Une mise à jour buguée de l’antivirus « Falcon Sensor » de la société américaine CrowdStrike a provoqué le plantage de milliers de PC et de serveurs dans le monde entier, déclenchant le chaos à l’échelle mondiale. De nombreux services critiques se sont effondrés, y compris les transports, les hôpitaux, les systèmes de paiement et les télécommunications.
Un exemple de « écran bleu de la mort »
Le matin du vendredi 19 juillet 2024 (heure française), le chaos s’est déchaîné à l’échelle mondiale en raison de l’effondrement des systèmes de télécommunications et de paiement, ainsi que du blocage des avions, des trains, des supermarchés, des hôpitaux et d’autres infrastructures critiques dans le monde entier. Les problèmes seraient liés à la mise à jour bugguée d’un antivirus de l’entreprise de sécurité informatique CrowdStrike, utilisé par des milliers d’entreprises et de grandes sociétés sur des PC sous Windows (ceux touchés par la panne). Les communiqués de pannes, les transports à l’arrêt, l’impossibilité de mener des opérations bancaires et d’autres activités névralgiques liées au secteur IT vont de Sydney à New York, en passant par toute l’Europe et l’Asie. Le site Downdetector a signalé des problèmes de connexion à de nombreux services, des stores en ligne aux compagnies aériennes. Même les sites de paris et de jeux en ligne ont été hors service. Des interruptions ont été enregistrées dans le service d’urgence 911 (le numéro d’urgence aux États-Unis) et sur la chaîne Sky News au Royaume-Unis, temporairement hors ligne. Comme l’a indiqué la BBC, en Allemagne, deux hôpitaux ont annulé les services non essentiels et en France, les systèmes informatiques liés à l’organisation des Jeux olympiques de Paris ont été touchés.
Les problèmes liés à un bug dans la mise à jour de l’antivirus CrowdStrike
Alors qu’on avait initialement parlé d’un problème significatif sur la plateforme de cloud computing de Microsoft “Azure”, la cause principale de l’effondrement informatique mondial serait liée à la mise à jour du logiciel antivirus “Falcon Sensor” de l’entreprise texane CrowdStrike. Il s’agit du cœur de la suite de sécurité de la société, qui vise à surveiller, intercepter et prévenir les attaques informatiques (virus, rançongiciels, logiciels espions, etc.) sur les PC où il est installé, qu’il s’agisse de particuliers ou d’entreprises.
Suite à cette mise à jour malveillante, des milliers de PC sous Windows et des serveurs dans le monde entier seraient tombés en panne en raison du fameux « écran bleu de la mort » (BSOD), un message de diagnostic qui peut apparaître en cas de problèmes matériels et logiciels. Plus précisément, le bug de la mise à jour semble être lié au pilote csagent.sys, comme indiqué par Tech Issues Today. Parmi les messages d’erreur signalés par les utilisateurs, on trouve : « PAGE_FAULT_IN_NON_PAGED_AREA », « CRITICAL_PROCESS_DIED » et SYSTEM_THREAD_EXCEPETION_NOT_HANDLED ».
Qu’est-ce que l’écran bleu de la mort : les solutions temporaires pour redémarrer Windows
“Nous sommes conscients d’un problème généralisé causant des erreurs BSOD sur des machines Windows utilisant différentes versions de capteurs”, a déclaré un porte-parole de CrowdStrike sur le forum de l’entreprise. Dans ce cas, comme indiqué, l' »écran bleu de la mort » serait directement lié à une mise à jour bugguée du logiciel antivirus largement utilisé, capable de faire tomber en peu de temps un nombre énorme d’infrastructures informatiques à travers le monde. Bien que cette mise à jour ait déjà été retirée par Crowdstrike, le problème n’a pas été résolu pour les PC et les serveurs déjà touchés. Cependant, une solution temporaire a été proposée par l’entreprise elle-même, également rapportée par le Sydney Morning Herald. Voici la procédure à suivre en cas de problème :
“Démarrer Windows en mode sans échec ou dans l’environnement de récupération de Windows (vous pouvez le faire en appuyant sur la touche F8 avant que le logo de Windows n’apparaisse à l’écran). Accéder au répertoire C:\Windows\System32\drivers\Crowdstrike. Trouver le fichier correspondant au fichier « C-00000291*.sys », cliquer avec le bouton droit de la souris et le renommer en « C-00000291*.renamed ». Redémarrer normalement l’hôte”.
Sur Reddit, d’autres solutions alternatives ont également été signalées ; parmi celles-ci, celle indiquée par l’utilisateur MajorMaxdom, qui vise directement le pilote incriminé csagent.sys :
« Démarrer en mode sans échec, aller dans le registre et modifier la clé suivante : HKLM:\SYSTEM\CurrentControlSet\Services\CSAgent\Inicia de 1 à 4. Cela désactive le chargement de csagent.sys ». L’utilisateur a ajouté qu’il espérait que les machines « se redémarreront ».
Comme indiqué, ce qui a été signalé par CrowdStrike et les propositions des utilisateurs individuels sur les portails spécialisés sont des solutions temporaires au problème, qui continue de causer des perturbations dans de nombreux secteurs. On attend toujours la publication de la mise à jour de l’antivirus Falcon Sensor nettoyée du bug qui a fait planter les systèmes informatiques à travers le monde. À l’heure actuelle, parmi les pays les plus touchés, on trouve l’Australie et le Royaume-Unis, avec de nombreux vols et trains annulés, ainsi que des retards importants accumulés. L’Association nationale des pharmacies du Royaume-Unis a déclaré que l’accès aux prescriptions des médecins généralistes et à la distribution des médicaments est également bloqué, ce qui peut poser problème pour se rendre à la pharmacie.