Microsoft publie un outil pour réparer la panne causée par Crowdstrike

Microsoft publie un outil pour réparer la panne causée par Crowdstrike

La panne géante du vendredi 19 juillet, causée par un bug de CrowdStrike, a touché des millions d'ordinateurs et prendra du temps pour être totalement résolue. Heureusement, Microsoft met à disposition un outil de restauration pour accélérer le processus.

Le weekend dernier a du être particulièrement mouvementé pour les professionnels de l'informatique. En effet, le vendredi 19 juillet 2024, une panne géante paralysait de nombreuses entreprises sur toute la planète, dans des secteurs aussi critiques que le transport aérien ou ferroviaire, la banque, la santé et même les médias.

À l'origine du problème, une mise à jour défectueuse d'un logiciel de sécurité très répandu dans le monde professionnel, la plateforme Falcon développée par l'entreprise CrowdStrike. Pour faire simple, il s'agit d'un Endpoint Detection and Response (EDR), une sorte de super antivirus assurant la surveillance en temps réel de parcs informatiques d'entreprise.

Dans le cadre d'une mise à jour de l'agent antivirus, le petit programme installé sur chaque machine qui envoie en continue les données de surveillance à la plateforme de cybersécurité qui se trouve sur des serveurs distants, un fichier de configuration mal formaté a été distribué par erreur… entraînant un blocage complet de certaines machines l'ayant reçu.

Les appareils concernés deviennent alors incapables de démarrer et affichent un message d'erreur en boucle, le fameux "écran bleu de la mort" (blue screen of death ou BSOD) bien connu de Windows. Le problème affecte uniquement des machines sous Windows, les PC et serveurs sous macOS et Linux ne semblent pas impactés.

Selon les dires de Microsoft, au moins 8,5 millions d'appareils à travers le monde ont été touchés, avec des profils très divers : ordinateurs de bureau et portable d'entreprise, caisses dans les supermarchés, distributeurs de billets, guichets dans les gares et les aéroports. Autant de dispositifs essentiels dans le fonctionnement de l'économie moderne, dont l'arrêt à entraîner une paralysie de nombreux secteurs d'activité.

Très rapidement, une solution de réparation a été proposée par CrowdStrike, mais sa mise en œuvre à grande échelle s'avère particulièrement lourde et fastidieuse. Elle nécessite en effet d'accéder physiquement et individuellement à chaque machine affectée, de la démarrer en mode sans échec puis d'aller supprimer le fichier défectueux manuellement. Un véritable calvaire pour des parcs informatiques comptant plusieurs milliers d'appareils.

Panne CrowdStrike : Microsoft propose un script pour faciliter (un peu) la réparation

Pour le moment, il n'existe pas de méthode totalement automatique pour résoudre le problème causé par CrowdStrike. Le bug concerne quasi-exclusivement des ordinateurs professionnels, mais si votre propre PC est affecté, il faut alors le redémarrer en mode sans échec, en pressant la touche F4 durant le démarrage (voir notre fiche pratique) puis ouvrir le dossier C:\Windows\System32\drivers\CrowdStrike, repérer le fichier csagent.sys ou C-00000291*.sys (l'étoile symbolise une longue liste de chiffres), et enfin supprimercet élément avant de redémarrer votre machine.

© BleepingComputer

Si la manipulation est assez rapide et facile à opérer sur un ou quelques appareils, elle devient vite chronophage à mesure que le nombre de dispositifs à restaurer augmente. Pour faciliter un peu la vie des administrateurs système qui doivent réparer les dégâts, Microsoft vient de publier un outil permettant de fiabiliser et d'accélérer le processus de restauration des appareils touchés. Il se présente sous la forme d'un script PowerShell permettant de créer un correctif sur un support de démarrage amovible, comme une clé USB et ou un DVD.

Microsoft fournit des informations et des instructions très détaillées sur l'utilisation de cet outil sur une page dédiée de son forum d'assistance technique, qui est par ailleurs enrichie au fur et à mesure des retours de ses utilisateurs. Son outil propose plusieurs options et modalités de réparation, en fonction de la nature du système concerné (ordinateur, serveur machine virtuelle), de son environnement (connecté à réseau, isolé, disposant d'un port USB ou non) et de sa configuration de sécurité (chiffrement de disque par BitLocket ou par une solution tierce).

Cet outil de récupération s'avère évidemment plus complexe à mettre en œuvre que le "simple" démarrage d'un ordinateur en mode sans échec et la suppression manuelle d'un fichier. Il s'adresse donc en premier lieu aux administrateurs de parcs informatiques professionnels confrontés à un grand nombre de machines bloquées, plutôt qu'aux particuliers, qui ont de toute manière été globalement peu touché par la mise à jour défectueuse de CrowdStrike. C'est néanmoins une aide bienvenue qui devrait un peu contribuer à accélérer le retour progressif à la normale, même si ce processus prendra nécessairement du temps.