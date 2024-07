Ce vendredi 19 juillet au matin, de nombreuses organisations à travers le monde se réveillaient devant des écrans bleus : les fameux blue screen of death (BSOD) de Windows.

Parmi les multiples répercutions à travers le monde, ce sont près de 7000 vols qui ont été annulés pour ce seul vendredi. Et si de nombreuses compagnies aériennes affectées ont rapidement réussi à ramener leurs systèmes à des conditions opérationnelles normales, le rattrapage logistique a continué de se faire sentir durant le week-end, avec par exemple plus de 1200 vols annulés outre-Atlantique ce dimanche.

Rapidement, l’origine en était identifiée : l’agent EDR Falcon de CrowdStrike, ou plutôt une mise à jour le concernant. Au total, selon l’éditeur, quelques 8,5 millions de machines Windows à travers le monde ont été affectées.

La mise à jour en question était « conçue pour viser des tubes nommés malicieux nouvellement observés et utilisés par des frameworks courants de commande et de contrôle (C2) dans des cyberattaques ». Accessoirement, Fortra, l’éditeur de Cobalt Strike, venait justement de documenter un tel cas. Manque de chance, « la mise à jour de configuration a provoqué une erreur logique résultant en un plantage du système d’exploitation ».

Des précédents

Un tel épisode n’est hélas pas totalement inédit, du moins dans ses origines. En juin 2022, la mise à jour des modèles comportementaux pour les agents Apex One et Worry-Free Business Security de Trend Micro avaient provoqué des défaillances majeures sur les postes de travail Windows 7 32 bits.

Et ce n’est exclusif à Windows : plus récemment, un incident avait touché les sondes Falcon pour Linux, sur les noyaux 5.14.0-410 et plus.

Mais l’un des incidents les plus emblématiques est peut-être celui ayant impliqué McAfee, le 21 avril 2010 : des dizaines de milliers de PC avaient été paralysés, dans le monde entier, majoritairement fonctionnant sous Windows XP SP3.

Ironie – vraisemblablement douloureuse – de l’histoire, George Kurtz, fondateur et CEO de CrowdStrike, était alors directeur technique monde et vice-président exécutif de McAfee. Intel devait racheter l’éditeur quelques mois plus tard.

Cela soulève bien sûr la question de la validation des mises à jour avant leur distribution, mais aussi la validation de leur validité et de leur innocuité par l’agent lui-même avant leur ingestion. Un peu comme les contrôles visant à éviter des actes malveillants comme les injections SQL, par exemple.