{"id":1252270,"date":"2024-07-24T20:01:05","date_gmt":"2024-07-24T22:01:05","guid":{"rendered":"https:\/\/teknomers.com\/fr\/crowdstrike-explique-lincident-de-vendredi-qui-a-fait-planter-des-millions-dappareils-windows\/"},"modified":"2024-07-24T20:01:09","modified_gmt":"2024-07-24T22:01:09","slug":"crowdstrike-explique-lincident-de-vendredi-qui-a-fait-planter-des-millions-dappareils-windows","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/crowdstrike-explique-lincident-de-vendredi-qui-a-fait-planter-des-millions-dappareils-windows\/","title":{"rendered":"CrowdStrike explique l&#8217;incident de vendredi qui a fait planter des millions d&#8217;appareils Windows"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">24 juillet 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Mise \u00e0 jour du logiciel \/ panne informatique<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/CrowdStrike-explique-lincident-de-vendredi-qui-a-fait-planter-des.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 CrowdStrike a imput\u00e9 mercredi un probl\u00e8me dans son syst\u00e8me de validation \u00e0 la cause du crash de millions d&#8217;appareils Windows dans le cadre d&#8217;une panne g\u00e9n\u00e9ralis\u00e9e \u00e0 la fin de la semaine derni\u00e8re.<\/p>\n<p>\u00ab Le vendredi 19 juillet 2024 \u00e0 04h09 UTC, dans le cadre des op\u00e9rations r\u00e9guli\u00e8res, CrowdStrike a publi\u00e9 une mise \u00e0 jour de configuration de contenu pour le capteur Windows afin de recueillir des donn\u00e9es de t\u00e9l\u00e9m\u00e9trie sur d&#8217;\u00e9ventuelles nouvelles techniques de menace \u00bb, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/falcon-content-update-remediation-and-guidance-hub\/\" target=\"_blank\">dit<\/a> dans son rapport pr\u00e9liminaire d\u2019examen post-incident (PIR).<\/p>\n<p>\u00ab Ces mises \u00e0 jour font partie int\u00e9grante des m\u00e9canismes de protection dynamique de la plateforme Falcon. La mise \u00e0 jour probl\u00e9matique de la configuration du contenu de r\u00e9ponse rapide a entra\u00een\u00e9 un blocage du syst\u00e8me Windows. \u00bb<\/p>\n<p>L&#8217;incident a eu un impact sur les h\u00f4tes Windows ex\u00e9cutant la version 7.11 et sup\u00e9rieure du capteur qui \u00e9taient en ligne entre le 19 juillet 2024, \u00e0 04h09 UTC et \u00e0 05h27 UTC et qui ont re\u00e7u la mise \u00e0 jour. Les syst\u00e8mes Apple macOS et Linux n&#8217;ont pas \u00e9t\u00e9 affect\u00e9s.<\/p>\n<p>CrowdStrike a d\u00e9clar\u00e9 qu&#8217;il fournit des mises \u00e0 jour de configuration du contenu de s\u00e9curit\u00e9 de deux mani\u00e8res, l&#8217;une via le contenu du capteur fourni avec Falcon Sensor et l&#8217;autre via le contenu de r\u00e9ponse rapide qui lui permet de signaler de nouvelles menaces \u00e0 l&#8217;aide de diverses techniques de correspondance de mod\u00e8les comportementaux.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/intel-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721628359_866_Nouvelle-variante-Linux-du-ransomware-Play-ciblant-les-systemes-VMWare.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Le crash aurait \u00e9t\u00e9 caus\u00e9 par une mise \u00e0 jour du contenu de r\u00e9ponse rapide contenant une erreur non d\u00e9tect\u00e9e auparavant. Il convient de noter que ces mises \u00e0 jour sont fournies sous la forme d&#8217;instances de mod\u00e8le correspondant \u00e0 des comportements sp\u00e9cifiques, qui sont mapp\u00e9s \u00e0 des types de mod\u00e8le sp\u00e9cifiques, pour permettre une nouvelle t\u00e9l\u00e9m\u00e9trie et une nouvelle d\u00e9tection.<\/p>\n<p>Les instances de mod\u00e8les sont \u00e0 leur tour cr\u00e9\u00e9es \u00e0 l&#8217;aide d&#8217;un syst\u00e8me de configuration de contenu, apr\u00e8s quoi elles sont d\u00e9ploy\u00e9es sur le capteur via le cloud via un m\u00e9canisme appel\u00e9 fichiers de canal, qui sont finalement \u00e9crits sur le disque de la machine Windows. Le syst\u00e8me comprend \u00e9galement un composant de validation de contenu qui effectue des contr\u00f4les de validation sur le contenu avant sa publication.<\/p>\n<p>\u00ab Le contenu de r\u00e9ponse rapide offre une visibilit\u00e9 et des d\u00e9tections sur le capteur sans n\u00e9cessiter de modifications du code du capteur \u00bb, explique-t-il.<\/p>\n<p>\u00ab Cette capacit\u00e9 est utilis\u00e9e par les ing\u00e9nieurs de d\u00e9tection des menaces pour collecter des donn\u00e9es de t\u00e9l\u00e9m\u00e9trie, identifier les indicateurs de comportement des adversaires et effectuer des d\u00e9tections et des pr\u00e9ventions. Rapid Response Content est une heuristique comportementale, distincte des capacit\u00e9s de pr\u00e9vention et de d\u00e9tection de l&#8217;IA sur capteur de CrowdStrike. \u00bb<\/p>\n<p>Ces mises \u00e0 jour sont ensuite analys\u00e9es par l&#8217;interpr\u00e9teur de contenu du capteur Falcon, qui permet ensuite au moteur de d\u00e9tection de capteur de d\u00e9tecter ou de pr\u00e9venir toute activit\u00e9 malveillante.<\/p>\n<p>Bien que chaque nouveau type de mod\u00e8le soit soumis \u00e0 des tests de r\u00e9sistance pour diff\u00e9rents param\u00e8tres tels que l&#8217;utilisation des ressources et l&#8217;impact sur les performances, la cause premi\u00e8re du probl\u00e8me, selon CrowdStrike, pourrait \u00eatre retrac\u00e9e jusqu&#8217;au d\u00e9ploiement du type de mod\u00e8le de communication interprocessus (IPC) le 28 f\u00e9vrier 2024, qui a \u00e9t\u00e9 introduit pour signaler les attaques qui <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/ipc\/named-pipes\" target=\"_blank\">tuyaux nomm\u00e9s<\/a>.<\/p>\n<p>La chronologie des \u00e9v\u00e9nements est la suivante :<\/p>\n<ul>\n<li><strong>28 f\u00e9vrier 2024<\/strong> &#8211; CrowdStrike publie le capteur 7.11 pour les clients avec un nouveau type de mod\u00e8le IPC<\/li>\n<li><strong>5 mars 2024<\/strong> &#8211; Le type de mod\u00e8le IPC r\u00e9ussit le test de r\u00e9sistance et est valid\u00e9 pour utilisation<\/li>\n<li><strong>5 mars 2024<\/strong> &#8211; L&#8217;instance de mod\u00e8le IPC est publi\u00e9e en production via le fichier de canal 291<\/li>\n<li><strong>8 au 24 avril 2024<\/strong> &#8211; Trois autres instances de mod\u00e8le IPC sont d\u00e9ploy\u00e9es en production<\/li>\n<li><strong>19 juillet 2024<\/strong> &#8211; Deux instances de mod\u00e8le IPC suppl\u00e9mentaires sont d\u00e9ploy\u00e9es, dont l&#8217;une passe la validation malgr\u00e9 des donn\u00e9es de contenu probl\u00e9matiques<\/li>\n<\/ul>\n<p>\u00ab Sur la base des tests effectu\u00e9s avant le d\u00e9ploiement initial du type de mod\u00e8le (le 5 mars 2024), de la confiance dans les contr\u00f4les effectu\u00e9s dans le validateur de contenu et des d\u00e9ploiements r\u00e9ussis pr\u00e9c\u00e9dents d&#8217;instances de mod\u00e8le IPC, ces instances ont \u00e9t\u00e9 d\u00e9ploy\u00e9es en production \u00bb, a d\u00e9clar\u00e9 CrowdStrike.<\/p>\n<p>\u00ab Lorsqu&#8217;il a \u00e9t\u00e9 re\u00e7u par le capteur et charg\u00e9 dans l&#8217;interpr\u00e9teur de contenu, le contenu probl\u00e9matique du fichier de canal 291 a entra\u00een\u00e9 une lecture de m\u00e9moire hors limites d\u00e9clenchant une exception. Cette exception inattendue n&#8217;a pas pu \u00eatre g\u00e9r\u00e9e correctement, ce qui a entra\u00een\u00e9 un blocage du syst\u00e8me d&#8217;exploitation Windows (BSoD). \u00bb<\/p>\n<p>Pour faire face aux perturbations majeures caus\u00e9es par le crash et \u00e9viter qu&#8217;elles ne se reproduisent, la soci\u00e9t\u00e9 bas\u00e9e au Texas a d\u00e9clar\u00e9 avoir am\u00e9lior\u00e9 ses processus de test et renforc\u00e9 son m\u00e9canisme de gestion des erreurs dans l&#8217;interpr\u00e9teur de contenu. Elle pr\u00e9voit \u00e9galement de mettre en \u0153uvre une strat\u00e9gie de d\u00e9ploiement \u00e9chelonn\u00e9e pour le contenu \u00e0 r\u00e9ponse rapide.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/crowdstrike-explains-friday-windows.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80224 juillet 2024\ue804R\u00e9dactionMise \u00e0 jour du logiciel \/ panne informatique La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 CrowdStrike a imput\u00e9 mercredi un probl\u00e8me dans son syst\u00e8me de validation \u00e0 la cause du crash de millions d&#8217;appareils Windows dans le cadre d&#8217;une panne g\u00e9n\u00e9ralis\u00e9e \u00e0 la fin de la semaine derni\u00e8re. \u00ab Le vendredi 19 juillet 2024 \u00e0 04h09 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1252271,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,238778,4168,233721,4158,4165,21603,133,950,369,238584,24703,200271,1610,238334,98340,9380,364,238617,4172,4169,4428,4166,238583,45020],"class_list":["post-1252270","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-piratage-informatique","tag-comment-pirater","tag-crowdstrike","tag-cyber-actualites","tag-cyber-attaques","tag-dappareils","tag-des","tag-explique","tag-fait","tag-les-nouvelles-des-hackers","tag-lincident","tag-logiciel-malveillant-rancongiciel","tag-millions","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-planter","tag-qui","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-vendredi","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1252270","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1252270"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1252270\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1252271"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1252270"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1252270"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1252270"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}