L’ampleur de la panne informatique mondiale causée par une mise à jour logicielle défectueuse a laissé de nombreuses personnes se demander comment une mise à jour du logiciel de sécurité d’une entreprise pouvait avoir un impact aussi massif.
Ironiquement, l’effet de la faille CrowdStrike a été presque identique à ce qu’elle est censée empêcher…
L’ampleur de l’impact est due en partie au simple fait que CrowdStrike est utilisé par presque toutes les grandes entreprises du monde.
United, Delta et American Airlines font partie des compagnies aériennes qui ont été contraintes d’interrompre leurs vols. La chaîne Sky News a été coupée d’antenne pendant plusieurs heures. De nombreux commerçants n’ont pas pu accepter les paiements. En bref, c’est le chaos.
Mais l’autre moitié du problème réside dans la nature du logiciel, comme l’explique Bloomberg.
Les logiciels antivirus traditionnels étaient utiles aux débuts de l’informatique et d’Internet pour leur capacité à détecter les signes de programmes malveillants connus, mais ils sont tombés en désuétude à mesure que les attaques sont devenues plus sophistiquées. Aujourd’hui, les produits connus sous le nom de logiciels de « détection et de réponse aux points d’extrémité » développés par CrowdStrike font bien plus, en analysant en permanence les machines à la recherche de signes d’activités suspectes et en automatisant une réponse.
Mais pour cela, ces programmes doivent avoir accès au cœur même des systèmes d’exploitation des ordinateurs pour y détecter d’éventuels défauts de sécurité. Cet accès leur donne la possibilité de perturber les systèmes qu’ils tentent de protéger.
L’une des plus grandes menaces qui pèsent sur l’infrastructure informatique d’aujourd’hui est celle des attaques destructrices par ransomware, où un attaquant met hors service les systèmes critiques d’une entreprise et ne les restaure qu’après avoir effectué un paiement. C’est l’une des principales menaces que CrowdStrike vise à prévenir.
Mais parce que le logiciel dispose d’un accès si puissant aux machines, une faille dans le logiciel a autant de pouvoir destructeur potentiel que le type d’attaques qu’il est censé bloquer.
Dans ce cas au moins, il existe une solution de contournement et un correctif sera rapidement mis en place. Mais la mise en œuvre effective de ce correctif va prendre un temps considérable. En effet, il n’existe peut-être aucun moyen d’automatiser le déploiement : les machines concernées étant hors service, il est impossible de les joindre à distance. Il semblerait que le personnel informatique devra se rendre physiquement sur chacun des ordinateurs mis hors service.
Même la solution de contournement temporaire consiste à démarrer les machines en mode sans échec, et beaucoup d’entre elles auront des paramètres d’entreprise qui rendront cela impossible – encore une fois, en raison des risques de sécurité liés au contournement des protections destinées à s’exécuter lors du démarrage.
Les Mac ne sont pas concernés car Apple propose son propre framework Endpoint Security, il n’est donc pas nécessaire d’utiliser CrowdStrike.
C’est pourquoi Apple a obligé tout le monde à adopter son framework Endpoint Security.
— Bradley Chambers (@bradleychambers) 19 juillet 2024
Photo d’Ivan Vranić sur Unsplash
Envie de vous détendre un peu ? Voici un reportage très intéressant sur l’intelligence artificielle :
