonne critique: https://x.com/J1NFENG/status/1814542486255378646
-
je pige juste pas pourquoi les entreprises tournent encore sur windows, alors qu'il y a :
les linux
les bsd
les autres unix
les webapp..
:D :D
Très souvent, c’est par ce que la suite office n’a pas d’équivalent et est dispo sur Windows ou Mac (car Microsoft sait que le Mac ne va jamais leur prendre tout leur pdm, vu le prix).
Il y a plein de raisons pourquoi linux n'est quasiment pas utilisé sur les desktop/laptop en entreprise
- en terme d'ergonomie, de facilité d'utilisation, c'est loin derrière Windows
- Pas d'équivalent à Office effectivement
- certaines "applications métier" sont Windows-only.
- maintenance / support pas forcément à la hauteur en comparaison de Windows (même si ça s'est beaucoup amélioré)
- pour les "stations de travail", qui étaient majoritairement sous Unix fin-90/début-2000, il y a eu une énorme migration vers Windows au début des années 2000. Windows était plus fiable, (beaucoup) moins cher, et compatible avec les outils bureautiques. Avant ça, les ingénieurs devaient utiliser 2 machines différentes entre bureautique Windows et applications CAO/outil-métier sous Unix. Formation Unix obligatoire... J'ai vécu cette transition, elle était clairement bienvenue, c'était un gros progrès.
Autour de moi, je vois juste Linux apparaitre pour des terminaux basiques
- utilisés avec des web-app
- clients de VM Remote-Desktop Windows
Je ne sais pas si c'est généralisé ou non
Leon.
-
premier bulletin d'explications techniques de la part de Crowdstrike:
https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/
c'est assez leger comme explication et tres defensif.
déjà indiqué hier dans ce post (https://lafibre.info/windows/crowdstrike-lecran-tout-bleu-du-19-juillet-ecarlate/msg1080025/#msg1080025).
une bonne critique: https://x.com/J1NFENG/status/1814542486255378646
Oui, et la surprise pour la plupart des clients est le point 3 de cette critique.
-
Il y a plein de raisons pourquoi linux n'est quasiment pas utilisé sur les desktop/laptop en entreprise
- en terme d'ergonomie, de facilité d'utilisation, c'est loin derrière Windows
oui, pour les utilisateurs qualifiés "d'utilisateurs bureautiques" (non informaticiens).
- Pas d'équivalent à Office effectivement
pour les particuliers / individuels, il y a des équivalents (compatibles et gratuits)
<mode ancien combattant>
Quand je pense qu'à la fin des années 80, je travaillais pour une société française (Telnos) qui éditait des logiciels bureautiques, notamment traitement de texte et tableur, sous Unix ... et on passait notre temps à porter les programmes entre les différentes variantes d'OS Unix. C'était déjà une solution "multi-utilisateur" ...
</mode> - pour les "stations de travail", qui étaient majoritairement sous Unix fin-90/début-2000, il y a eu une énorme migration vers Windows au début des années 2000. Windows était plus fiable, (beaucoup) moins cher, et compatible avec les outils bureautiques. Avant ça, les ingé devaient utiliser 2 machines différentes entre bureautique Windows et applications CAO/outil-métier sous Unix. Formation Unix obligatoire... J'ai vécu cette transition, elle était clairement bienvenue, c'était un gros progrès.
<mode ancien combattant>
C'est comme ça que dans les années 90, dans ma société on vendait beaucoup de "serveurs X pour Windows" (produit Exceed de Hummingbird, racheté par OpenText)
</mode>
-
<mode ancien combattant>
C'est comme ça que dans les années 90, dans ma société on vendait beaucoup de "serveurs X pour Windows" (produit Exceed de Hummingbird, racheté par OpenText)
</mode>
<mode ancien , même si je suis plus jeune apparemment>
Exceed Hummingbird, j'utilisais ça effectivement au boulot pour je ne sais plus quelle application, sur mon gros HP-Kayak (station de travail x86) avec son écran cathodique 21 pouces. C'était amusant de devoir jongler entre plusieurs "mondes" à partir d'une seule machine. Applications natives Windows principalement (Bureautique, Catia, Matlab, etc...), quelques applications Unix, et des émulateurs de terminaux AS-400 pour les gros ERP; avec des passerelles entre ces 3 "mondes".
</mode>
On est complètement hors sujet là, mais ça fait du bien de se remémorer le bon vieux temps; LOL!
Leon.
-
On est complètement hors sujet là, mais ça fait du bien de se remémorer le bon vieux temps; LOL!
8)
Et ça permet de rappeler que les réseaux TCP/IP ont commencé bien avant le Web (et certaines de ses dérives actuelles). Mais bon, ne commençons pas un concours de b... (https://fr.m.wiktionary.org/wiki/concours_de_bite) de celui qui connaissait en 1er parmi les contributeurs du forum.
On arrêtera peut-être le hors sujet ici :-X
-
En 2010, McAfee avait privé de nombreux ordinateurs sous Windows XP d'Internet, avec de nombreuses conséquences dans le monde. Le directeur technique de McAfee d'alors est désormais... le boss de Crowdstrike, à qui on doit le gigantesque plantage mondial de Windows hier.
Source : Le Virus Info + Pirates Mag' + Les Puces Info (https://twitter.com/ACBM_COM/status/1814543940449681545)
(https://lafibre.info/testdebit/windows10/202407_bills_gates_choses_formidables_que_les_gens_feront_avec_les_ordinateurs_dans_30_ans.webp)
-
Mais que fait l'Arcep? :)
-
L'Arcep ce sont les tuyaux.
S'il y a une entité qui devait gérer ça, c'est l'ANSSI (Agence nationale de la sécurité des systèmes d'information).
-
Juste 1% des ordinateurs sous Windows apparemment.
Ça va être intéressant de voir si tout est rentré dans l'ordre pour la reprise lundi matin.
Les responsables SI peuvent-ils en profiter pour demander plus de moyens ?
-
1% mais des PCs des grosses entreprises, pas des particuliers. Donc c'est un pourcentage dans ces entreprises qu'il serait plus intéressant de connaitre.
Avoir plus de moyens n'aurait servi à rien, puisque c'est une mise à jour logicielle déployée automatiquement. Après, cela aurait pu servir à intervenir manuellement sur chaque PC, mais cela n'arrive qu'exceptionnellement.
Je pense que les SI vont plutôt s'interroger sur Crowdstrike, demander comment cela a pu arriver, et quelles mesures seront prises pour que cela n'arrive plus. Et peut-être s'interroger sur les EDR en général... Et sur leur gestion, qui est en général très souvent sous-traitée.
Ce serait aussi intéressant de connaitre les pertes subies par ces entreprises (vols annulés, magasins fermés, car les moyens de paiement ne fonctionnent plus...). Est-ce qu'il y aura éventuellement des réparations financières demandées à Crowdstrike ?
-
Les analystes estiment que ce sont des milliards d'euros qui ont été perdus en quelques heures sur l'ensemble de la planète.
-
Ils s'interrogent aussi pour comprendre pourquoi la France est, proportionnellement, moins touchée que bien d'autres pays ...
-
Peut-être parce que l'ANSSI met en avant les solutions souveraines, et met en avant l'EDR français Harfang ?
Harfang, un outil made in France recommandé par l’ANSSI
HarfangLab est un outil développé par une équipe française, basée à Paris. Il s’agit du 1er (et unique) EDR certifié par l’ANSSI, qui salue sa robustesse et son efficacité.
https://scalair.fr/pourquoi-lanssi-recommande-t-elle-lutilisation-dun-edr/
-
pourquoi la France est, proportionnellement, moins touchée que bien d'autres pays ...
C'est pas une question de fuseau horaire ça?
Le temps que la France se lève et allume ses machines, la MAJ foireuse était enlevée. Plus ceux en RTT le vendredi...
Nos voisins qui travaillent vraiment tous les jours n'ont pas eu cet avantage.
-
Ou tout simplement qu'on est en retard d'un train sur les autres ;)
J'imagine que l'afrique tout roule bien ? ;)
J'ai un client français qui gere des milliards d'invest, et une partie non negligeable est gerée sur fichiers excel... (mais il est conscient que c'est 'pas bien')
-
Oui, c'est forcément bon signe de ne pas avoir été touché.
Si les caisses, automatiques d'Auchan n'ont pas été touchées, contrairement aux caisses automatiques d'une chaine de magasin australien, j'ai ma petite idée de pourquoi...
(https://lafibre.info/testdebit/windows2000/202009_auchan_caisse_automatique_windows2000.jpg)
-
Peut être aussi par ce que toutes les boites n’utilisent pas crowdstrike ?
J’ai vu plusieurs articles « pourquoi la France est moins touchée par la panne de vendredi » : au delà de l’obsolescence logicielle de certains systèmes, une boîte qui n’utilisait pas crowdstrike vendredi était probablement aussi opérationnelle que d’habitude.
-
Oui, c'est forcément bon signe de ne pas avoir été touché.
Si les caisses, automatiques d'Auchan n'ont pas été touchées, contrairement aux caisses automatiques d'une chaine de magasin australien, j'ai ma petite idée de pourquoi...
Cela, c'est un peu caricatural. Je pense qu'une infime minorité des caisses automatiques ont ce genre de système obsolète.
Et d'ailleurs, pourquoi ferait-on plus mal en France qu'en Australie ? Je pense plutôt que l'Australie, comme d'autres pays, est très alignée sur les Etats-Unis, sont de langue anglaise, et utilise très facilement les solutions américaines (voir l'affaire des sous-marins que la France devait vendre à l'Australie...).
-
Peut être aussi par ce que toutes les boites n’utilisent pas crowdstrike ?
J’ai vu plusieurs articles « pourquoi la France est moins touchée par la panne de vendredi » : au delà de l’obsolescence logicielle de certains systèmes, une boîte qui n’utilisait pas crowdstrike vendredi était probablement aussi opérationnelle que d’habitude.
Oui, j'irais plutôt dans ce sens là.
-
En 2010, McAfee avait privé de nombreux ordinateurs sous Windows XP d'Internet, avec de nombreuses conséquences dans le monde. Le directeur technique de McAfee d'alors est désormais... le boss de Crowdstrike, à qui on doit le gigantesque plantage mondial de Windows hier.
Source : Le Virus Info + Pirates Mag' + Les Puces Info (https://twitter.com/ACBM_COM/status/1814543940449681545)
Oui, voir :
https://fosse.fr/deja-vu-la-panne-mondiale-de-crowdstrike-rappelle-lincident-mcafee-de-2010/
Flashback : L’incident McAfee de 2010
Remontons le temps jusqu’au 21 avril 2010. Ce jour-là, McAfee, un autre géant de la sécurité informatique, a vécu un scénario étrangement similaire. Une mise à jour des définitions antivirus, identifiée comme la version 5958 du fichier DAT, a déclenché un véritable chaos numérique.
Voici ce qui s’est passé :
La mise à jour a été publiée à 6h00 du matin.
Elle contenait un faux positif qui identifiait à tort le fichier système Windows “svchost.exe” comme un virus appelé “W32/Wecorl.a”.
Les systèmes Windows XP SP3 étaient particulièrement touchés, entrant dans une boucle de redémarrage et perdant tout accès réseau.
L’utilisation de l’outil “ePolicyOrchestrator” de McAfee, conçu pour mettre à jour les définitions antivirus sur un réseau, a accéléré la propagation du problème.
L’impact a été considérable :
Des entreprises ont signalé des dizaines de milliers d’ordinateurs affectés.
Une université a rapporté que 1200 PC de son réseau ont été mis hors service.
En Australie, 10% des caisses enregistreuses de la plus grande chaîne de supermarchés du pays ont été touchées, forçant la fermeture de 14 à 18 magasins.
-
Et aussi cet article Insider :
https://www.businessinsider.com/crowdstrike-ceo-george-kurtz-tech-outage-microsoft-mcafee-2024-7
This is the 2nd time CrowdStrike CEO George Kurtz has been at the center of a global tech failure
Lakshmi Varanasi - Jul 20, 2024, 9:08 PM UTC+2
This is the second major debacle for Crowdstrike founder and CEO George Kurtz.
- A faulty update from CrowdStrike caused a global tech outage on Friday.
- CrowdStrike CEO George Kurtz has been down this road before.
- As CTO of McAfee in 2010, Kurtz was at the center of another similar tech debacle.
...
-
Selon LCI, l'Australie serait l'un des pays les plus touchés :
https://www.youtube.com/watch?v=Lh10dgby2Gs
-
Selon LCI, l'Australie serait l'un des pays les plus touchés :
Vu que la mise à jour bugguée a été retirée à 5h27 UTC (=7h27 heure de Paris), il est tout à fait normal que l'Australie ait été parmi les pays les plus touchés. L'Inde aussi a été très impactée.
La Chine n'utilise probablement pas/peu CroudStrike pour des raisons légitimes de souveraineté.
Leon.
-
Défilé de mode crée par l'intelligence artificielle et tweeté par Elon Musk (https://twitter.com/elonmusk/status/1815187468691316946) : On termine par Bill Gates et une tablette qui plante avec un écran bleu.
https://lafibre.info/videos/international/202407_intelligence_artificielle_defile_de_mode.mp4
-
Voici un nouveau point de vue intéressant de Microsoft, dans l'article de Les-Numériques ci-dessous, concernant le bug monumentale du 19 Juillet:
https://www.lesnumeriques.com/informatique/panne-crowdstrike-microsoft-blame-l-union-europeenne-n224552.html
Microsoft pointe l'Union Européenne du doigt
Dans un article pour le Wall Street Journal, un porte-parole de Microsoft (dont le nom n'est pas cité) a pu revenir sur l'incident. En fin d'article, le porte-parole aurait déclaré au journal qu'un accord a été conclu en 2009 entre Microsoft et la Commission Européenne. Selon cet accord, Microsoft ne peut pas verrouiller davantage son système d'exploitation afin de renforcer la sécurité de ses ordinateurs, et ainsi prévenir ce genre de situation. Il ajoute qu'en 2009, à la suite d'une plainte, Microsoft a convenu auprès de l'Union Européenne d'accorder aux fabricants de logiciels de sécurité le même niveau d'accès que Microsoft. Autrement dit, certains éditeurs de logiciels tiers peuvent apporter une sécurité plus approfondie, mais partagent par ailleurs une plus grande capacité de destruction potentielle des ordinateurs. Et nous avons pu le constater cette semaine avec Crowdstrike.
L'accord entre Microsoft et l'Union Européenne fait état d'un partage des APIs de Windows auprès d'éditeurs de logiciels tiers, ce qui est la raison directe de l'impact massif d'une panne telle que l'on a pu la connaître la semaine passée. D'autant que des firmes comme Google et Apple n'ont jamais été contraintes à accepter un accord similaire avec l'Union Européenne. Malgré tout, il y a plus de chances pour que ces derniers suivent la voie de Microsoft, plutôt que Microsoft ne revienne à son niveau de sécurité antérieur. De telles déconvenues, même si rares, pourraient donc se reproduire à l'avenir.
-
Oui, mais pour rappel, le bug a sévi bien plus largement que l'Union Européenne, dont aux US, donc cela n'a rien à voir avec cet accord.
Une occasion très maladroite de critiquer les loi anti-monopolistiques de l'Europe ?
-
Oui, mais pour rappel, le bug a sévi bien plus largement que l'Union Européenne, dont aux US, donc cela n'a rien à voir avec cet accord.
Ben si ca a tout a voir.
Dans l'hypothese où ils n'auraient jamais ete obligé d'ouvrir leur OS a des tiers, exactement ce bug là n'aurait pas pu se produire.
Apres, est ce que eux meme n'aurait jamais pu provoquer le meme genre de bug tout seul ? probablement que non.
Une occasion très maladroite de critiquer les loi anti-monopolistiques de l'Europe ?
Pourquoi maladroite ? c'est juste une mini critique.
-
Et donc, il n'y aurait plus qu'un seul vendeur d'antivirus et anti-ransomwares, Microsoft. Et sans garantie que cela n'arrive pas à Microsoft lui-même... On a vu des mises à jour windows qui ne se sont pas bien passées, récemment.
-
oui oui
une critique c'est juste une critique hein
ca veut pas dire qu'ils ont raison, si on les a forcé c'est bien pour une raison.
-
Voici un nouveau point de vue intéressant de Microsoft, dans l'article de Les-Numériques ci-dessous, concernant le bug monumentale du 19 Juillet:
Microsoft pointe l'Union Européenne du doigt
C'est surtout un rideau de fumée pour cacher que pendant qu'Apple faisait un gros et difficile travail pour que les pilotes systèmes tournent en user-space de macOS (en remplaçant les Kext par les System Extensions, qui fonctionnent un peu comme FUSE pour ceux qui connaissent), MS a gardé pour Windows l'ancien fonctionnement avec les pilotes système en kernel-space, avec des conséquences catastrophiques en cas de défaillance du pilote.
-
Tu pourrais nous faire une comparaison des droits des pilotes systèmes entre Windows, macOS et Linux ? (et BSD, Android si tu connais)
(https://lafibre.info/testdebit/linux/202407_linux_user_space_kernel_space.webp)
-
Tu pourrais nous faire une comparaison des droits des pilotes systèmes entre Windows, macOS et Linux ? (et BSD, Android si tu connais)
ça aurait été intéressant la comparo avec les systèmes BSD et autres unix émergents.
+ les linuxbios :D
-
Je ne peut qu'en rester au niveau des généralités de l'architecture des OS, mais cette vidéo explique bien la situation pour Windows :
https://youtu.be/wAzEJxOo1ts
En résumé les pilotes systèmes de Windows tournent au niveau ring 0 et entrainent un plantage total de la machine en cas d'erreur logicielle non gérée. C'est toujours mieux que les générations précédentes (DOS, Windows 3, MacOS 9) qui n'isolaient pas du tout les applications et l'OS, et ça reste comparable aux Linux actuels qui restent des OS monolithiques (d'abord statiques lorsqu'il fallait "recompiler le noyau" pour ajouter des pilotes, puis actuellement dynamiques / modulaires avec des modules chargeables au besoin). BSD ne fait pas mieux.
Il y a des exceptions comme le pilote FUSE qui permet de développer un système de fichier en user-space, ou les systèmes d'exploitation à micro-noyaux comme Mach, ou seul le strict minimum fonctionne en kernel-space et le plus gros de l'OS en user-space, mais au prix d'une performance réduite.
Par exemple cette étude montre bien l'impact sur les performance de ce fonctionnement en User-Space pour FUSE, impact aggravé avec l'accélération des performances des SSD : https://www.usenix.org/system/files/conference/fast17/fast17-vangoor.pdf
MacOS X est partiellement basé sur Mach mais n'avait pas de pilotes systèmes en User-Space jusqu'à 2019 et macOS X.15 Catalina, qui désormais propose de développer des pilotes systèmes sous forme de Kernel Extensions tournant en User-Space, au prix de contraintes beaucoup plus fortes sur ces pilotes, mais aussi de beaucoup plus de sécurité de fonctionnement :
https://support.kandji.io/support/solutions/articles/72000558740-system-extensions-overview-and-guide
-
Indépendamment des conséquences commerciales pour eux, leurs négligences répétées risquent de les conduire devant une commission d'enquête (parlementaire ou autre).
Ca se précise : https://www.reuters.com/technology/cybersecurity/us-house-panel-calls-crowdstrike-ceo-testify-outage-washington-post-reports-2024-07-22/ ou https://www.pymnts.com/cybersecurity/2024/house-homeland-security-committee-seeks-testimony-from-crowdstrike-ceo/
-
Ca se précise : https://www.reuters.com/technology/cybersecurity/us-house-panel-calls-crowdstrike-ceo-testify-outage-washington-post-reports-2024-07-22/ ou https://www.pymnts.com/cybersecurity/2024/house-homeland-security-committee-seeks-testimony-from-crowdstrike-ceo/
oui l'ancien pdg de mcaffee va devoir passer devant le congrès :
https://www.lefigaro.fr/secteur/high-tech/panne-geante-de-microsoft-le-pdg-de-crowdstrike-devra-s-expliquer-devant-la-chambre-des-representants-20240723
-
C'est bizarre que personne ne dise: t'es pas content tu changes de crémerie.
-
C'est bizarre que personne ne dise: t'es pas content tu changes de crémerie.
Selon cet article (https://techcrunch.com/2024/07/19/crowdstrikes-rivals-stand-to-benefit-from-its-update-fail-debacle/?guccounter=1), CrowdStrike a 15% du marché des logiciels de sécurité, qui comporte autre chose que des EDR (je ne sais pas ce qu'ils ont considéré comme familles de produit dans cet article)).
Changer de crèmerie n'est pas une décision facile à prendre pour un responsable à qui on ne reprochera jamais d'avoir choisi un leader du marché (et dépensé l'argent de son organisation pour le déployer).
D'autant plus que si la technologie EDR impose que tous les produits interviennent au niveau du "ring 0 (https://fr.wikipedia.org/wiki/Anneau_de_protection)" de l'OS, ils sont susceptibles de rencontrer le même genre de bug un jour.
-
D'autant plus que si la technologie EDR impose que tous les produits interviennent au niveau du "ring 0 (https://fr.wikipedia.org/wiki/Anneau_de_protection)" de l'OS, ils sont susceptibles de rencontrer le même genre de bug un jour.
J'avoue que j'entends très bien les arguments de Microsoft sur le sujet. Pourquoi a-t-on forcé Microsoft à ouvrir ce "ring zero" à ces éditeurs de solution antivirus/cyber-securité? Est-ce que c'était vraiment pertinent de faire ça? Ne prend-on pas plus de risque à faire ça, que les risques contre lesquels ces solutions sont censées nous protéger?
Leon.
-
La vraie question est : "pourquoi l'OS est fragile et ne protège pas automatiquement?".
-
Si Microsoft le fait pour son anti-virus, il doit le proposer aux éditeurs tiers, c'est le sens de ce qu'a demandé la commission européenne : Il n'est pas acceptable que Microsoft puisse proposer des logiciels avec un niveau de droits que les concurrents ne peuvent égaler.
-
Exactement. Sinon, il ne resterait plus qu'un seul antivirus et EDR sous windows, lui-même OS dominant dans le monde, Microsoft. Ce serait un monopole.
Par contre, Microsoft fournit une certification WHQL pour les drivers, après des tests complets, il faudrait que les éditeurs de solutions de sécurité aient aussi des procédures de développement et de test rigoureuses pour éviter de tels problèmes. Et éventuellement que Microsoft ait la possibilité d'écarter sur son système les éditeurs qui auraient montré leur manque de sérieux.
Sur les magasins d'application Android ou Apple, des applications sont régulièrement bloquées.
-
La notion même d'antivirus est idiote.
L'OS devrait faire la chasse lui même, voir encore mieux, empêcher la notion même de virus d'exister.
-
La notion même d'antivirus est idiote.
L'OS devrait faire la chasse lui même, voir encore mieux, empêcher la notion même de virus d'exister.
+1
Les éditeurs tiers pourraient aussi demander à l'UE de pouvoir remplacer le menu démarrer, l'explorateur de fichiers, etc... si on suit cette logique.
L'OS à la découpe.
-
Les éditeurs tiers pourraient aussi demander à l'UE de pouvoir remplacer le menu démarrer, l'explorateur de fichiers, etc... si on suit cette logique.
L'OS à la découpe.
Le menu démarrer et l'explorateur de fichiers sont des éléments du système que les éditeurs de solution tiers peuvent le remplacer (il y a de nombreuses alternatives disponibles).
La solution antivirus d'entreprise est une solution externe à l'OS, facturée 2,8 € HT par utilisateur et par mois : https://www.microsoft.com/fr-fr/security/business/endpoint-security/microsoft-defender-business
Il est normal que Microsoft ne soit pas en monopole sur ce segment de marché.
-
La notion même d'antivirus est idiote.
L'OS devrait faire la chasse lui même, voir encore mieux, empêcher la notion même de virus d'exister.
Comment un OS qui est là pour exécuter ce qu'on lui demande doit faire pour décider si le programme qu'on lui a demandé d’exécuter est un virus ?
Un virus ce n'est jamais qu'un programme informatique qui fait ce que son créateur lui a dit de faire, même si ce n'est pas au fond ce que le propriétaire du PC veut (mais tous les logiciels qui ne font pas ce que veut le propriétaire ne sont pas des virus pour autant, ça peut aussi être un soft bugué ou un système de DRM/protection qui empêche l'utilisateur de faire qq chose de non autorisé)
Il arrive soit par un manque de vigilance de l'utilisateur qui va l'installer et donc demander à son OS de l'exécuter, soit par une faille de sécurité (et c'est pas encore demain le jour où on saura garantir du soft à 100% sans faille de sécurité sur du dev grand public) ce qui par essence ne peut pas être géré par l'OS qui contient la faille en question...
L'antivirus a une liste de détection d'éléments jugés malveillant par l'éditeur de l'antivirus, c'est un choix un peu arbitraire (genre les antivirus qui bloque des keygen/cracks pas forcément dangereux).
Si demain Microsoft intègre dans Windows sa liste de détection sans proposer aux concurrents de faire la même ça pose un problème de concurrence et de choix (si on ne peut pas choisir sa liste de détection).
Après Microsoft pourrait très bien fournir des mécanismes de sécurité/détection utilisable par les concurrents via une API publique et assurer la robustesse du fonctionnement pour que tous les logiciels de sécurité puissent faire leur travail sans risquer de causer des instabilités. Mais je pense pas qu'ils aient très envie de faire ça ^^
-
Le mot anti-virus est simplificateur.
Crowdstrike est bien plus que cela. La menace s'est complexifiée et on est loin de la bête vérification de signature qu'on avait il y a 15 ans.
Un des concurrents Crowdstrike, outre Microsoft Defender for Business, est Trellix : https://www.trellix.com/fr-fr/
Vous remarquez que le mot anti-virus n'est employé nulle part.
-
Oui, il s'agit plutôt d'une analyse comportementale des applications et des flux de données, et de leur blocage si elles ont un comportement suspect.
Les définitions maintenant, ce serait plutôt une liste blanche d'applications de confiance, basée sur des signatures, des certificats. Et encore, même celles-ci peuvent être compromises si leur éditeur a été compromis et a servi a envoyé une mise à jour vérolée (comme cela a été le cas avec le ransomware Petya, qui a utilisé une mise à jour d'un logiciel de comptabilité obligatoire en Ukraine).
-
Je ne vois pas non plus Windows proposer un système à la SELinux, où c'est l'utilisateur qui définit les exceptions au blocage assez général par défaut, qui va embêter le grand public pour ajouter plus de sécurité...
Il faut forcément que Windows propose de quoi installer un outil pour ça (qu'il soit appelé antivirus ou autre), car n'inclure que le leur au système serait anticoncurrentiel...
Donc pour moi ça ne peut pas être une fonction de l'OS sur un système grand public.
Et de mon point de vue ce n'est pas à l'OS de décider ce qui relève du virus ou non contrairement à ce que proposait Steph.
Comment peut-il par exemple décider que le logiciel qui enregistre toutes les touches sur mon PC est un keylogger ou un outil dont j'ai besoin pour automatiser une tâche ?
-
Par contre, Microsoft fournit une certification WHQL pour les drivers, après des tests complets, il faudrait que les éditeurs de solutions de sécurité aient aussi des procédures de développement et de test rigoureuses pour éviter de tels problèmes. Et éventuellement que Microsoft ait la possibilité d'écarter sur son système les éditeurs qui auraient montré leur manque de sérieux.
Sur les magasins d'application Android ou Apple, des applications sont régulièrement bloquées.
C'est très différent : ce que les machines reçoivent de CrowdStrike, ce sont les équivalents des fichiers de signature des antivirus. Les systèmes Windows en reçoivent plusieurs fois par jour.
Il est impossible de faire une "certification" ou des tests exhaustifs avec une telle fréquence de réception d'un contenu nouveau de la part de CrowdStrike.
(tiens je n'ai pas reçu de mise à jour aujourd'hui, est ce que CrowdStrike est en train de revoir les processus ? Ou est-ce ma société qui a bloqué les updates ?)
PS C:\Windows\System32\drivers\CrowdStrike> dir c-*.sys |Sort-Object LastwriteTime -Descending|Select-Object -First 10
Directory: C:\Windows\System32\drivers\CrowdStrike
Mode LastWriteTime Length Name
---- ------------- ------ ----
-a---- 7/23/2024 6:10 PM 3700 C-00000001-00004641-00004642.sys
-a---- 7/22/2024 6:12 PM 132 C-00000001-00004640-00004641.sys
-a---- 7/22/2024 8:29 AM 496 C-00000001-00004638-00004640.sys
-a---- 7/20/2024 11:50 AM 630128 C-00000013-00000000-00001258.sys
-a---- 7/19/2024 9:25 PM 238164 C-00000063-00000000-00000397.sys
-a---- 7/19/2024 9:25 PM 13684 C-00000014-00000000-00001141.sys
-a---- 7/19/2024 8:55 PM 939526 C-00000116-00000000-00000210.sys
-a---- 7/19/2024 5:55 PM 8172 C-00000001-00004637-00004638.sys
-a---- 7/19/2024 8:55 AM 165908 C-00000236-00000000-00000312.sys
-a---- 7/19/2024 8:55 AM 184972 C-00000202-00000000-00000307.sys
-
Les systèmes Windows en reçoivent plusieurs fois par jour.
Oui, dans la presse, certains n'aveint pas compris et s'étonnaient que la mise à jour n'ait pas été testé pendant plusieurs mois, comme une nouvelle version annuelle de Windows.
Sinon CrowdStrike a annoncé faire de gros changements pour les mises à jour (en fait, il n'a pas le choix).
-
en fait, il n'a pas le choix
ils n'ont juste pas le choix que de faire faillite :
-le cout des pertes pour leurs clients sur 1 jour
-le cout de réparation des appareils concernés
-le cout de réputation à faire fuir tous les clients
c'est au niveau de boeing, si ce n'est au dela.
je vois pas comment ils verraient 2026.
-
ils n'ont juste pas le choix que de faire faillite :
-le cout des pertes pour leurs clients sur 1 jour
-le cout de réparation des appareils concernés
-le cout de réputation à faire fuir tous les clients
c'est au niveau de boeing, si ce n'est au dela.
je vois pas comment ils verraient 2026.
Oui, c'est pharamineux comme pertes. 5.4Milliards de pertes selon une estimation crédible.
https://www.bfmtv.com/tech/cybersecurite/panne-informatique-mondiale-on-connait-le-cout-faramineux-pour-les-entreprises-concernees_AV-202407250353.html
Panne informatique mondiale: on connaît le coût faramineux pour les entreprises concernées
Dans une étude (https://cdn.prod.website-files.com/64b69422439318309c9f1e44/66a14199d3c5dde3b1c40aaa_CrowdStrikes%20Impact%20on%20the%20Fortune%20500_%202024%20_Parametrix%20Analysis.pdf), l'assureur Parametrix estime que le coût financier total de ce bug est estimé à 5,4 milliards de dollars... seulement pour les entreprises du Fortune 500 (hors Microsoft), qui regroupe les 500 plus grosses entreprises mondiales selon leur chiffre d'affaires.
Leon.
-
si un client a perdu 1 journée de production à cause de cette panne c'est qu'il n'a pas de plan de reprise d'activité et donc qu'il y a aussi des défaillances de son côté...
C'est un peu facile de rejeter à 100% la faute sur Crowdstrike...
-
Pour rappel, c'est une intervention manuelle sur chaque PC... Cela prend du temps, quand on a des milliers de PCs dans différentes locations.
-
c'est clairement trop simpliste de raisonner comme cela sinon y'aurait plus aucun éditeurs de logiciel en vie...
Quand aux estimations de pertes c'est toujours très très exagéré quand c'est fait a la va vite par ceux qui ont subit des pertes. Surtout que pas mal d'intervenants (avocats, conseillers, etc) sont rémunérés au pourcentage des montants en question...
Les assurances et d’éventuels jugements établiront les vrais montants des pertes.
et $5 Mds pour les fortunes 500 (= $18 trillions de CA) ce n'est pas si faramineux que ca (meme si ce n'est pas équitablement réparti sur les 500).
-
si un client a perdu 1 journée de production à cause de cette panne c'est qu'il n'a pas de plan de reprise d'activité et donc qu'il y a aussi des défaillances de son côté...
C'est un peu facile de rejeter à 100% la faute sur Crowdstrike...
la plupart des PME n'en ont pas
la plupart des grands groupes ne s'en servent pas, où ne savent pas réagir si il devait avoir lieu
la plupart des clients crowdstrike n'auraient pas pu mettre leur PRA parce que l'ordi concerné était en écran bleu
les entreprises et organisations n'ont aucune obligation à disposer d'un PRA
c'est un peu irresponsable de ne pas rejeter à 100% la faute sur crowdstrike : ils mettent des équipements dangereux dans leurs bagnoles, qu'ils assument les crash sur autoroute.
-
parler de PRA dans ce cas la n'a quasi aucun sens surtout
tes devices dans ton PRA ne sont pas differentes de ton activité. Donc ton PRA pourrait se retrouver HS egalement
un PRA, c'est une reprise d'activité sur desastre, ca concerne princiaplement la reprise d'activité en cas de perte d'un DC, incendie, perte réseau qui ne peut etre réparé rapidement, pas des postes clients. Et ton PRA, c'est rarmeent transparent et neutre comme décision, tu l'actives vriament que si t'as pas le choix.
aucune boite au monde n'a un stock de PC pour remplacer ses devices, surtout quand ces devices sont repartis un peu partout, et encore plus quand ces devices sont "dans des points de vente". Prenons l'exemple des problemes dans les aeroports tu fais quoi, tu dis a tes employés d'aller bosser ailleurs avec des PC qui les attendent ? puis tu fais decoller les avions de la bas ?
Bref y'a bcp de gens ici qui parlent sans rien connaitre au sujet.
-
parler de PRA dans ce cas la n'a quasi aucun sens surtout
Je suis largement de ton avis, quelques observations supplémentaires :
tes devices dans ton PRA ne sont pas differentes de ton activité. Donc ton PRA pourrait se retrouver HS egalement
Non seulement ce sont les mêmes "devices", mais en plus, ils doivent être au même niveau logiciel en tous points. Avec un "PRA" où on n'installerait pas les mises à jour (OS, appli, configuration), on aurait du mal à être confiants dans la capacité de reprise. ou dans le respect des exigences de RPO et RTO (https://fr.wikipedia.org/wiki/Dur%C3%A9e_maximale_d%27interruption_admissible).
Bien évidemment, il est impossible de s'organiser avec une production Windows et un PRA Linux par exemple !
un PRA, c'est une reprise d'activité sur desastre, ca concerne princiaplement la reprise d'activité en cas de perte d'un DC, incendie, perte réseau qui ne peut etre réparé rapidement, pas des postes clients. Et ton PRA, c'est rarmeent transparent et neutre comme décision, tu l'actives vriament que si t'as pas le choix.
Oui, ça ne concerne pas les "utilisateurs" qui font l'objet d'un plan de continuité qui peut être : "si les bureaux ne sont pas accessibles : restez à la maison, travaillez avec vos outils personnels".
aucune boite au monde n'a un stock de PC pour remplacer ses devices, surtout quand ces devices sont repartis un peu partout, et encore plus quand ces devices sont "dans des points de vente". Prenons l'exemple des problemes dans les aeroports tu fais quoi, tu dis a tes employés d'aller bosser ailleurs avec des PC qui les attendent ? puis tu fais decoller les avions de la bas ?
Les devices PoS (des magasins d'enseignes disposant d'une informatique centrale) restent souvent allumés la nuit pour que les opérations de maintenance, de transfert de données etc puissent avoir lieu. Ces systèmes ont été victimes du bug.
Autre illustration : parmi mes collègues en Europe, ceux touchés sur leurs ordinateurs ont été ceux qui justement avaient laissé leurs machines allumées.
Bref y'a bcp de gens ici qui parlent sans rien connaitre au sujet.
Pas qu'ici ...
-
Quand aux estimations de pertes c'est toujours très très exagéré quand c'est fait a la va vite par ceux qui ont subit des pertes. Surtout que pas mal d'intervenants (avocats, conseillers, etc) sont rémunérés au pourcentage des montants en question...
Les assurances et d’éventuels jugements établiront les vrais montants des pertes.
et $5 Mds pour les fortunes 500 (= $18 trillions de CA) ce n'est pas si faramineux que ca (meme si ce n'est pas équitablement réparti sur les 500).
5Md$ de perte provoqués par une entreprise de taille moyenne, je pense au contraire que c'est faramineux. La capacité de nuisance de CrowdStrike est phénoménale en comparaison de son chiffre d'affaire.
Tu te rends compte de l'impact gigantesque que ça a eu? Des milliers de vol annulés. Tu sais combien ça coute un vol d'avion de ligne long courrier?
Des banques fermées, des usines à l'arrêt, des supermarchés, des bureaux "tertiaires" à l'arrêt...
parler de PRA dans ce cas la n'a quasi aucun sens surtout
Tout à fait d'accord.
Il faut bien voir que les méfaits du bug de CroudStrike ont été surtout côté "clients".
La réparation côté "serveurs/VM" est visiblement automatisable, ou faisable à distance, elle a été beaucoup plus rapide que pour les "clients".
Et quand on parle de PRA, c'est côté serveurs, pas côté clients en général.
Leon.
-
et $5 Mds pour les fortunes 500 (= $18 trillions de CA) ce n'est pas si faramineux que ca (meme si ce n'est pas équitablement réparti sur les 500).
peu d'entreprises de ce monde ont autant de tonnes de cash pour assumer cette responsabilité.
je doute fortement que crowdstrike en ait autant (si c'est pas le cas, démantellement ou => faillite)
mais peut etre que crowdstrike était un boeing caché? ;)
-
Ils ne sont pas assurés ces gens là?
Bon, après la prime risque de monter un peu...
-
parler de PRA dans ce cas la n'a quasi aucun sens surtout
tes devices dans ton PRA ne sont pas differentes de ton activité. Donc ton PRA pourrait se retrouver HS egalement
un PRA, c'est une reprise d'activité sur desastre, ca concerne princiaplement la reprise d'activité en cas de perte d'un DC, incendie, perte réseau qui ne peut etre réparé rapidement, pas des postes clients. Et ton PRA, c'est rarmeent transparent et neutre comme décision, tu l'actives vriament que si t'as pas le choix.
aucune boite au monde n'a un stock de PC pour remplacer ses devices, surtout quand ces devices sont repartis un peu partout, et encore plus quand ces devices sont "dans des points de vente". Prenons l'exemple des problemes dans les aeroports tu fais quoi, tu dis a tes employés d'aller bosser ailleurs avec des PC qui les attendent ? puis tu fais decoller les avions de la bas ?
Bref y'a bcp de gens ici qui parlent sans rien connaitre au sujet.
Donc le jour où un malware te flingue tous tes pc ton PRA ne s’applique pas non plus ? Parce que dans ce cas le résultat est le même mais t’as personne sur qui pleurer…
Si ton activité est vraiment dépendante des pc tu dois prévoir de quoi fonctionner (en mode dégradé éventuellement) que ce soit sans pc, avec des machines de backup déployables rapidement, des procédures offline en cas d’attaque réseau, une procédure de réinstallation rapide, etc …
Si tu n’as rien prévu le problème est bien en partie de ta faute et donc tu acceptes d’avoir des pertes.
Ça peut aussi être un calcul de ne pas le faire : si maintenir une solution de secours te revient plus cher que la perte d’activité ou que les assurances pour couvrir les pertes…
-
Il faudrait préciser que le rôle du PRA n'a pas pour but de réduire la sévérité du désastre, mais uniquement sa durée, en organisant au mieux le retour à la normale.
C'est le PCA qui doit organiser le mode dégradé de fonctionnement, en reportant les activités qui peuvent l'être, en mettant en oeuvre des moyens ou locaux de remplacement, au besoin en revenant au mode manuel et papier/crayon, et au pire en arrêtant "proprement" tout ou partie de l'activité.
Le PRA lui-même ne démarre que lorsque la situation est stable, bref quand on est au fond du trou, et que l'on envisage de remonter la pente ;)
Et de toute façon, qu'elle ait été "Planifiée" ou non, il y aura toujours une "Reprise d'Activité", même si c'est uniquement de faire et déposer le bilan...
Mais mélanger PRA et PCA c'est s'assurer de mal affecter les ressources.
-
seuls 10 à 20 % des 15 milliards de dollars de pertes seront remboursés
https://next.ink/145142/panne-crowdstrike-seuls-10-a-20-des-15-milliards-de-dollars-de-pertes-seront-rembourses/
-
Crowdstrike a publié mardi 6 août 2024 un rapport détaillé expliquant comment la faille a pu échapper à ses procédures de test.
En résumé, le code fautif faisait appel à « vingt et unième paramètre », en réalité inexistant, qui n’était pas utilisé dans les précédentes mises à jour du logiciel, ni dans les tests conduits par l’entreprise, ce qui explique qu’il est passé inaperçu.
(cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/testdebit/windows10/202806_crowdstrike_analyse_incident_19_juillet_2024.webp) (https://lafibre.info/testdebit/windows10/202806_crowdstrike_analyse_incident_19_juillet_2024.pdf)
-
Traduction rapide des parties les plus importantes du PDF :
Avec la sortie de la version 7.11 du capteur en février 2024, CrowdStrike a introduit un nouveau type de modèle pour permettre la visibilité et la détection de nouvelles techniques d'attaque qui abusent des canaux nommés et d'autres mécanismes de communication interprocessus Windows (« IPC »). Comme indiqué dans le PIR, le nouveau type de modèle IPC a été développé et testé conformément à nos processus de développement de contenu de capteur standard et a été intégré au capteur pour préparer son utilisation sur le terrain. Les instances de modèle IPC sont fournies sous forme de contenu de réponse rapide aux capteurs via un fichier de canal correspondant numéroté 291.
Le nouveau type de modèle IPC définissait 21 champs de paramètres d'entrée, mais le code d'intégration qui appelait l'interpréteur de contenu avec les instances de modèle du fichier de canal 291 ne fournissait que 20 valeurs d'entrée à comparer. Cette incompatibilité du nombre de paramètres a échappé à plusieurs couches de validation et de test de build, car elle n'a pas été découverte pendant le processus de test de la version du capteur, le test de stress du type de modèle (à l'aide d'une instance de modèle de test) ou les premiers déploiements réussis d'instances de modèle IPC sur le terrain. Cela était dû en partie à l'utilisation de critères de correspondance génériques pour la 21e entrée pendant les tests et dans les instances de modèle IPC initiales.
Le 19 juillet 2024, deux instances de modèle IPC supplémentaires ont été déployées. L'une d'entre elles a introduit un critère de correspondance non générique pour le 21e paramètre d'entrée. Ces nouvelles instances de modèle ont donné lieu à une nouvelle version du fichier de canal 291 qui obligerait désormais le capteur à inspecter le 21e paramètre d'entrée. Jusqu'à ce que ce fichier de canal soit livré aux capteurs, aucune instance de modèle IPC dans les versions de canal précédentes n'avait utilisé le champ de paramètre d'entrée 21. Le validateur de contenu a évalué les nouvelles instances de modèle, mais a basé son évaluation sur l'attente que le type de modèle IPC soit fourni avec 21 entrées.
Les capteurs qui ont reçu la nouvelle version du fichier de canal 291 contenant le contenu problématique ont été exposés à un problème de lecture hors limites latent dans l'interpréteur de contenu. Lors de la notification IPC suivante du système d'exploitation, les nouvelles instances de modèle IPC ont été évaluées, en spécifiant une comparaison avec la 21e valeur d'entrée. L'interpréteur de contenu n'attendait que 20 valeurs. Par conséquent, la tentative d'accès à la 21e valeur a produit une lecture de mémoire hors limites au-delà de la fin du tableau de données d'entrée et a entraîné un blocage du système.
En résumé, c'est la confluence de ces problèmes qui a entraîné une panne du système : l'inadéquation entre les 21 entrées validées par le validateur de contenu et les 20 entrées fournies à l'interpréteur de contenu, le problème de lecture hors limites latent dans l'interpréteur de contenu et l'absence de test spécifique pour les critères de correspondance non génériques dans le 21e champ. Bien que ce scénario avec le fichier de canal 291 ne puisse plus se reproduire, il informe également sur les améliorations de processus et les mesures d'atténuation que CrowdStrike déploie pour garantir une résilience encore renforcée.
Et pour quoi les tests réalisés n'ont pas détecté le problème ?
Des tests manuels et automatisés ont été effectués lors du développement du type de modèle IPC. Ces tests étaient axés sur la validation fonctionnelle du type de modèle, notamment sur le flux correct des données relatives à la sécurité qui y transitent, et sur l'évaluation de ces données pour générer des alertes de détection appropriées en fonction des critères créés dans les cas de test de développement.
Les tests automatisés ont exploité des outils internes et externes pour créer les données de sécurité requises pour tester le type de modèle IPC sous toutes les versions Windows prises en charge dans un large sous-ensemble des cas d'utilisation opérationnels attendus. Pour les tests automatisés, un ensemble statique de 12 cas de test a été sélectionné pour être représentatif des attentes opérationnelles plus larges et pour valider la création d'alertes de télémétrie et de détection. Une partie de ces tests comprenait la définition d'un fichier de canal à utiliser dans les cas de test. La sélection des données dans le fichier de canal a été effectuée manuellement et comprenait un critère de correspondance générique regex dans le 21e champ pour toutes les instances de modèle, ce qui signifie que l'exécution de ces tests pendant les builds de développement et de publication n'a pas exposé la lecture hors limites latente dans l'interpréteur de contenu lorsqu'il était fourni avec 20 entrées au lieu de 21.
Atténuation : augmenter la couverture des tests pendant le développement du type de modèle. Pour confirmer que nous validons tous les champs de chaque type de modèle, des tests automatisés ont été créés pour tester avec des critères de correspondance non génériques pour chaque champ. Cette étape a été effectuée pour tous les types de modèles existants et est requise pour tous les types de modèles futurs.
De plus, tous les types de modèles futurs incluent des cas de test avec des scénarios supplémentaires qui reflètent mieux l'utilisation en production.
Ce qui a changé dans le déploiment des mises à jour :
1/ chaque instance de modèle sont maintenant déployée progressivement, lors d'un déploiement par étapes
2/ La plateforme Falcon a été mise à jour pour offrir aux clients un contrôle accru sur la diffusion du contenu Rapid Response. Les clients peuvent choisir où et quand les mises à jour du contenu Rapid Response sont déployées. Nous continuons d'améliorer cette capacité pour offrir un contrôle plus précis sur les déploiements du contenu Rapid Response ainsi que les détails des mises à jour du contenu via des notes de version, auxquelles les clients peuvent s'abonner.
Enfin, l'avenir est à faire fonctionner les produits de sécurité en espace utilisateur :
La présence dans le noyau offre une riche visibilité sur les activités liées à la sécurité à l'échelle du système, telles que la création de processus et de threads, ou les fichiers en cours d'écriture, de suppression et de modification sur le disque. Les interfaces exposées par le noyau permettent aux pilotes de CrowdStrike d'appliquer des contrôles critiques pour un produit de sécurité, tels que la prévention en ligne des processus malveillants ou le blocage des fichiers malveillants en cours d'écriture sur le disque.
Le pilote du noyau de CrowdStrike est chargé dès les premières phases de démarrage du système pour permettre au capteur d'observer et de se défendre contre les logiciels malveillants qui se lancent avant le démarrage des processus en mode utilisateur.
[...]
CrowdStrike certifie chaque nouvelle version de capteur Windows via le programme Windows Hardware Quality Labs (WHQL), qui comprend des tests approfondis via tous les tests requis dans le kit Windows Hardware Lab (HLK) et le kit de certification matérielle Windows de Microsoft (HCK). Le processus de certification WHQL marque la fin d'un ensemble complet de tests internes comprenant des tests fonctionnels, des tests de longévité, des tests de contrainte avec injection de fautes, des tests de fuzzing et de performances. Lors des tests requis pour le programme WHQL, les capteurs utilisent les dernières versions des fichiers de canaux au moment de la certification.
À mesure que les nouvelles versions de Windows introduisent la prise en charge de l'exécution d'un plus grand nombre de ces fonctions de sécurité dans l'espace utilisateur, CrowdStrike met à jour son agent pour utiliser cette prise en charge. Un travail important reste à faire pour l'écosystème Windows pour prendre en charge un produit de sécurité robuste qui ne repose pas sur un pilote du noyau pour au moins certaines de ses fonctionnalités. Nous nous engageons à travailler directement avec Microsoft de manière continue, à mesure que Windows continue d'ajouter davantage de prise en charge pour les besoins en produits de sécurité dans l'espace utilisateur.
-
En gros, t'as un tableau de 10 cases numérotées de 0 à 9 et tu vas taper dans la numéro 10.
Vieux comme le C...
-
En gros, t'as un tableau de 10 cases numérotées de 0 à 9 et tu vas taper dans la numéro 10.
Vieux comme le C...
Mouais, un peu plus subtil quand même ici.
A une époque (très ancienne) je m'amusais à faire des trucs fun, du genre provoquer une boucle infinie dans un programme C en cassant la "pile" en écrivant à une adresse hors du tableau ...
Mais si je comprends bien l'article, un "bug" existait quand même depuis février 2024. 12 pages pour nous expliquer qu'ils ont me...dé.
-
Ce n'est pas comme si ce genre de problèmes arrivait en permanence dans les développements en C/C++, même avec des développeurs expérimentés. Ce qui est plus surprenant pour moi c'est ça :
For automated testing, a static set of 12 test cases was selected to be representative of broader operational expectations and to validate the creation of telemetry and detection alerts.
Vu le nombre de cas qui peuvent être rencontrés pour cette fonction et le nombre de machines sur lesquelles le soft est déployé, ça me semble ridiculement bas.
On fait beaucoup plus de tests sur dans des contextes moins ouverts et avec des logiciels tournant sur un plus petit nombre de machines...
Mais il y a probablement un nombre de tests de non-régression gigantesque quand on considère toutes les fonctions du logiciel.
-
Ben il n'y avait pas de test pour quand le fichier de definitions est foireux, rien de plus
De mon experience, les tests ne marchent jamais. Enfin c'est la perception, malheureusement, tu payes plus cher en dev pour te dire que le truc est blindé, et a la fin quand on tombe sur un bug insupportable en prod, haben ouais, y avait pas de test pour ce cas-la....
Enfin mon cas n'est surement pas une generalité j'imagine.
-
Ben il n'y avait pas de test pour quand le fichier de definitions est foireux, rien de plus
De mon experience, les tests ne marchent jamais. Enfin c'est la perception, malheureusement, tu payes plus cher en dev pour te dire que le truc est blindé, et a la fin quand on tombe sur un bug insupportable en prod, haben ouais, y avait pas de test pour ce cas-la....
Enfin mon cas n'est surement pas une generalité j'imagine.
Problème de perception : le problème qui arrive en prod et qui n’est pas une erreur d’utilisation peut toujours être vu comme un test manquant.
Mais ça cache tous les problèmes détectés avant la mise en prod quand les tests sont bien faits (et forcément on ne communique pas sur les bugs corrigés avant que le soft sorte, ça n’est pas bon niveau marketing…). Encore faut-il qu’ils soient bien fait et idéalement par des gens dédiés et non les devs (qui effectivement ont du mal à tester les cas qu’ils n’ont pas imaginé et donc traiteé lors du dev)
C’est un peu le même système que les attentats : tu as beau en stopper 99% avant qu’ils arrivent le grand public ne va garder à l’esprit que le cas qui aura déjoué la surveillance…
-
tu as beau en stopper 99% avant qu’ils arrivent le grand public ne va garder à l’esprit que le cas qui aura déjoué la surveillance…
ca fonctionne magistralement pour tout, et c'est très esprit de société et de vie d'aujourd'hui, que de pointer ce qui ne fonctionne pas : c'est anormal.
quand ca marche, c'est normal, c'est l'inverse qui est scandaleux, et il ne manquerait plus qu'un "merci" en surplus de ce qui est déjà "remercié" par le tarif.
sinon, c'est sur que si crowdstrike avait été utilisé dans des situations critiques, bonsoir les dégats:
(https://rehost.diberie.com/Picture/Get/f/307801)
-
Documentaire ARTE : Windows - le bug informatique du siècle - Le dessous des images
En juillet 2024, l’écran bleu de la mort s’affiche sur des millions d’appareils Windows. Cette image informative a fait renaître des angoisses de science-fiction : et si notre dépendance au numérique menait à notre perte ? Plongée dans un grand bleu... lourd de menace.
Sur fond bleu uni, un smiley mécontent nous accueille avec ce message : « Votre ordinateur a rencontré un problème et doit redémarrer ». Le 19 juillet 2024, cet écran redouté a fait le tour du monde. Chaos. Confusion. Paralysie. Les termes choisis par les médias pour qualifier cette panne sont porteurs d’angoisses universelles : celles de notre dépendance aux machines et de leur possible défaillance. L’expert en cybersécurité, Nicolas Arpagian, revient sur cette panne mondiale. Le critique de cinéma, Rafik Djoumi, analyse l’impact du crash numérique dans l’univers de la science-fiction.
https://www.youtube.com/watch?v=7Q1yLW7hnQQ
La fiction Netflix évoquée dans le documentaire :
https://www.youtube.com/watch?v=glPta0GQkTI
-
Documentaire ARTE : Windows - le bug informatique du siècle - Le dessous des images
le reportage d'arte est plutot pas mal.. et montre énormément que les gens "apprécient" ou acceptent sans broncher la dépendance à windows.
crowdstrike aura été suffisamment "contenu" pour ne pas leur faire changer le fusil d'épaule.
-
Crowdstrike, dont l'action côtée au Nasdaq avait perdu 42% en quelques jours, les a quasiment repris depuis. Ceux qui y croyaient et qui en ont acheté fin juillet/Aout doivent se friser les moustaches au soleil...
(https://i.imgur.com/WTlPhzw.png)
-
Crowdstrike, dont l'action côtée au Nasdaq avait perdu 42% en quelques jours, les a quasiment repris depuis. Ceux qui y croyaient et qui en ont acheté fin juillet/Aout doivent se friser les moustaches au soleil...
Une route que boeing aurait aimé suivre..
-
et n'ont dans tous les cas pas de rapport direct a l'OS.
croire que les gens allaient abandonné windows parceque crowdstirke c'est juste risible
- le particulier n'utlise pas crowdstrike, son pc n'a pas planté, et il en a rien à faire
- le pro utilise windows pour une bonne raison (si si) et ca ne se remplace pas comme ca juste parceque t'as eu une merde un jour, quand bien meme t'en as chié
-
Ce qui est plus surprenant c’est que Crowdstrike n’ait pas été massivement abandonné.
-
ca n'a rien de surprenant.
le truc est deployé chez plein de client et c'est pas parce que une fois ca a merdé que tu vas le virer, surtout ensuite retrouver un equivalent derriere...
-
Crowdstrike, dont l'action côtée au Nasdaq avait perdu 42% en quelques jours, les a quasiment repris depuis. Ceux qui y croyaient et qui en ont acheté fin juillet/Aout doivent se friser les moustaches au soleil...
Faut certainement pas le prendre au mot ;)
Je préfère la vidéo de Micode sur le même sujet.
L'attaque xz est vraiment indépendante et un sujet séparé serait certainement plus approprié (le seul point commun, c'est que c'est du logiciel)
Ce qui est plus surprenant c’est que Crowdstrike n’ait pas été massivement abandonné.
Tous les jours j'en croise qui ont des merdes avec des produits microsoft (ou autres) : excel qui déconne sur un truc, windows et son gros bug de Maj, la semaine dernière, teams ne passait ni sur FF ni sur chrome/edge, etc
pourtant, les gens le gardent. Pourquoi? Pas parce que c'est efficace : parce qu'ils ont l'habitude (à vie), et que ca leur coute, donc ils pourront taper sur quelqu'un si ca foire.
Sinon, je pense que msft aurait été abandonné depuis longtemps. Valable aussi pour les produits payants adobe, autodesk, avid, etc..
Si les entreprises pénalisées par crowdstrike le voulaient, elle auraient jarté le logiciel. Elles ne le font pas, et ne le feront probablement pas, par "crashtest" certainement.
C'est un peu comme virer le PDG quand les résultats sont mauvais alors qu'il a trente ans de boite... mwait, quand on regarde le secret service américain cet été, ou tavares le weekend dernier.. ah pas pareil :D
-
Quand tu as payé un service que tu amortis, tu ne changes pas comme ça juste pour un dysfonctionnement. Sinon, tu perds de l'argent.
-
Ce qui est plus surprenant c’est que Crowdstrike n’ait pas été massivement abandonné.
C'est toujours une bonne question : vaut-il mieux garder le service qui a connu un gros problème et qui devrait logiquement chercher à ne plus le reproduire ou partir chez le concurrent qui n'a pas encore eu le problème sans savoir si c'est par maitrise (auquel cas bon choix) ou par chance (auquel cas il risque d'être le prochain à avoir le problème) ?
Seule une bonne boule de cristal a la réponse ;D
-
Quand tu as payé un service que tu amortis, tu ne changes pas comme ça juste pour un dysfonctionnement. Sinon, tu perds de l'argent.
On ne parle pas d’un petit dysfonctionnement ici. Une entreprise plantée pendant 8h, ça coûte beaucoup d’argent. Dans mon entreprise je pense qu’on pourrait se payer la qualification et le déploiement de deux Crowdstrike like pour ce coût. Maintenant en effet, est-ce que les solutions concurrentes sont mieux ou moins risquées… ça se débat.
-
c'est clair moi je fais pareil, quand je creve un pneu je jette la bagnole et j'en achete une autre ;)
-
L'attaque xz est vraiment indépendante et un sujet séparé serait certainement plus approprié (le seul point commun, c'est que c'est du logiciel)
C'est séparé dans un autre sujet : Attaque XZ visant OpenSSH: L'attaque informatique la plus sophistiquée de l'Histoire (https://lafibre.info/attaques/attaque-xz-visant-openssh-lattaque-informatique-la-plus-sophistiquee-de-lhistoir/)
-
On ne parle pas d’un petit dysfonctionnement ici. Une entreprise plantée pendant 8h, ça coûte beaucoup d’argent. Dans mon entreprise je pense qu’on pourrait se payer la qualification et le déploiement de deux Crowdstrike like pour ce coût. Maintenant en effet, est-ce que les solutions concurrentes sont mieux ou moins risquées… ça se débat.
sauf que l'argent perdu, il est de toute facon perdu
si tu veux te payer la qualif et le deploiement de deux crowdstrike like ben faut repayer la meme somme ;D
des logiciels qui ne connaissent aucun probleme, ca n'existe pas, meme dnas le libre
et ce n'est pas forcement qu'un probleme technique, on peut parler de tous les gens qui utilisaient des distro linux basé sur redhat et qui ont du quasiemet du jour au lendemain changer leur plan parceque redhat a supprimé centos ...
bref ca fait 20 ans que je bosse dans l'info, des problemes j'en ai vu partout
tiens la derniere en date, la maj d'iOS qui bloque tous les ipad utilisé en mode kiosk si ils ont un code de deverouillage...
-
sauf que l'argent perdu, il est de toute facon perdu
si tu veux te payer la qualif et le deploiement de deux crowdstrike like ben faut repayer la meme somme ;D
des logiciels qui ne connaissent aucun probleme, ca n'existe pas, meme dnas le libre
et ce n'est pas forcement qu'un probleme technique, on peut parler de tous les gens qui utilisaient des distro linux basé sur redhat et qui ont du quasiemet du jour au lendemain changer leur plan parceque redhat a supprimé centos ...
bref ca fait 20 ans que je bosse dans l'info, des problemes j'en ai vu partout
tiens la derniere en date, la maj d'iOS qui bloque tous les ipad utilisé en mode kiosk si ils ont un code de deverouillage...
Oui, en général on appelle ça un investissement pour éviter de futures pertes financières plus importantes.
Des logiciels qui n'ont pas de problèmes, en effet ça n'existe pas.
Des logiciels qui te mettent en rade l'intégralité de tes postes de travail, c'est beaucoup plus rare.
Après chacun fait ses choix, en effet...
-
bref ca fait 20 ans que je bosse dans l'info, des problemes j'en ai vu partout
Effectivement c'est le plus grand problème de l'informatique, les évolutions de l'informatique sont tellement rapides qu'ils bloquent ...
Ils ne savent pas que les problèmes d'il y a 20 ans sont résorbables aujourd'hui ...
Et quand les nouvelles solutions arrivent, il les bloquent ...
C'est la vie
"Je pense qu'il y a un marché mondial pour environ cinq ordinateurs." qu'ils disaient