Panne informatique mondiale : pourquoi des milliers d'entreprises et de services sont à l'arrêt

Panne informatique mondiale : pourquoi des milliers d'entreprises et de services sont à l'arrêt

Panique sur la planète ce vendredi 19 juillet : des milliers d'entreprises et de services sont à l'arrêt dans le monde, suite à un énorme bug lors d'une mise à jour d'un logiciel Windows. Voici ce qu'il faut savoir sur cette panne inédite aux conséquences impressionnantes sur des millions de PC et de serveurs.

Vendredi noir pour des milliers d'entreprises à travers le monde. Une panne informatique géante touche depuis tôt ce matin des millions de PC et des serveurs sous Windows. Aéroports, compagnies aériennes, hôpitaux, entreprises de transport, chaînes de télévision, médias en ligne, banques, agences gouvernementales… de nombreux services sont à l'arrêt et dans l'impossibilité d'être assurés pour le moment. Paradoxalement, cette panne mondiale n'est pas due à une cyberattaque mais à une mise à jour déployée par CrowdStrike, une société américaine spécialisée dans… la cybersécurité justement !

Panne informatique mondiale : des milliers d'entreprises et de services à l'arrêt

Une mise à jour défectueuse pour colmater une faille, déployée à grande échelle, et c'est la panique. La panne ne touche visiblement que les ordinateurs et les serveurs animés par Windows 10. Elle se caractérise par l'apparition d'un écran bleu (BSOD) invitant à redémarrer l'ordinateur en mode récupération (Recovery) mais sans succès en provoquant des redémarrages en boucle. Mais pourquoi des millions de PC à travers le monde subissent ces dysfonctionnements ? C'est que CrowdStrike opère une protection et une surveillance sur des milliers de serveurs des services Azure de Microsoft.

Par ricochet, les très nombreuses entreprises qui utilisent les services de Microsoft se voient impactées. Et l'effet boule de neige est impressionnant. Aux États-Unis par exemple, les grandes compagnies aériennes comme Delta, United ou encore American Airlines sont obligées de garder leurs avions cloués au sol. Les vols ne sont donc plus assurés au départ comme à l'arrivée. Les aéroports allemands, espagnols, britanniques, hollandais ou encore hongrois pâtissent eux aussi du phénomène. Selon ADP (Aéroports de Paris), Roissy CDG et Orly ne seraient pas affectés. Néanmoins, des retards restent fort probables compte tenu de la situation à l'étranger. En France toujours, de grandes entreprises ont été touchées, comme TF1, le Figaro, la Fnac, Mondial Relay, Canal+, Orange, Bouygues… la liste s'allonge d'heure en heure.

Panne informatique mondiale : une mise à jour de pilote défectueuse qui interroge

Comment une simple mise à jour d'une solution de cybersécurité a-t-elle pu entraîner le blocage complet d'autant de machines à travers le monde ? C'est la question à laquelle des spécialistes en cybersécurité cherchent d'ores et déjà à répondre, alors que l'incendie n'est pas encore éteint. Parmi eux, le chercheur indépendant français Kevin Beaumont, que nous avions déjà cité dans l'affaire des failles de sécurité de la fonction Recall de Microsoft, s'est procuré des copies du fichier de la mise à jour défectueuse afin d'y jeter un œil. Et ses premières observations ne sont pas tendres, en plus d'être inquiétantes.

Il qualifie en effet les fichiers incriminés de « déchets » et indique par ailleurs que chaque client de l'entreprise CrowdStrike semble disposer d'une version différente de la mise à jour, ce qui est étrange. Dans une autre message de son fil sur Mastodon, il précise que le problème viendrait d'un pilote du logiciel de CrowdStrike, qui aurait été distribué dans un format non valide : « Les fichiers .sys à l'origine du problème sont des fichiers de mise à jour de canal, ils provoquent le crash du pilote CS de niveau supérieur car ils ne sont pas formatés de manière valide. On ne sait pas comment/pourquoi Crowdstrike a livré les fichiers et je suspendrais temporairement toutes les mises à jour de Crowdstrike jusqu'à ce qu'ils puissent l'expliquer. »

Une telle erreur dans la chaîne de déploiement d'une mise à jour soulève des interrogations et révèle une double responsabilité, celle de CrwodStrike évidemment, mais également de Microsoft dans une certaine mesure. En premier lieu, comment un acteur majeur de la cybersécurité tel que CrowdStrike a-t-il pu délivrer à si large échelle un pilote défectueux ? La mise à jour concernant affectant un très grand nombres de services critiques, il est étonnant que des tests de fiabilité n'est pas permis de détecter le dysfonctionnement en amont de la distribution. Du côté de Microsoft, il est intriguant et très inquiétant que l'entreprise est laissé passer la mise à jour problématique sans sourciller, et sans qu'aucun mécanisme de validation et de vérification préalable n'ait donné l'alerte.

Les mises à jour entraînant des dysfonctionnements inattendus et imprévus ne sont certes pas rares, surtout dans l'écosystème de la firme de Redmond, qui doit composer avec une très grande diversité de configurations matérielles. Un patch qui fonctionne bien pour la majorité des utilisateurs peut donc entraîner des problèmes critiques chez d'autres tout en passant sous les radars du contrôle qualité préalable à sa diffusion. Mais l'ampleur du dysfonctionnement présent touche tellement de machines qu'on a du mal à croire qu'il ait pu échapper à une procédure de vérification rigoureuse. Ce qui amène plutôt à penser que la mise à jour a été publiée sans aucun contrôle...

Panne informatique mondiale : une solution déjà disponible mais une restauration complète qui sera longue

À 11h45 (heure française), le Directeur Général de CrowdStrike, George Kurtz, a pris la parole sur X (ex-Twitter) afin de rassurer ses clients. Il indique ainsi : "Le problème a été identifié, isolé et un correctif a été déployé. Nous renvoyons les clients au portail d'assistance pour connaître les dernières mises à jour et continuerons à fournir des mises à jour complètes et continues sur notre site Web. Nous recommandons en outre aux organisations de s'assurer qu'elles communiquent avec les représentants CrowdStrike via les canaux officiels ".

Les administrateurs de parcs informatiques peuvent donc commencer à respirer. Parallèlement, CrowdStrike fournit la marche à suivre pour résoudre le problème. Il faut tout d'abord redémarrer l'ordinateur en mode sans échec, en pressant la touche F4 durant le démarrage (voir notre fiche pratique sur le démarrage de Windows en mode sans échec). Une fois le PC accessible, il faut ouvrir le dossier \Windows\System32\drivers\CrowdStrike, repérer le fichier csagent.sys ou C-00000291*.sys (l'étoile symbolise une longue liste de chiffres), et enfin Supprimer cet élément avant de redémarrer le PC. Tout devrait alors rentrer dans l'ordre.

Si la manipulation est simple en apparence, son application à grande échelle sera en réalité longue et particulièrement fastidieuse. Car l'opération n'est malheureusement pas automatisable, et nécessite de se connecter manuellement et individuellement à chaque machine affectée pour appliquer le correctif. Si les choses devraient pouvoir rentrer dans l'ordre rapidement pour les petites entreprises qui ne comptent que quelques dizaines d'ordinateurs, on imagine en revanche l'ampleur de la tâche pour les très grands parcs informatiques, qui peuvent compter plusieurs centaines ou milliers d'ordinateurs et de serveurs. Et l'on souhaite bon courage aux administrateurs systèmes et réseaux qui vont devoir réparer les dégâts à la main.

Il apparaît vraiment étrange de la part de CrowdStrike d'avoir déployer une telle mise à jour en pleine saison estivale, au moment où les aéroports et autres services logistiques sont mis à rude épreuve. Et la punition pour cette bourde mondiale n'a pas tardé à arriver. L'action de l'entreprise a plongé de 20 % en préouverture de la bourse de Wall Street à New York. Au-delà de cette importante perte de capitalisation, il y a fort à parier que l'éditeur peine à se remettre de cet événement quand les milliers d'entreprises touchées par sa bévue vont lui demander des comptes… à commencer par Microsoft.