CrowdStrike,
retour sur le Blue Screen Of Death du 19 juillet 2024

Un peu de contexte


Le 19 juillet 2024, le monde a été secoué par une panne massive affectant les systèmes Microsoft Windows sur lesquels les clients avaient installé l’EDR (Endpoint Detection and Response) CrowdStrike Falcon. À 04:09 UTC, une mise à jour de cet agent a semé la zizanie, provoquant des « écrans bleus de la mort » (BSOD) sur pas moins de 8,5 millions de machines. En un clin d’oeil, les avions sont cloués au sol, les hôpitaux sont touchés, les médias sont confrontés à des problèmes de télécommunication, les opérateurs sont freinés, la Bourse est perturbée, sans parler de la moitié des entreprises du classement Fortune 500 qui utilisent ces produits de sécurité. De Canberra à Seattle, c’est l’hécatombe numérique. Des centaines d’organisations, dont certaines sont vitales, ont été ralenties, voire stoppées net. Si certains la qualifient de « plus grande panne informatique de l’Histoire », elle a indéniablement entrainé le plus grand retour au papier-crayon des dernières années.

Ne jamais sous-estimer les petits fichiers…


À l’origine de cette débâcle, une mise à jour défectueuse déployée par CrowdStrike. Ce petit fichier de 40 ko, apparemment banal, contenait une erreur logique, des plus cruciales. Falcon (EDR) a tenté d’accéder à une adresse mémoire, toutefois devenue invalide, entrainant son plantage immédiat. Comme ce logiciel opère au niveau du noyau, son dysfonctionnement a mis à genoux l’ensemble du système d’exploitation. Pour ne pas améliorer les choses, Falcon étant configuré pour se relancer automatiquement, cela a entraîné des crashs en boucle et a rendu les réparations encore plus ardues.

Cela dit, ironiquement, c’est en toute sécurité que les ordinateurs ont buggé !

Un incident technique aux mêmes impacts qu’une cyberattaque…


Bien que cette panne soit due à une erreur technique et non à une attaque malveillante, ses effets ont directement rappelé ceux d’attaques ciblant la chaîne d’approvisionnement (ou supply chain) à l’instar des précédents SolarWinds, MoveIT ou 3CX.

La paralysie des systèmes et ce à l’échelle mondiale a souligné une fois de plus la vulnérabilité des infrastructures critiques face aux erreurs humaines ou techniques. L’arrêt était si brutal et complet que beaucoup ont immédiatement pensé à une cyberattaque d’envergure, tant les effets semblaient ceux d’un acte malveillant coordonnés. Cet événement a également mis en lumière les impacts sur la chaîne de production et sur l’activité des entreprises. C’est un rappel puissant que les décisions que nous prenons aujourd’hui en matière d’équipement et de solution de sécurité numérique ont des répercussions bien au-delà de nos propres réseaux.

Mais alors qu’est-ce qu’un EDR ?


CrowdStrike Falcon est un exemple typique de ce que l’on appelle un Endpoint Detection and Response (EDR). Ces solutions de sécurité surveillent en permanence les terminaux, équipés d’agent, pour détecter toute activité suspecte. Grâce à ces derniers, installés sur chaque terminal compatible, l’EDR collecte une multitude de données allant des processus et applications en cours d’exécution, au chargement des pilotes en passant par l’utilisation de la mémoire et du disque, la base de registre et jusqu’à la connexion réseau. Ces systèmes réagissent ainsi automatiquement pour bloquer les menaces et sécuriser les données critiques présentes sur le terminal en question, muni d’un EDR.

Falcon, comme ses pairs, bénéficie d’un niveau de privilèges élevés, permettant une intégration profonde avec le système d’exploitation. Cependant, parce que Falcon opère justement au niveau du noyau du système d’exploitation, son dysfonctionnement a paralysé des millions de systèmes. L’intégration étroite dans le système d’exploitation et les privilèges élevés de l’agent, habituellement des atouts, ont dans le cas présent amplifié les conséquences de la mise à jour défectueuse, rendant les machines inopérantes et les réparations laborieuses. Bien que Crowdstrike et Microsoft aient respectueusement publié des directives de remédiation et un script pour automatiser la réparation, ces opérations peuvent s’avérer particulièrement chronophages pour les entreprises : pour tous les ordinateurs touchés, c’est une intervention manuelle qui s’impose.

La technologie NDR : une alternative complémentaire sans agent


Le NDR (Network Detection and Response) est une technologie, qui, quant à elle, surveille le trafic réseau dans sa globalité pour détecter les menaces et apporter de la visibilité étendue aux équipes SOC. A l’instar des EDR, il détecte les comportements suspects dès les premières étapes de la killchain, que ce soit dans les infrastructures physiques ou virtuelles.

 

Au-delà des atouts classiques du NDR en termes de visibilité immédiate et complète sur l’ensemble des assets présents sur le réseau, Gatewatcher NDR offre une solution de sécurité alternative passive et sans agent qui peut significativement améliorer la résilience du système. En effet, le NDR s’intègre de manière transparente et flexible à l’écosystème de sécurité existant de l’entreprise, y compris avec les solutions standardisées tels que les EDR, XDR, SIEM et SOAR. Cette intégration fluide maximise l’efficacité des équipes de centre opérationnel de sécurité (SOC) sans perturber les activités courantes. En tant que solution passive, le NDR ne nécessite pas d’agent sur les terminaux et n’interrompt pas l’activité réseau. En cas de besoin, l’interception des données se fait via des TAP (Test Access Points) sur une copie intégrale et fidèle du réseau, garantissant que les opérations restent ininterrompues.

 

La panne de CrowdStrike Falcon a révélé la vulnérabilité de nos infrastructures critiques. Elle a montré qu’un simple bug peut interrompre brusquement les activités d’une organisation, entraînant des répercussions graves, voire vitales, notamment pour les établissements hospitaliers. Cet incident met en lumière non seulement notre dépendance croissante à la technologie, mais aussi l’interconnectivité complexe qui relie différents systèmes et services. Une défaillance dans un composant clé peut ainsi avoir des effets en chaîne, paralysant l’ensemble des services applicatifs de l’infrastructure.

 

En outre, cet incident montre l’importance d’une sécurité multi-couches. Les solutions ne doivent pas se contenter de protéger l’organisation, mais également de s’adapter spécifiquement à son secteur, à ses besoins et à ses stratégies. Elles doivent être conçues pour garantir la continuité des activités, que ce soit en cas de panne ou de cyberattaque. L’EDR, avec ses agents, offre une intervention ciblée, bien que limitée, sur chaque terminal. Le NDR, offre une vue d’ensemble, détectant et analysant les menaces à l’échelle du réseau. Ensemble, ils forment une alliance redoutable : l’EDR agit comme un agent de sécurité sur chaque point clé, tandis que le NDR joue le rôle de caméra de surveillance, garantissant qu’aucune menace ne passe inaperçue. C’est la combinaison parfaite pour protéger votre infrastructure informatique.