Incident du 18 Juillet 2024 : Problème de Blue Screen of Death (BSOD) Lié à CrowdStrike

Le 18 juillet 2024, de nombreux utilisateurs de la solution de sécurité CrowdStrike ont rencontré un problème critique : le tristement célèbre "Blue Screen of Death" (BSOD) de Windows. Cet incident a provoqué des interruptions de service significatives et a suscité des inquiétudes quant à la fiabilité de la plateforme de protection des terminaux Falcon de CrowdStrike.

Description de l'incident

Vers 10 heures du matin UTC, plusieurs rapports ont commencé à émerger de différents clients de CrowdStrike signalant des BSOD sur leurs systèmes Windows. L'incident semblait affecter une large gamme de versions de Windows, des postes de travail aux serveurs. Les redémarrages forcés dus aux BSOD ont perturbé les opérations quotidiennes des entreprises touchées.

Le coupable : un fichier de mise à jour de canal malveillant

Le problème a été déclenché par des noms de fichiers de mise à jour de canal commençant par le modèle « C-00000291*.sys » dans le répertoire « %WINDIR%\System32\drivers\CrowdStrike ». Ce fichier était probablement formaté de manière non valide, ce qui a provoqué le blocage du pilote Crowdstrike de niveau supérieur. Différents clients ont reçu différentes versions de ce fichier problématique, ce qui a encore compliqué la situation.

Causes possibles du BSOD liées à CrowdStrike

Incompatibilité Logicielle :

• Conflits avec d'autres logiciels de sécurité : L'exécution simultanée de multiples solutions de sécurité peut entraîner des conflits.
• Mises à jour Windows : Parfois, des mises à jour de Windows peuvent introduire des incompatibilités temporaires avec le capteur Falcon de CrowdStrike.

Problèmes de Pilotes :

• Pilotes obsolètes ou incompatibles : Les pilotes système, notamment ceux liés au réseau ou au stockage, peuvent entrer en conflit avec les composants de CrowdStrike.
• Mise à jour de pilotes défectueux : Une mise à jour défectueuse de pilotes peut causer des problèmes d'interaction avec le capteur Falcon.

Problèmes de Configuration :

• Configurations incorrectes : Une mauvaise configuration des paramètres de #CrowdStrike peut entraîner des défaillances système.
• Modifications récentes : Des modifications récentes dans les paramètres de sécurité ou les politiques peuvent provoquer des incompatibilités.

Bugs Logiciels :

• Bugs dans la mise à jour du capteur : Parfois, des erreurs dans une mise à jour logicielle peuvent entraîner des BSOD.
• Bugs non résolus : Des bugs dans le logiciel de sécurité lui-même peuvent provoquer des plantages critiques.

Réponse et Mesures Correctives

CrowdStrike a réagi rapidement en mobilisant ses équipes d'ingénieurs et de support pour diagnostiquer et résoudre le problème. Voici les mesures prises :

Publication de Correctifs :

Un correctif a été déployé d'urgence pour corriger les bugs identifiés dans la mise à jour du capteur Falcon. Ce correctif a été conçu pour stabiliser les interactions entre Falcon et Windows.

Mise à Jour des Pilotes :

Les clients ont été conseillés de mettre à jour tous leurs pilotes de périphériques vers les dernières versions disponibles pour éviter les incompatibilités.

Communication Transparente

CrowdStrike a maintenu une communication ouverte avec ses clients, fournissant des mises à jour régulières sur l'état de la résolution du problème et des conseils pour atténuer les impacts immédiats.

Conclusion

L'incident du 18 juillet 2024 a souligné l'importance de la vigilance continue et de la collaboration dans le domaine de la cybersécurité. Bien que le problème ait causé des désagréments significatifs, la réponse rapide et les mesures correctives de CrowdStrike ont permis de rétablir la stabilité des systèmes affectés. Cet événement sert de rappel que même les solutions de sécurité les plus avancées peuvent rencontrer des défis imprévus, nécessitant une adaptation et une amélioration constantes.