En me levant ce matin j’ai comme à mon habitude pris connaissance du brouhaha de ce monde. Et cette fois, il y avait un truc qui couinait fort et faux : Panne informatique mondiale géante chez Microsoft !
Alors oui, mais non !
J’ai ainsi assisté toute la mâtinée à un défilé de médiocrité journalistique, chacun y allant de sa news assassine aussi objective et bien documentée qu’un procès en sorcellerie durant l’inquisition. Il a fallu attendre la mi-journée (11h49 FRT) et le communiqué de presse de l’entreprise Crowdstrike pour qu’on y voit enfin clair : le problème venait d’une mise à jour moisie du fameux logiciel Falcon de la société qui provoquait des instabilités sur les images système Windows où il est déployé. Ça n’a cependant pas empêché un certain nombre de médias respectables de continuer à proférer des âneries toute l’après-midi.
C’est quoi Crowdstrike ?
Fondé en 2011 aux USA, Crowdstrike est un des leaders mondiaux de la cybersécurité, et un des plus gros « petits », càd. une de ces entreprises qui sont trop grosses pour être encore qualifiées de startups, mais trop petites et spécialisées pour pouvoir rivaliser avec les conglomérats géants de l’IT mondiale que sont Microsoft, IBM, Oracle, HP, Google, Apple, etc.
Au début des années 2010 Crowdstrike a ainsi été un des pionniers du marché de l’EDR et de la threat intelligence, des outils et services bien plus utiles que les stupides antivirus (aka. EPP) pour les équipes informatiques des grandes organisations en charge de lutter contre ce qu’on appelait à l’époque les Advanced Persistent Threats, càd. des opérations d’infiltration discrètes au long cours menées d’abord par des groupes étatiques (les fameux cybersoldats) avant de devenir un des modes d’action préférés du cybercrime à partir de 2013 (TARGET & HOME DEPOT), et souvent couplé à des rançongiciels depuis 2017. Comme vous avez pu le constater, Falcon (qui de nos jours intègre aussi des fonctions EPP) est surtout utilisé dans le monde professionnel occidental, ce qui explique que la panne n’ait pas trop concerné la Russie, la Chine, la Corée du Nord ou les particuliers.
Mais qu’est-ce qui s’est passé ?
Contrairement a ce que certains médias bien informés ont pu raconter, ce n’est pas via Windows Update qu’a été déployée la mise à jour moisie de Falcon qui a fait planter Windows, mais directement via l’infrastructure de Crowdstrike, donc en dehors du programme de test des mises à jour de Microsoft. Les logiciels de sécurité ayant généralement des accès privilégiés au noyau de Windows pour pouvoir remplir correctement leur mission, la moindre bévue de ce genre se paie cash en BSOD. Une bonne pratique consiste généralement à temporiser le déploiement des mises à jour, histoire de laisser les autres essuyer les plâtres, mais cela présente en contrepartie le risque de réagir trop tard à une attaque faute d’un outil à jour capable de la détecter et de la contrer. En cybersécurité, le temps joue toujours pour les attaquants et contre les défenseurs.
Haters gonna hate !
On a aussi pu voir cette après-midi une exploitation opportune du malheur de Crowdstrike par un de ses concurrents. Outre le manque d’élégance commerciale du procédé (mais qui se comprend pour une société russe qui a perdu BEAUCOUP de parts de marché au profit de Crowdstrike depuis le début de la guerre en Ukraine), il s’agit aussi d’une posture susceptible de provoquer de violents effets boomerang, car Crowdstrike n’est pas le premier éditeur à se prendre ainsi les pieds dans le tapis ! McAfee en 2010 ou Symantec en 2012 se sont déjà retrouvés dans la même situation sans que ça fasse la une du 20h. Déjà parce que leurs parts de marché étaient à l’époque plus modeste que celle de Crowdstrike aujourd’hui, mais aussi parce qu’il y a 10 ans la menace n’était pas la même et on pouvait vraiment se permettre de temporiser le déploiement d’une mise à jour et ainsi éviter la grosse panne informatique mondiale.
On a aussi pu voir sur les réseaux sociaux un certain nombre de trolls Apple et Linux se réjouir avec bienveillance du malheur de leurs voisins Windowsiens, en occultant au passage que Windows n’y était pour rien, et que leurs systèmes d’exploitation prétendument supérieurs ne sont pas du tout à l’abri d’incidents similaires, c’est juste que ça impactera moins d’utilisateurs compte tenu de leurs parts de marché ridicules et réciproques (sur desktop/laptop je précise… Linux est le de loin le leader des systèmes d’exploitation sur serveur avec RedHat et sur mobile avec Android).
Et pour finir, on a eu le summum de la bêtise politique avec la sortie du Suprême Directeur des Systèmes d’Information de la France Insoumise qui a trouvé le moyen de faire le buzz à partir de cet incident en tirant à boulet rouge sur l’armée française accusée de dépendance coupable à l’égard de Microsoft. Mais comme l’armée française utilise des EDR souverains (oui ça existe et ils sont plutôt efficaces, comme Tehtris ou HarfangLab par exemple), elle n’était effectivement pas concernée par la panne. Mais ça on s’en fout hein, car l’objectif inavoué et inavouable c’est de détourner l’attention du fait qu’on n’est toujours pas foutu de désigner un candidat à Matignon depuis le 10 juin et la création du NFP !
Pour une fois, je poste pour te dire bravo pour cet article qui n’est pas dénué de sens, par la guerre des adeptes d’Apple et Windows, il y aura toujours une personne pour mettre le feu aux poudres.
De plus, je voudrais préciser que ce qu’il s’est passé il y a douze ans et maintenant, cela est juste dû au manque cruel de connaissance des personnes qui préfèrent faire un buzz quitte à faire de la désinformation plutôt que de faire de l’information et dire une vérité.