Le 22 juillet 2024, les employés de CrowdStrike, une entreprise de premier plan dans le domaine de la sécurité informatique, ont été confrontés à une situation extrêmement urgente. Le crash global des systèmes Windows a été provoqué par un dysfonctionnement de la principale solution, le Falcon Sensor, lors de sa mise à jour.
Problème détecté dans la mise à jour du contenu
D’après le PDG George Kurtz, le souci était lié à « une mise à jour de contenu pour les systèmes Windows ». En revanche, les systèmes Mac et Linux n’ont pas été affectés. Il a précisé que ce n’était ni un problème de sécurité ni une attaque informatique, et a souligné que les équipes techniques étaient en train de travailler sur une solution.
Les premiers retours signalent « des écrans bleus de la mort », un problème courant du système d’exploitation de Microsoft. CrowdStrike a rapidement identifié le problème et a mis en œuvre une solution d’urgence pour le produit Falcon Sensor.
Impacts dans les principaux secteurs
Les problèmes de gestion aéroportuaire ont provoqué des perturbations majeures dans le secteur des transports aériens, entraînant des annulations et retards massifs de vols commerciaux. Les entreprises ont dû affronter des conséquences financières importantes.
Dans le domaine bancaire et financier, la non-disponibilité des systèmes bancaires principaux a entraîné l’arrêt des opérations critiques, bloquant l’accès des individus et des entreprises à leurs fonds. On estime des pertes financières importantes.
Concernant les services publics, la panne généralisée des systèmes informatiques a entravé les services administratifs et compromis la gestion des infrastructures essentielles.
Dans le secteur des télécommunications, les coupures de réseau ont causé des perturbations majeures dans le télétravail et les services à distance en empêchant les communications vocales et numériques.
Directives pour les Systèmes Impactés
CrowdStrike a donné des directives spécifiques pour les systèmes déjà affectés:
- Lancer Windows en mode sans échec (safe mode)
- Ouvrir le dossier C:\Windows\System32\drivers\CrowdStrike
- Effacer le fichier nommé « C-00000291*.sys »
- Redémarrez l’ordinateur ou le serveur normalement.
Grandes perturbations dans les environnements cloud
Cet événement a aussi entraîné des conséquences importantes sur les infrastructures cloud. Google Cloud Compute Engine a notamment été affecté par le crash et le redémarrage inattendu de machines virtuelles Windows utilisant le pilote CrowdStrike csagent.sys. Microsoft Azure et Amazon Web Services ont également dû intervenir pour gérer les conséquences.
La fragilité des infrastructures informatiques reposant sur un unique fournisseur
Les spécialistes en sécurité ont mis en avant que cette situation mettait en évidence la fragilité des infrastructures IT qui dépendent d’un seul fournisseur de sécurité ou d’un unique système d’exploitation. Ils ont suggéré d’utiliser une variété de technologies pour améliorer la résilience dans de telles situations.
Possibilité de Cyberattaques Opportunistes
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a mis en garde contre les tentatives d’individus malveillants exploitant cette perturbation mondiale pour lancer des attaques de phishing.
Identification du Problème et Investigation en Cours
CrowdStrike a admis le problème, exprimé ses regrets pour les perturbations occasionnées et déclaré que son équipe enquêtait activement pour identifier la cause fondamentale. Les répercussions économiques se sont fait sentir immédiatement, avec une baisse de 15% du prix des actions de l’entreprise avant l’ouverture des marchés.
Cet incident majeur soulève de nombreuses questions sur la fiabilité et la sécurité des solutions de cybersécurité les plus utilisées. Cela pourrait potentiellement changer la façon dont les entreprises, les organismes gouvernementaux et les fournisseurs de cloud considèrent la résilience de leurs infrastructures critiques.