Le truc a été corrigé vendredi matin à 5h27UTC = 7h27-Heure-de-Paris. C'est cohérent avec ce qu'on a constaté au boulot. Les PC/VM démarrés avant 7h30 ont été impactés.

Oui, c'est pour ça que je ne comprenais pas qu'on n'ait pas eu d'impact sur nos laptops en Europe alors que les collègues australiens, néo-zélandais etc en étaient victimes.

Remarquez que dans cette communication:
 * ils ne s'excusent pas

Si tu cherches bien, George Kurtz présente ces excuses ici :

I want to sincerely apologize directly to all of you for today’s outage. All of CrowdStrike understands the gravity and impact of the situation.

Bref, la com n'est franchement pas bonne...

Ils ont fini par engager un conseiller en com et "damage control", car je n'ai pas vu passer d'excuses dans les messages de Crowdstrike sur X ex twitter.

Je suis désolé mais je ne suis pas d'accord.
Certes l'impact immédiat est le même qu'un crypto.
Mais encore une fois une fois dépanné la machine repartira comme avant sans se taper une réinstallation dans la majorité des cas.
Ça n'a juste rien à voir.

Il est simple (mais clairement long et chiant) de remettre en route tes machines.
Même avec un bitlocker (si le taff a été bien fait la procédure existe déjà.)

Un crypto c'est:
Tout couper pour limiter la casse.
réussir à identifié le point d'entrée.
Sortir une sauvegarde si le crypto ne l'a pas flinguée.
Réinstaller tous les systèmes sur lesquels le crypto est passé.

D'expérience chez des clients c'est des mois de boulot avec un SI à moitié en vrac.

Je suis désolé mais je ne suis pas d'accord.
Certes l'impact immédiat est le même qu'un crypto.
Mais encore une fois une fois dépanné la machine repartira comme avant sans se taper une réinstallation dans la majorité des cas.

La différence est l'ampleur de l'attaque, contrairement à un ransomware qui cible une organisation.
Microsoft estime que 8.5 millions de machines ont été affectées dans le monde ce qui représente selon eux moins de 1%.

D'expérience chez des clients c'est des mois de boulot avec un SI à moitié en vrac.

J'ai le cas près de chez moi du CHSF (hôpital de Corbeil Essonnes - Evry) qui a mis des mois pour s'en remettre, avec des conséquences pour le personnel dans leur travail et pour les patients.

Leon, cette spécialiste a le même avis que toi : il faut sortir des monopoles

Yakafokon ...
Alors que les entreprises cherchent en permanence à réduire le coût de leur IT en recourant massivement à l'offshore (pour le secteur de l'IT que je connais bien), tout ça me paraît juste de belles paroles d'une personne qui ne connaît pas les réalités des directions des systèmes d'information.

La différence est l'ampleur de l'attaque, contrairement à un ransomware qui cible une organisation.
Microsoft estime que 8.5 millions de machines ont été affectées dans le monde ce qui représente selon eux moins de 1%.

Oui, ce bug a fait énormément plus de dégat que n'importe quelle cyber-attaque.
Je pense que beaucoup de hackers (ou groupe de hacker) rêveraient d'avoir dans ses mains un outil aussi puissant...

Une question que je me pose très fréquemment : si un hacker (groupe de hacker) infiltre le système de mise à jour de Windows, ou de iOS, ou d'un constructeur automobile (Tesla ou autre), et réussit à pousser des mise à jour verolées vers des millions/milliards d'utilisateurs, il se passe quoi? C'est crédible comme attaque?
Un peu comme le hack de KA-Sat au début de la guerre en Ukraine, qui consistait à pousser des firmware volontairement vérolés vers les modems satellites, après s'être infiltré dans le système informatique de mise à jour de ViaSat, qui gérait ces modems.
Si ce genre d'attaque arrivait avec Windows ou iOS, ça serait une merde énorme.

Ca pourrait être un scénario pour Mr.Robot.

---

Pour les amateurs, Fireship a sorti sa vidéo sur l'incident:
[...]

il résume bien a la fin (a partir de 3 minutes) le problème de fond: la pression sur les grandes entreprises de sécuriser leur infra et le fait qu'elles soutraitent cela a des sociétés/solutions comme Cloudstrick qu'on peut blâmer s'il y'a un incident.

autrement dit, comportement mouton du DSI/RSSI grand compte: "bah j'ai choisi la solution que tout le monde utilise, j'ai payé $millions/an , j'ai tout les organismes certificateurs qui ont validé ma sécurité donc j'ai fait mon job , le fautif ce n'est pas moi."

Visiblement, ça va même plus loin que ça aux USA; ce genre de protection est une quasi obligation réglementaire, pour une catégorie d'entreprises sensibles.

Leon.

Lorsqu'on utilise un système il faut respecter les règles : internet, le cloud c'est un système

Là c'est juste une erreur (humaine), pas une attaque

Par exemple en Angleterre, pour le train, ils ont décidé à une époque que chacun sur son tronçon pouvait faire ce qu'il voulait ...
... au bout de quelques accidents aux interconnexions ils ont dû arrêter et remettre les mêmes règles pour tous (comme au bon vieux  temps du monopole honni )

Maintenant les américains qui gèrent "tout" ont dit à chaque fois aux européens qu'ils pouvaient gérer la "partie Europe" mais c'est très cher et cela demande beaucoup de compétences informatiques ...alors "on" en parle

PS : parfois les américains mettent en action des experts 24h/24 (bon une partie des intervenants ["English native language" ] est en Israël, l'autre en Inde ...)  sur un sujet informatique technique : c'est impressionnant, leur nombre est tellement supérieur à tous les experts réunis du m^me domaine concerné en Europe
[Je pense par exemple à l'analyse des images GPS, il n'y a pas si longtemps ...]