De nombreuses entreprises mettront probablement des jours, voire des semaines, à se remettre complètement de la panne informatique sans précédent de vendredi, ont averti des experts informatiques, après qu’une mise à jour logicielle défectueuse de la société à laquelle elles faisaient confiance pour sécuriser leurs systèmes a provoqué une perturbation mondiale massive.
CrowdStrike, l’un des plus grands fournisseurs de sécurité au monde, a imputé à une mise à jour de son logiciel Falcon un bug qui a endommagé d’innombrables PC et serveurs Windows, cloué au sol des avions, reporté des rendez-vous à l’hôpital et mis hors service des diffuseurs dans le monde entier.
Ces pannes sont d’autant plus choquantes que CrowdStrike jouit d’une solide réputation en tant que première ligne de défense de nombreuses entreprises contre les cyberattaques, ont déclaré les analystes.
« C’est la première fois qu’un agent de sécurité largement déployé, conçu pour protéger les machines, provoque réellement leur panne », a déclaré Neil MacDonald, analyste chez Gartner, cabinet de conseil informatique.
Le seul remède pour les utilisateurs Windows affectés par l’erreur « écran bleu de la mort » consiste à redémarrer l’ordinateur et à supprimer manuellement la mise à jour bâclée du fichier de CrowdStrike, ce qui nécessite un accès pratique à chaque appareil.
Cela signifie que cela pourrait prendre des jours ou des semaines pour être appliqué dans les entreprises disposant de milliers de machines Windows ou manquant de personnel informatique pour administrer le changement, affirment les experts.
« Il semble que des millions d’ordinateurs vont devoir être réparés à la main », a déclaré Mikko Hyppönen, directeur de recherche chez WithSecure, une société de cybersécurité.
« Les machines les plus critiques, comme l’ordinateur portable du PDG, sont déjà réparées, mais pour le citoyen moyen du secteur financier, il faudra un certain temps avant que quelqu’un vienne réparer son ordinateur portable. »
L’impact de cette erreur est aggravé par l’ampleur et la notoriété de nombreux utilisateurs de CrowdStrike.
La société basée à Austin, au Texas, a déclaré qu’elle comptait plus de 29 000 clients commerciaux à la fin de 2023 et a affirmé dans des documents marketing que son logiciel était utilisé par plus de la moitié des entreprises du Fortune 500.
« Malgré [CrowdStrike] « Étant donné qu’il s’agit en réalité d’une entreprise assez grande, l’idée qu’elle puisse fermer le monde est extraordinaire », a déclaré Marshall Lux, chercheur invité à la McDonough School of Business de l’Université de Georgetown.
L’effet d’entraînement mondial illustre « l’interconnectivité de toutes ces choses » et « le risque de concentration sur ce marché », a ajouté Lux.
Les éditeurs de logiciels « sont clairement devenus si gros et si interconnectés » que leurs faillites peuvent nuire au système économique mondial, a écrit Fatima Boolani, analyste chez Citi, dans une note adressée à ses clients. Cela pourrait entraîner une surveillance politique et réglementaire plus poussée.
Gartner estime que la part de revenus de CrowdStrike sur le marché mondial de la sécurité des terminaux d’entreprise (qui consiste à analyser les PC, les téléphones et autres appareils pour détecter les cyberattaques) est plus de deux fois supérieure à celle de ses trois plus proches concurrents : Trellix, Trend Micro et Sophos. Seul Microsoft est plus important.
Lors de la dernière conférence téléphonique sur les résultats de CrowdStrike en juin, le directeur général George Kurtz a déclaré qu’il y avait « une crise de confiance généralisée parmi les équipes de sécurité et d’informatique au sein de la base de clients de sécurité Microsoft » à la suite d’une série d’incidents cybernétiques de grande envergure affectant le géant de la Big Tech.
CrowdStrike, fondée en 2011, a déclaré avoir constaté une augmentation de la demande après que Microsoft a déclaré plus tôt cette année que ses systèmes avaient été piratés par des pirates informatiques sponsorisés par l’État.
En mai, elle a lancé un produit conçu pour fonctionner avec l’outil de protection antivirus Defender de Microsoft.
Vendredi, alors que Kurtz s’excusait auprès des clients de CrowdStrike, il a souligné que l’incident n’était « pas une cyberattaque » et a insisté sur le fait que les clients de CrowdStrike « restaient entièrement protégés ».
Mais les chercheurs en sécurité ont averti que les fraudeurs pourraient profiter du chaos pour se faire passer pour des agents de Microsoft ou de CrowdStrike dans le cadre d’escroqueries par phishing.
« Nous voyons cela se produire à chaque incident cybernétique majeur qui fait la une des journaux », a déclaré Vasileios Karagiannopoulos, professeur associé de cybercriminalité et de cybersécurité à l’Université de Portsmouth.
La société de cybersécurité Secureworks a déclaré que ses chercheurs avaient observé plusieurs nouveaux enregistrements de domaines sur le thème de CrowdStrike dans les heures qui ont suivi l’incident, très probablement par des criminels cherchant à tromper les clients de l’entreprise.
Pour éviter le type d’erreur qui a provoqué les pannes de vendredi, « il s’agissait d’une question de tests », a déclaré Ian Batten, professeur à l’École d’informatique de l’Université de Birmingham. Dans ce cas, il semblerait que quelqu’un ait simplement « fait une erreur de code », a-t-il ajouté.
Les entreprises comme CrowdStrike sont soumises à la pression de déployer de nouvelles mises à jour de sécurité le plus rapidement possible pour se défendre contre les dernières cyberattaques.
« Il y a ici un compromis entre la rapidité avec laquelle les systèmes sont protégés contre les nouvelles menaces et la diligence raisonnable effectuée pour protéger la résilience du système et empêcher que des choses comme cet incident ne se produisent », a déclaré Adam Leon Smith, membre de la British Computer Society, un organisme professionnel de l’informatique.
Les dommages causés par la mise à jour logicielle défectueuse de cette semaine « pourraient prendre des jours et des semaines » à réparer, a-t-il déclaré.