Kevin Beaumont revient sur la mise à jour défectueuse de CrowdStrike qui a paralysé 9 millions de systèmes, soulignant le besoin de transparence et de contrôles renforcés sur les produits de cybersécurité.
Le 22 juillet 2024, Kevin Beaumont, un expert en cybersécurité réputé, a publié une analyse approfondie sur l’incident mondial IT provoqué par CrowdStrike. Cet incident, mal interprété comme une panne de Microsoft, a résulté d’une mise à jour défectueuse de CrowdStrike qui a rendu près de 9 millions de systèmes Windows inutilisables en les plaçant dans un cycle de démarrage sans fin. Cet événement, bien que géré rapidement par CrowdStrike, a révélé des problèmes cruciaux concernant la transparence et le contrôle dans l’industrie de la cybersécurité.
Le problème du manque de contrôle des logiciels de sécurité
Beaumont souligne une problématique majeure : le manque de transparence et de contrôle dans la gestion des logiciels de sécurité. Les entreprises de cybersécurité, comme CrowdStrike, déploient des mises à jour automatiques pour protéger contre les cybermenaces. Cependant, ces mises à jour sont souvent faites sans une visibilité adéquate pour les clients, et parfois sans une vérification suffisante. Cette situation est aggravée par le fait que beaucoup de ces logiciels fonctionnent avec un accès au noyau de Windows (ou linux), ce qui signifie qu’ils ont des privilèges élevés sur les systèmes des utilisateurs.
Les fournisseurs de solutions de sécurité obscurcissent souvent leur code pour empêcher les criminels de l’exploiter, mais aussi pour limiter la recherche indépendante et les tests. Aujourd’hui, les mises à jour sont poussées fréquemment sans notification claire aux utilisateurs, ce qui manque de transparence et d’obligation de rendre des comptes. De plus, les recherches et les tests indépendants sont souvent limités par des accords de non-divulgation, empêchant une évaluation complète de la sécurité et de la stabilité des logiciels.
Des risques de sécurité et des besoins de réformes
Dans son analyse, Beaumont explique que certains fournisseurs, y compris CrowdStrike, publient des mises à jour qui permettent l’exécution de code de détection depuis le noyau de manière dangereuse, pouvant entraîner des erreurs critiques comme des écrans bleus de la mort. L’incident de CrowdStrike démontre les dangers potentiels de cette pratique, car une simple mise à jour défectueuse peut causer des perturbations massives.
Pour éviter de futurs incidents similaires, Beaumont propose plusieurs mesures :
- Transparence sur les mises à jour de sécurité : Les fournisseurs devraient informer clairement sur la manière dont les mises à jour sont testées et pouvoir les annuler en cas de problème.
- Divulgation des interactions à risque avec le noyau Windows : Les entreprises devraient détailler les interactions potentiellement risquées et planifier des améliorations pour des pilotes plus sûrs.
- Transparence sur la sécurité des logiciels : Les fournisseurs devraient promettre de divulguer rapidement tout incident de sécurité affectant leurs plateformes, permettant aux clients de prendre des décisions éclairées.
- Divulgation des lois de sécurité nationales : Les entreprises doivent informer leurs clients si elles sont soumises à des lois nationales de sécurité qui pourraient permettre l’accès aux données des clients.
- Rapports détaillés en cas de mise à jour défectueuse : En cas de problème, un rapport complet expliquant l’incident, ses causes et les mesures correctives devrait être publié.
Des changements nécessaires pour davantage de confiance
Ainsi, l’incident de CrowdStrike met logiquement en lumière, selon Kevin Beaumont, la nécessité pour les clients de demander plus de transparence et de responsabilité de la part des éditeurs de solutions de cybersécurité. La confiance excessive accordée à ces entreprises sans une visibilité suffisante sur leurs pratiques et mises à jour expose les entreprises à des risques considérables toujours selon cet expert et le cas CrowdStrike ne va pas le démentir.
En somme, cet incident doit surtout servir de signal d’alarme pour réévaluer la manière dont les outils de cybersécurité sont déployés et gérés, en plaçant l’accent non seulement sur la détection des menaces, mais aussi sur la stabilité et la transparence des produits de sécurité.
Pour en savoir plus
Un article intéressant à lire en entier avec une série de photos et de vidéos qui montrent la gabegie provoquée ici et là par cette simple erreur de mise à jour de sécurité.
What I learned from the ‘Microsoft global IT outage’
I woke up Friday to discover CrowdStrike — a cybersecurity vendor who aims to protect orgs from cyber attacks such as availability outages — created the largest IT outage…