La panne CrowdStrike
Une seule configuration de capteur défectueuse livrée par un seul éditeur d’endpoint a affiché un écran bleu sur 8,5 millions de machines Windows un vendredi matin de juillet.
La panne CrowdStrike du 19 juillet 2024 n’est pas, à proprement parler, une cyberattaque. C’est l’inverse — une mise à jour de routine d’un grand éditeur de cybersécurité qui a planté toutes les machines qu’elle a touchées. À la fin de la journée, 8,5 millions d’hôtes Windows faisant tourner CrowdStrike Falcon étaient en écran bleu, coincés dans une boucle de boot impossible à récupérer.
Ce qu’il s’est passé
CrowdStrike pousse ce qu’il appelle une mise à jour Rapid Response Content — un petit fichier décrivant de nouvelles logiques de détection pour le capteur Falcon. Le fichier est mal formé d’une manière qui déclenche une lecture hors bornes non gérée dans le pilote noyau du capteur. Parce que ce pilote est chargé au démarrage, chaque machine qui ingère la mauvaise mise à jour plante à son tout prochain redémarrage.
L’ampleur est extraordinaire. Delta, United et American Airlines clouent des vols au sol. Les services du London Stock Exchange Group se détériorent. Les cabinets de généralistes au Royaume-Uni perdent l’accès aux dossiers patients. Des hôpitaux à travers les États-Unis se mettent en délestage. Les terminaux de paiement australiens s’éteignent. La récupération exige souvent un accès physique à chaque machine pour supprimer un seul fichier en mode sans échec — un travail qui, multiplié sur des millions d’hôtes, prend des semaines à certaines organisations.
Ce que la chronique retient
L’incident CrowdStrike est la démonstration la plus nette à ce jour de la concentration de la pile système-d’exploitation-et-défenseur. Un agent signé, fait de confiance, résidant en kernel, d’un seul éditeur, se trouve au cœur d’une fraction substantielle de l’informatique d’entreprise. Quand il dérape, le monde dérape. La surface d’attaque et la surface de défense sont, dans bien des cas, devenues la même surface.