Elena Abrazhevich - Adobe

EDR : une mise à jour défectueuse de CrowdStrike Falcon provoque des pannes massives

Suite à une mise à jour défectueuse de l’EDR Falcon de CrowdStrike, de nombreux utilisateurs de Windows sont bloqués. Microsoft 365 est également touché. Le déploiement des correctifs a commencé.

C’est peu avant 2h30, ce vendredi 19 juillet 2024 au matin, que tombe la première dépêche Reuters consacrée au sujet : de multiples pannes informatiques massives touchent médias, détaillants, banques, compagnies aériennes et administrations publiques en Nouvelle-Zélande et en Australie. 

Il est alors plus de midi, heure locale. Mais déjà, une cause est pointée : la sonde Falcon de l’EDR de CrowdStike.

À mesure que les heures passent, les incidents se multiplient, en Israël, par exemple où le ministre de la Santé fait état d’impacts sur les hôpitaux et les services de santé. Outre-Atlantique, des services d’urgence – le célèbre 911 – sont affectés.

La liste des organisations touchées est impressionnante : Ryanair, l’aéroport de Berlin ou ceux de Zurich, Marseille, Marignane et Lille-Lesquin, Wizz Air, Transavia, l’équipe de Formule 1 de Mercedes, le comité d’organisation des Jeux Olympiques, Air France, Euronext, Kenya Airways, Disney Land Paris, Orange, American Airlines, KLM, Bouygues Telecom, Sky News, ou encore le Port de Calais et les chemins de fer de Malaisie.

Une liste aussi longue a une explication : la position de CrowdStrike sur le marché de l’EDR, avec 29 000 clients revendiqués, à travers le monde. 

Que s’est-il passé ?

Une mise à jour défectueuse d’un pilote associé à la sonde Falcon a été distribuée par CrowdStrike. Elle provoquait des plantages complets – des Blue Screen of Death ou BSOD – sur les machines Windows sur lesquelles elle était installée.

Microsoft a également été affecté. L’éditeur a identifié la cause principale de la panne comme des changements de configuration apportés à une partie de ses traitements de backend Azure, ayant provoqué des interruptions entre les ressources de stockage et de calcul, entraînant des échecs de connectivité qui ont affecté les services Microsoft 365 dépendants de ces connexions.

L’épisode ne manque pas d’une certaine ironie, que d’aucuns n’ont pas manqué de relever : Microsoft est également un acteur de la sécurité des endpoints. Il apparaît dès lors possible qu’il utilise également CrowdStrike Falcon, en complément au moins, sur certains systèmes critiques de son infrastructure.

CrowdStrike a commencé à faire état de notifications de survenues de BSOD peu avant 22h30, heure du Pacifique, jeudi 18 juillet. Une heure plus tard, l’éditeur fournissait un remède manuel à la situation. 

Comment remédier à l’incident ?

Las, une telle intervention manuelle est difficilement applicable à grande échelle : pour un petit parc, c’est faisable, mais pas pour un grand. Cela rappelle les outils de déchiffrement artisanaux fournis par les cybercriminels après paiement de rançon.

L’analyste d’EclecticIQ Arda Büyükkaya a rapidement proposé de quoi automatiser la mise en œuvre du remède proposé initialement par CrowdStrike, via GPO. 

Mais quelques heures plus tard, George Kurtz, PDG de CrowdStrike, indiquait, sur X, que « le problème a été identifié, isolé et un correctif a été déployé ».

Certains relèvent ainsi que redémarrer les machines affectées, jusqu’à ce que les mécanismes de mise à jour de la sonde Falcon remplissent leur office, suffit à ramener les systèmes concernés en état de fonctionnement. Même si, parfois, plusieurs redémarrages sont nécessaires à cela. 

Laurent Besset, directeur cyberdéfense d’I-Tracing, confirme. Ses équipes ont reçu les premières alertes tôt ce vendredi matin et l’incident s’avère globalement « plutôt bien digéré ».

Ce qui ne signifie pas que des effets de l’incident ne perdureront pas quelque peu dans la durée : pour les organisations affectées, notamment celles gérant d’importants flux logistiques physiques, le retour à des conditions opérationnelles nominales pourra prendre quelques jours.

Pour approfondir sur Protection du terminal et EDR

Close