Crowdstrike : comment une mise à jour a provoqué l’une des plus grosses pannes informatiques de l’histoire

Ce vendredi 19 juillet 2024, une panne mondiale a touché des milliers d’entreprises à travers le monde. Médias, banques, commerces, compagnies aériennes et ferroviaires ont vu leurs infrastructures techniques inopérantes. Le responsable ? Crowdstrike, une société de cybersécurité utilisée par des milliers de clients dans le monde.

Crowdstrike, la société de cybersécurité numéro 1

Crowdstrike est une entreprise de cybersécurité spécialisée dans l’EDR (endpoint detection and response) qui détecte les menaces et intrusions les plus sophistiquées pour 29 000 clients à travers le monde. Elle est utilisée par des spécialistes IT pour sécuriser des espaces cloud, protéger les données des employés et des différents serveurs locaux ou distants.

Comme le précise le site BFMTV, l’offre star de Crowdstrike est son outil Falcon, qui réunit des outils d’EDR, d’anti-virus, de pare-feu mais aussi de vérifications de périphériques mobiles branchés en USB. L’outil surveille notamment les menaces en temps réel sur les différents points de terminaison permettant aux administrateurs techniques de détecter les menaces le plus tôt possible.

Si la panne informatique généralisée de ce vendredi est si importante, c’est bien parce que les services de Crowdstrike sont utilisés par d’importantes structures comme des banques, compagnies aériennes et médias pour sécuriser leurs données. Crowdstrike permet notamment aux entreprises d’automatiser les mises à jour de sécurité pour leurs parcs informatiques.

Une mise à jour de pilote et le monde s’effondre

L’origine de la panne a été détectée très rapidement par les experts, à savoir une mise à jour défectueuse déployée par Crowdstrike auprès de ses nombreux clients. Mais comment une simple mise à jour a pu provoquer un tel raz de marée d’écrans bleus et d’infrastructures hors ligne ?

Selon l’expert en cybersécurité Kevin Beaumont, il s’agirait « très probablement du plus gros incident “cyber” jamais survenu dans le monde en termes d’impact ». La faute à un pilote propriétaire de chez Crowdstrike qui n’aurait pas été formaté convenablement pour Windows, provoquant un crash du système.

Si les pilotes ne bénéficient pas systématiquement d’une signature WHQL (Windows Hardware Quality Labs), assurant leur compatibilité avec l’OS de Microsoft, ils sont généralement testés exhaustivement par les entreprises les fournissant.

Même si Crowdstrike, et Microsoft, ont appliqué des mesures d’atténuation, chaque entreprise devra appliquer manuellement son correctif. Les clients touchés par l’écran bleu doivent ainsi démarrer Windows en mode sans échec, naviguer dans un dossier (C:\Windows\System32\drivers\CrowdStrike) et supprimer un fichier (C-00000291*.sys) pour espérer démarrer leur machine normalement. Aucune procédure de correction automatique n’est possible dans ce cas de figure, rendant la remise en état technique infiniment plus complexe.

Il faut savoir que les clients ET les serveurs sont touchés, rendant inutilisables des parcs informatiques de plusieurs milliers de machines pour certaines sociétés. Certaines entreprises ont vu les 3/4 de leur parc informatique hors ligne, comme cet utilisateur Reddit en Malaisie qui révèle que son entreprise a ordonné une fermeture globale à cause de l’incident. L’expression « chômage technique » prend alors son tout sens.