Vendredi dernier, le monde a été frappé par l'un des blackouts informatiques les plus importants de l'histoire. Des milliers de machines Windows ont échoué à démarrer ou redémarrer, perturbant banques, compagnies aériennes, médias, hôpitaux et grandes entreprises à travers le globe. Voici un aperçu de ce qui s'est passé et des implications pour notre société ultradépendante de la technologie.
Lorsqu’un événement aussi massif que celui du vendredi 19 juillet se produit, des théories folles se propagent rapidement. Était-ce une cyberattaque, un bug de Windows, ou une intelligence artificielle préparant un coup d’État? Internet, avec son imagination débordante, s’est emballé. Les réseaux sociaux étaient en effervescence avec des explications allant du plausible à l’absurde. Comme toujours, le monde en ligne n’a pas manqué de créativité.
Pour autant que nous puissions dire, ce n’était ni une cyberattaque ni un acte malveillant. Microsoft n’est pas en cause et l’humanité est encore à l’abri d’une prise de contrôle par une IA. Le coupable était beaucoup plus simple et moins sinistre: une mise à jour défectueuse d’un logiciel de la société CrowdStrike. Cette mise à jour a provoqué l’apparition de l’infâme écran bleu de la mort (Blue Screen of Death-BSoD) sur des milliers d’ordinateurs utilisant le logiciel Falcon.
Blue Screen of Death
Le BSoD, familier à tout utilisateur de Windows, survient lorsqu’un problème sérieux force le système à s’arrêter ou à redémarrer de manière inattendue. Les premières alertes ont été déclenchées en Australie et ont rapidement pris de l’ampleur à mesure que les entreprises européennes commençaient leur journée. À partir de là, ce fut le chaos mondial, avec des ordinateurs crashant en série.
Mais qui est donc CrowdStrike et pourquoi cette société est-elle au cœur de tant d’ordinateurs à travers de si diverses industries à travers le monde?
CrowdStrike, une entreprise de cybersécurité texane fondée en 2011, développe des logiciels pour détecter et bloquer les cyberattaques. Selon leur site, CrowdStrike compte environ 30.000 clients mondiaux, dont plus de 500 entreprises du Fortune 1000. Jeudi soir, CrowdStrike était valorisée à plus de 83 milliards de dollars, malgré une chute de 11% de ses actions vendredi. Cette clientèle large et variée explique pourquoi la mise à jour défectueuse a causé un chaos si important et généralisé.
CrowdStrike, spécialisée en «sécurité des terminaux», utilise la technologie cloud pour protéger les ordinateurs connectés à Internet. Au cœur du fiasco de la semaine dernière se trouvait leur plateforme phare, Falcon: une solution cloud offrant antivirus, protection, détection des menaces et surveillance en temps réel des systèmes et réseaux des entreprises.
Pour que des logiciels comme Falcon fonctionnent efficacement, ils nécessitent un accès complet au système d’exploitation. C’est comme avoir besoin d’un accès à chaque recoin de votre maison pour la surveiller contre les intrus, les incendies ou d’autres problèmes. Ce niveau d’accès assure une protection complète, mais crée aussi une vulnérabilité potentielle en cas de problème.
Dans le cas de votre maison, ce serait comme un agent de sécurité qui s’endort alors que des voleurs sont à la porte. Pour CrowdStrike, il s’agissait d’une mise à jour défectueuse qui a installé un logiciel problématique dans le cœur des systèmes d’exploitation Windows utilisant Falcon, provoquant des boucles de démarrage, où le système redémarre continuellement.
Il est indiscutable que les fournisseurs de logiciels doivent fréquemment mettre à jour leurs produits. Les logiciels doivent être maintenus à jour avec des correctifs de sécurité pour traiter les vulnérabilités découvertes en temps réel et de nouvelles fonctionnalités doivent être ajoutées pour rester compétitifs et s’adapter à un paysage informatique en constante évolution.
Quiconque possède un smartphone, une tablette ou un ordinateur connaît la danse interminable des mises à jour. En actualisant votre app store, vous trouveriez probablement des applications nécessitant des mises à jour. C’est le moment de rappeler l’importance d’appliquer ces mises à jour, même si le problème de CrowdStrike reste une anomalie rare. Les mises à jour sont essentielles, surtout pour la sécurité. Ne soyez pas découragés par cet incident: appliquez toujours les mises à jour – elles sont la meilleure défense pour vos appareils et pour vous.
Avant de déployer une mise à jour, une entreprise doit vérifier le logiciel pour détecter les bugs, tester la mise à jour sur différentes versions du système d’exploitation et la déployer progressivement à de petits groupes d’utilisateurs pour détecter d’éventuels problèmes. CrowdStrike a manifestement échoué dans ce processus, entraînant des perturbations significatives. Des questions restent sans réponse quant à savoir si cette défaillance était un accident ou un acte de sabotage intentionnel.
Bien que CrowdStrike ait publié un correctif, remettre les systèmes en ligne ne sera pas simple. Les experts estiment que cela pourrait prendre des jours, voire des semaines, car les administrateurs informatiques pourraient avoir besoin d’un accès physique aux appareils. Pour les experts, la solution consiste à démarrer les machines affectées en mode sans échec, à supprimer un fichier spécifique dans le répertoire CrowdStrike, puis à redémarrer. La vitesse de récupération dépendra de la taille de l’entreprise et des ressources disponibles.
Des questions subsistent quant à la manière dont cette mise à jour défectueuse a pu passer. Dans son communiqué du 24 juillet, CrowdStrike a évoqué un problème dans son système de validation, mais des théories de sabotage persistent, évoquant des cyberattaques. Bien que la vérité ne soit peut-être jamais connue, les entreprises doivent rester vigilantes face aux acteurs malveillants exploitant ce chaos. Déjà, des rapports mentionnent des campagnes d’emails frauduleux où des cybercriminels se font passer pour CrowdStrike, prétendant envoyer des correctifs, mais distribuant en réalité des chevaux de Troie pour infecter les systèmes avec des ransomwares ou des outils d’accès à distance.
Email de phishing envoyé par des acteurs malveillants
Malgré le relatif faible pourcentage de systèmes affectés et la réponse rapide de CrowdStrike, l’évaluation complète des dommages prendra du temps. L’impact a été considérable: des crashs d’ordinateurs ont entraîné des milliers de vols retardés ou annulés, paralysé des hôpitaux, des médias et perturbé des chemins de fer, des entreprises financières et même des services d’urgence. La société texane a annoncé, mercredi, avoir amélioré ses processus de test et renforcé les mécanismes de gestion des erreurs. De plus, CrowdStrike prévoit de mettre en œuvre une stratégie de déploiement échelonné.
Ironiquement, de nombreux pays moins avancés technologiquement ou du tiers-monde ont été épargnés par cet incident. Leur manque de préoccupations en matière de cybersécurité leur a été bénéfique cette fois-ci. La simple équation «pas de cybersécurité = pas de logiciel de cybersécurité» les a protégés du chaos. Cependant, il est crucial de rappeler que les experts soulignent constamment l’importance de prendre la cybersécurité au sérieux. Bien que cet incident soit dû à une défaillance du fournisseur et non à une cyberattaque, la cybersécurité est essentielle et deviendra de plus en plus critique avec le temps.
Enfin, cet incident devrait inciter à une réflexion sur la dépendance croissante du monde vis-à-vis d’un nombre de plus en plus restreint de fournisseurs de logiciels, rendant ainsi un scénario de point de défaillance unique plus périlleux. Peut-être une idée à explorer pour mon prochain article.
Commentaires