Remise en contexte: Un problème avec l’agent Falcon Sensor de CrowdStrike a semé le chaos dans le monde entier la semaine dernière, et le chaos continue alors que des acteurs malveillants se précipitent pour en profiter. Au milieu de la tourmente, il est instructif de considérer un événement peu remarqué plus tôt cette année, lorsqu’une mise à jour de CrowdStrike a provoqué le crash simultané de tous les serveurs Debian Linux et leur refus de démarrer. Il a fallu des semaines au fournisseur de cybersécurité pour fournir une analyse des causes profondes, révélant que la mise à jour était incompatible avec la dernière version stable de Debian.
Les événements de vendredi ne sont pas la première fois que CrowdStrike, un fournisseur de services de cybersécurité populaire, a provoqué des perturbations importantes sur plusieurs systèmes d’exploitation. Pour résumer ce qui s’est passé : les machines Windows du monde entier ont commencé à afficher le redoutable écran bleu de la mort au démarrage vendredi dernier, ce qui a eu un impact sur les banques, les compagnies aériennes, les médias, les chaînes de restauration et de nombreuses autres entreprises. Le problème a été attribué à l’entreprise de sécurité et à un problème avec son agent Falcon Sensor. Il y avait également un problème connexe avec les applications et services Microsoft 365.
Une autre perturbation, à peine remarquée celle-là, s’est produite en avril lorsqu’une mise à jour de CrowdStrike a provoqué le crash simultané de tous les serveurs Debian Linux et leur refus de démarrer. La mise à jour était incompatible avec la dernière version stable de Debian, bien que cette distribution Linux soit censée être prise en charge par CrowdStrike.
Ces problèmes se sont produits sur plusieurs mois, indiquant des problèmes de compatibilité persistants entre le logiciel de sécurité et certaines distributions Linux. Par exemple, des problèmes similaires ont été signalés par des utilisateurs de CrowdStrike après la mise à niveau vers Rocky Linux 9.4, avec des serveurs plantant en raison d’un problème de Core.
La réponse de CrowdStrike au problème Debian a été lente. Il leur a fallu des semaines pour fournir une analyse des causes profondes, qui a révélé que la configuration Debian Linux n’était pas incluse dans leur matrice de test.
Ces problèmes antérieurs soulèvent de sérieuses inquiétudes quant aux procédures de mise à jour et de test des logiciels de l’entreprise. La lenteur de sa réponse au problème de Debian suggère que les procédures de test de l’entreprise sont inadéquates pour les systèmes Linux, ce qui conduit à ces problèmes de compatibilité.
Pendant ce temps, les conséquences de la panne mondiale de vendredi se poursuivent. CrowdStrike a corrigé le bug de l’agent Windows, mais le processus de correction manuelle de chaque ordinateur affecté devrait entraîner des perturbations continues. Il n’est peut-être pas surprenant que les acteurs malveillants exploitent la situation.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a signalé que même si la panne n’a pas été causée par une cyberattaque, des pirates informatiques se livrent à des activités de phishing et autres activités malveillantes, profitant du chaos. Les acteurs malveillants envoient des e-mails de phishing à partir de domaines se faisant passer pour CrowdStrike, prétendant à tort offrir des solutions à la panne en échange de paiements à des portefeuilles de cryptomonnaies aléatoires.
Les cybercriminels se font passer pour des employés de CrowdStrike ou d’autres spécialistes en technologie par le biais de courriels ou même d’appels téléphoniques. Les attaquants ont également rapidement créé des sites Web trompeurs avec des noms de domaine comprenant des mots-clés tels que « CrowdStrike » et « écran bleu ». Une fois qu’ils ont réussi à attraper leurs victimes, ils les incitent à révéler des informations sensibles telles que des mots de passe et d’autres codes de sécurité.