Microsoft publie un rapport sur les causes de l'énorme panne de CrowdStrike

Le 19 juillet, la société américaine de cybersécurité CrowdStrike a publié une mise à jour défectueuse qui a mis hors service l’infrastructure informatique et provoqué des pannes généralisées dans le monde entier, principalement sous la forme d’annulations de vols, mais aussi dans d’autres secteurs d’activité.

On estime qu’il s’agit de la plus grande panne technologique de l’histoire de l’informatique ; Microsoft a indiqué qu’environ 8,5 millions d’appareils Microsoft Windows ont été touchés. Les hôpitaux et d’autres entreprises n’ont pas pu fonctionner normalement, car le fameux « écran bleu de la mort », qui n’est généralement qu’une gêne pour les utilisateurs d’ordinateurs personnels, a entraîné l’arrêt complet d’un nombre alarmant de services essentiels.

Depuis l’échec de la mise à jour, Microsoft et Crowdstrike se sont efforcés de comprendre le problème et d’aider les personnes touchées. Microsoft a publié une analyse technique de la panne samedi (27 juillet), le même jour que CrowdStrike a publié son analyse préliminaire de l’incident samedi (27 juillet).

Microsoft confirme la raison de la panne de CrowdStrike suite à l’analyse

Dans son analyse, CrowdStrike indique que le problème se résume à un problème de sécurité de la mémoire, à savoir une violation d’accès en lecture hors limites dans le pilote CSagent. Il s’agit d’un module conçu pour détecter les activités suspectes.

Microsoft a corroboré cette information et explique comment son Kernel Debugger et d’autres extensions gratuites ont été utilisés pour déterminer que le problème de sécurité de la mémoire était à l’origine du problème.

Dans le cadre de son analyse, l’équipe du géant technologique a restauré la trame de la pile au moment de la violation d’accès afin d’en savoir plus sur son origine. Cependant, comme elle ne pouvait voir qu’une version compressée, elle n’a pas été en mesure de désassembler la pile à l’envers pour voir l’ensemble des instructions avant le crash.

Après avoir confirmé l’exactitude de l’analyse de CrowdStrike, ils ont expliqué comment l’entreprise de cybersécurité charge quatre manuels de pilote dans son architecture de pilote de noyau. Elle explique que cette pratique est courante en raison de la visibilité qu’elle offre sur l’ensemble du système, des avantages potentiels en termes de performances et du facteur de résistance à l’altération.

CrowdStrike a assumé l’entière responsabilité de la panne et son directeur général s’est excusé pour le dysfonctionnement de la mise à jour logicielle.