Une panne informatique majeure paralyse les entreprises du monde entier

Une panne informatique majeure a touché des entreprises du monde entier, clouant au sol des avions et affectant les banques et le secteur de la santé. George Kurtz, PDG de la société de sécurité informatique Crowdstrike, a déclaré avoir attribué le problème à un « défaut trouvé dans une seule mise à jour de contenu » pour le logiciel de sécurité qu’il fournit pour le système d’exploitation Microsoft Windows sur les ordinateurs.

Microsoft a déclaré que le problème était dû à une « mise à jour d’une plateforme logicielle tierce » et que la « cause sous-jacente » avait désormais été résolue.

Premièrement, Microsoft semble avoir eu un problème avec sa plateforme de cloud computing Azure. Ce n’est pas très clair, mais il y a eu une certaine dégradation de ce service à partir du soir du 18 juillet. Cependant, il n’y a pas eu de panne totale.

Mais le plus gros problème semble être une mise à jour qui a été effectuée dans la soirée du 18 juillet pour le produit Falcon de Crowdstrike, un outil de détection des menaces informatiques. Falcon fonctionne grâce à un logiciel « agent » profondément intégré au système d’exploitation de chaque PC sous Windows, qui surveille cet ordinateur et « appelle chez lui » en cas de problème. Il reçoit également des mises à jour sur les éléments à surveiller en cas de menace. Il est très utilisé par les grandes organisations du monde entier, qui doivent surveiller un grand nombre de PC.

Je suis sûr que Crowdstrike enquête de toute urgence sur ce qui s’est passé. Ce logiciel est conçu pour protéger les gens contre les attaques de ransomware et autres. D’après les dernières informations que j’ai vues, il semble que le fichier système de mise à jour ait été publié dans un format incorrect.

Le système d’exploitation Windows reçoit cette mise à jour et ne sait pas comment y faire face, il plante donc. C’est pourquoi les gens ont eu l’« écran bleu de la mort » [un écran d’ordinateur avec un message d’erreur indiquant un plantage du système].

Le problème majeur est que vous ne pouvez pas résoudre ce problème à distance. Vous devez accéder à chaque machine séparément et la mettre en mode « sécuritaire » ou « récupération » pour isoler le logiciel. À partir de là, vous devriez pouvoir redémarrer la machine et la remettre en marche. Mais si vous êtes une grande entreprise mondiale avec un vaste parc informatique distribué, cela va prendre beaucoup de temps.

Pourquoi cette panne a-t-elle eu des conséquences aussi vastes ?

Crowdstrike a rencontré un grand succès : son logiciel de sécurité est utilisé par des centaines de milliers de clients importants dans le monde entier. Ainsi, des compagnies aériennes, des aéroports, des chemins de fer, des hôpitaux, des bourses… tout cela est en train de disparaître.

Tout a commencé en Australie, vendredi dernier, lorsque les autorités ont commencé à travailler. La mise à jour a été clairement diffusée hier soir, heure du Royaume-Uni, et elle s’est propagée dans le monde entier.

Les attaques de ransomware délibérées visent généralement une ou deux cibles à la fois. Mais dans ce cas, cela est arrivé à des milliers d’organisations à la fois. Nous n’avions jamais connu une situation pareille auparavant.

Il reste à déterminer comment Crowdstrike va résoudre le problème. Comme je l’ai expliqué, il est évident que les entreprises peuvent contourner le problème. Mais pour certaines très grandes organisations, cela pourrait affecter leur infrastructure critique et leurs activités pendant encore longtemps. Il leur faudra des jours pour contourner physiquement toutes ces machines.

Les entreprises de sécurité peuvent-elles garantir que cela ne se reproduise plus ?

Les logiciels de sécurité sont étroitement liés au système d’exploitation d’un ordinateur : ils y sont profondément ancrés. Il doit exister un moyen pour que, si un logiciel est corrompu, il ne plante pas le système à répétition. Cela peut être fait en coopération avec Microsoft, propriétaire du système d’exploitation Windows.

Il doit y avoir un moyen de revenir en arrière, et c’est le cas. Cependant, la plupart des personnes qui essaient de se connecter à leur PC vierge ne savent pas comment mettre leur PC en mode sans échec et revenir à un état antérieur.

Pour l’instant, il semble que ce soit un fichier corrompu qui soit à l’origine d’un problème mondial. Les ordinateurs téléchargent des mises à jour en permanence, alors comment Microsoft va-t-il empêcher cela de se produire avec cette mise à jour ? Ce n’est pas immédiatement évident. Et la question à un million de dollars est : comment ce fichier corrompu a-t-il pu être publié en premier lieu ?

Combien de temps faudra-t-il avant que ce problème soit complètement résolu ?

Cela va certainement prendre des jours, voire des semaines. C’est comme ces hôpitaux de Londres qui ont été attaqués par un ransomware . Ils souffrent encore – la traîne est très longue.

Et dans ce cas, il ne s’agit pas seulement d’une longue traîne, mais d’un très large éventail d’organisations mondiales dans le domaine des transports, de la santé et d’ailleurs. Je ne pense pas que nous ayons déjà vu quelque chose de pareil auparavant.

Alan Woodward

Professeur, Département d’informatique, Université de Surrey