Blog de Paul Jorion

*Godot est mort !*

La presse : Une panne de certains services de Microsoft paralyse vendredi de nombreuses entreprises partout dans le monde

Il y a quatre ans déjà … ma vidéo du 18 décembre 2020 : Les États-Unis ont perdu.

[…] De quoi s’agit-il ? Il s’agit du fait que les logiciels de 18 000 agences et firmes importantes américaines sont hackés, sont piratés par un agent extérieur, un agent extérieur qui a bien caché son jeu puisqu’il n’a agi à aucun moment de l’étranger. Il a d’abord envahi des domaines à l’abandon aux États-Unis et, à partir de là, il s’est infiltré à différents endroits par un moyen au moins qu’on a pu déterminer, qui sont des patches, des rustines, qu’une firme SolarWinds – qui s’occupe de logiciels de mise à jour – des rustines pour des outils Microsoft que cette entreprise distribue à ses clients pour réparer ou améliorer diverses fonctionnalités. Ces patches, ces rustines, étaient des chevaux de Troie, dans lesquels se trouvaient d’autres choses qui sont allées s’installer dans les logiciels.

Cela depuis au moins 4 ans apparemment. On ignore en ce moment , si ces rustines SolarWinds sont le seul moyen [P.J. 16-3 : apparemment non] qui a été utilisé. Elles se trouvent à ces endroits stratégiques que sont la gestion des silos contenant des armements nucléaires, le Ministère des Finances des États-Unis [P.J. 16-3 : la NSA, l’agence de surveillance internationale dont Edward Snowden nous a expliqués le fonctionnement secret] … Enfin, la liste est quasiment infinie. On peut supposer que des alliés des États-Unis ont été compromis de la même manière et je vois parmi les noms déjà cités, les États Arabes Unis, la Belgique, Israël.

Et donc, les États-Unis se retrouvent ce matin à savoir … qu’ils ne savent pas où se trouvent des logiciels qui observent tous leurs mouvements, à 18 000 endroits importants, pour eux comme le Ministère des Finances, des firmes qui sont impliquées dans le réseau d’électricité et justement dans la gestion de l’armement nucléaire. Il y a une puissance étrangère, dont je rappelle la liste des suspects et du responsable éventuel : la Russie, la Chine ou les extra-terrestres.

Quand j’ai appris la nouvelle tout à l’heure, j’ai fait le commentaire suivant :

« Cela signifie-t-il qu’il va se passer quelque chose du côté de Taiwan ? »

Partager :
, ,

93 réponses à “La presse : Une panne de certains services de Microsoft paralyse vendredi de nombreuses entreprises partout dans le monde

  1. Avatar de ludyveen
    ludyveen

    Juste au cas où des teki sous-payés et/ou des admin nageants dans le desert passeraient par ici, voici 2 documents pour « s’en sortir »(perso, j’ai pas test..)

    https://www.crowdstrike.com/wp-content/uploads/2024/07/Tech-Alert-Windows-crashes-related-to-Falcon-Sensor-2024-07-19.pdf

    https://www.crowdstrike.com/wp-content/uploads/2024/07/How-to-identify-hosts-possibly-impacted-by-Windows-crashes.pdf

    j’emets quelques hypothèses en vrac et pas trop étayées sur le sujet:

    ce fichier(C-00000291*.sys) implémente des règles qui check des liaisons entre des contraintes de securité et d’integrité liées à des services Windows. Peut-être, la prod a-t-elle fait conconrir une IA qui aurait sorti une version un peu trop serrée pour les clients, juste en bêta-testant sur ses propres serveurs/clients, qui eux, doivent être blindés. Des tests unitaires lourds, les algo sous-jacents pas simples, du personnel manquant(\?) pourraient justifier ce genre de déscision à déployer à l’arrache. D’un autre côté, on est pas sur la SSI à papi, il pourraient aussi y avoir de l’intentionalité dans ce déploiement, genre test grandeur nature pour déceler la portée de la nuisance de quelques grains de sable dont je ne doute pas que d’autres soient déjà présents/inactifs sur les machines touchées.

    Nul doute qu’on nous servira la bonne soupe well-balanced d’avoir une entreprise à la pointe, qui prend votre sécurité au sérieux mais que le risque zero blablabla…

    Répondre
    1. Avatar de ilicitano
      ilicitano

      Comme dirait mon épouse :
      quand ça marche ça va vite et bien.

      *********
      Mais quand ça ne marche pas et si on n’a pas prévu des solutions de secours : on est vite très très très trés, ….mal.

      Dans tout tout bâtiment collectif il est prévu une issue de secours.
      L’issue de secours étant une porte , ou autre , permettant de survivre en mode dégradé.

      Il semblerait que nos modes de fonctionnements actuels , et quels qu’ils soient :
      * alimentaires
      * de production
      * énergétiques
      * communicationnelles
      * informatiques , IA incluse
      * échanges monétaires de transactions basiques et autres
      * etc, etc , etc,….

      peuvent être très fragiles face à un aléas.

      ********

      comme dirait encore mon épouse :
      On est tous sur une corde raide sur laquelle on essaye de maintenir l’équilibre
      afin d’éviter de tomber.

      Chaque grain de sable pouvant bloquer la machine pourtant bien huilée

      Répondre
      1. Avatar de ilicitano
        ilicitano

        Pour compléter :
        La cartographie des réseaux et des liens qui permettent notre interconnectivité quelle qu’elle soit :

        https://cartonumerique.blogspot.com/2019/02/global-internet-map-2018.html

        Les réseaux ayant leurs fonctionnalités de transfert et permettant les échanges ,

        les points de départs et d’arrivées étant les outils permettant de faire les échanges
        ( et de rentrer en dialogue avec les systèmes , les IAs , entre autres,…..)

        Répondre
      2. Avatar de CORLAY
        CORLAY

        Bonjour Ilicitano, vous pourrez dire à v/épouse qu’elle a raison à propos de corde raide sur laquelle on essaye de maintenir l’équilibre (et ce à ne pas oublier, c’est tous les jours) afin d’éviter de tomber. Bonne fin journée. Isabelle

        Répondre
    2. Avatar de Paul Jorion
      Paul Jorion

      Quelque chose d’un peu plus précis à l’instant :

      Technical Details
      On Windows systems, Channel Files reside in the following directory:

      C:\Windows\System32\drivers\CrowdStrike\

      and have a file name that starts with “C-”. Each channel file is assigned a number as a unique identifier. The impacted Channel File in this event is 291 and will have a filename that starts with “C-00000291-” and ends with a .sys extension. Although Channel Files end with the SYS extension, they are not kernel drivers.

      Channel File 291 controls how Falcon evaluates named pipe1 execution on Windows systems. Named pipes are used for normal, interprocess or intersystem communication in Windows.

      The update that occurred at 04:09 UTC was designed to target newly observed, malicious named pipes being used by common C2 frameworks in cyberattacks. The configuration update triggered a logic error that resulted in an operating system crash.

      Channel File 291
      CrowdStrike has corrected the logic error by updating the content in Channel File 291. No additional changes to Channel File 291 beyond the updated logic will be deployed. Falcon is still evaluating and protecting against the abuse of named pipes.

      This is not related to null bytes contained within Channel File 291 or any other Channel File.

      Remediation
      The most up-to-date remediation recommendations and information can be found on our blog or in the Support Portal.

      We understand that some customers may have specific support needs and we ask them to contact us directly.

      Systems that are not currently impacted will continue to operate as expected, continue to provide protection, and have no risk of experiencing this event in the future.

      Systems running Linux or macOS do not use Channel File 291 and were not impacted.

      Root Cause Analysis
      We understand how this issue occurred and we are doing a thorough root cause analysis to determine how this logic flaw occurred. This effort will be ongoing. We are committed to identifying any foundational or workflow improvements that we can make to strengthen our process. We will update our findings in the root cause analysis as the investigation progresses.

      Répondre
  2. Avatar de Arnould
    Arnould

    @Paul Jorion Jusqu’à présent, on ne vous connaissait pas adepte de théories du complot 😉 A mon avis il ne faut jamais sous-estimer la connerie humaine (qui a dit ça ?).

    Je pense que le stagiaire qui a testé la mise à jour a vu que son PC continuait à fonctionner normalement, et qu’il n’a pas testé éteindre/rallumer pour voir si ça fonctionnerait toujours. D’autant que vous savez bien que Microsoft a introduit une fonctionnalité débile (je pèse mes mots) : la majorité des utilisateurs pensent éteindre leur PCs alors qu’il ne font que le mettre en sommeil. Evidemment que dans ce cas le bug ne s’est pas manifesté.

    En attendant chez Crowstrike et Microsoft on a le bouc émissaire idéal : le stagiaire qui n’a pas fait ce qu’il fallait, a savoir éteindre VRAiMENT puis rallumer son PC pour le tester.

    Répondre
    1. Avatar de Paul Jorion
      Paul Jorion

      Désolé, je n’ai pas eu l’occasion de travailler dans des organisations où on confie à « un stagiaire de tester la mise à jour », cela manque à mon expérience 😀 (et pourtant j’en ai vu de vertes et de pas mûres chez Wells Fargo, à l’ONU, dans le système universitaire 🙁 ). Vous avez le mérite d’avoir donné l’occasion à CrowdStrike de s’étrangler en lisant sur le blog de PJ que quelqu’un quelque part considère qu’ils sont une organisation où … on confie à « un stagiaire de tester la mise à jour » !

      Répondre
  3. Avatar de ilicitano
    ilicitano

    CrowdStrike – Vulnérabilité des Systèmes et leurs interconnectivités -Politique – Géopolitique

    En fin de compte , face à cet effondrement numérique actuel , une attaque de hackers d’un pays étranger aurait été très bienvenue.

    Sauf que: il semblerait qu’une erreur humaine en soit l’origine => à confirmer.

    Cette erreur , et vus ses conséquences planétaires , ouvre un boulevard pour des hackers hyper-professionnels , qui sauront exploiter les failles du SYSTEME, avec des conséquences qu’ils pourront adapter en fonctions de leurs objectifs.

    https://www.nytimes.com/2024/07/19/us/politics/crowdstrike-outage.html

    Qu’est-il arrivé à la « résilience numérique » ?

    À chaque cascade de catastrophes numériques, de nouvelles vulnérabilités apparaissent.
    Le dernier chaos n’a pas été causé par un adversaire, mais il a fourni une feuille de route des vulnérabilités américaines à un moment critique.

    Dans les pires scénarios que l’administration Biden a discrètement simulés au cours de l’année écoulée, des pirates informatiques russes travaillant pour le compte de Vladimir V. Poutine font tomber les systèmes hospitaliers à travers les États-Unis.
    Dans d’autres, les pirates militaires chinois déclenchent le chaos, fermant les systèmes d’eau et les réseaux électriques pour détourner l’attention des Américains d’une invasion de Taïwan.

    Il s’est avéré qu’aucune de ces situations sinistres n’a causé l’effondrement numérique national de vendredi.
    Il s’agissait, selon toute apparence, d’une erreur purement humaine – quelques mauvaises frappes qui ont démontré la fragilité d’un vaste ensemble de réseaux interconnectés dans lesquels une erreur peut entraîner une cascade de conséquences involontaires.

    Comme personne ne comprend vraiment ce qui est lié à quoi, il n’est pas surprenant que de tels épisodes continuent de se produire, chaque incident étant juste différent de quelques degrés du précédent.

    Parmi les cyberguerriers de Washington, la première réaction vendredi matin a été le soulagement qu’il ne s’agissait pas d’une attaque d’État-nation.

    Depuis deux ans, la Maison Blanche, le Pentagone et les cyberdéfenseurs du pays tentent de faire face au « Volt Typhoon », une forme particulièrement insaisissable de logiciel malveillant que la Chine a introduite dans les infrastructures critiques américaines.
    Il est difficile à trouver, encore plus difficile à expulser des réseaux informatiques vitaux et conçu pour semer beaucoup plus de peur et de chaos que ce que le pays a vu vendredi.

    Pourtant, alors que « l’écran bleu de la mort » est apparu des salles d’opération du Massachusetts General Hospital aux systèmes de gestion des compagnies aériennes qui permettent aux avions de voler, l’Amérique a reçu un autre rappel des progrès de la « cyber-résilience ».
    C’était une découverte particulièrement amère qu’une mise à jour défectueuse d’un outil de confiance dans cet effort – le logiciel de CrowdStrike pour trouver et neutraliser les cyberattaques – était la cause du problème, et non le sauveur.

    Ce n’est que ces dernières années que les États-Unis ont pris le problème au sérieux.
    Des partenariats gouvernementaux avec l’industrie privée ont été mis en place pour partager les leçons.
    Le FBI et la National Security Agency, ainsi que la Cybersecurity and Infrastructure Security Agency du département de la Sécurité intérieure, publient des bulletins décrivant les vulnérabilités ou dénonçant les pirates.

    Le président Biden a même créé un conseil d’examen de la cybersécurité qui examine les incidents majeurs.
    Il s’inspire du National Transportation Safety Board, qui examine les accidents d’avion et de train, entre autres catastrophes, et publie les « leçons apprises ».

    Il y a à peine trois mois, il a publié un compte rendu cinglant de la façon dont Microsoft a permis des intrusions dans ses services cloud qui ont permis à des espions chinois de nettoyer les fichiers du département d’État sur Pékin et les courriels de la secrétaire au Commerce Gina Raimondo.
    Mais au moment de la publication du rapport, les responsables américains se concentraient sur un problème plus urgent : la propagation des attaques de ransomware, dont beaucoup proviennent de Russie.

    Ce sont les Russes, en fait, qui ont réveillé l’Amérique sur la vulnérabilité du problème de la « chaîne d’approvisionnement logicielle » qui laisse les petites erreurs se répercuter sur les grandes conséquences.

    À l’approche de la campagne présidentielle de 2020, le service de renseignement le plus qualifié de Moscou s’est introduit dans un composant de cette chaîne d’approvisionnement, se frayant un chemin dans les systèmes de mise à jour des logiciels fabriqués par Solar Winds.
    Les produits de la société sont destinés à gérer de grands réseaux informatiques, et les Russes savaient qu’une fois qu’ils avaient accès au système de mise à jour, ils pouvaient propager rapidement beaucoup de code malveillant.

    Ça a marché. Les pirates informatiques ont rapidement eu accès aux départements du Trésor et du Commerce, à certaines parties du Pentagone et à des dizaines des plus grandes entreprises américaines. Ils n’ont fait aucun dommage visible.
    Ils n’ont pas déclenché de paniques comme celles observées vendredi. Mais ils ont attiré l’attention de la nouvelle administration.

    Nos journalistes politiques. Les journalistes du Times ne sont pas autorisés à soutenir ou à faire campagne pour des candidats ou des causes politiques. Cela inclut la participation à des rassemblements et les dons d’argent à un candidat ou à une cause.

    En savoir plus sur notre processus.
    « Dans une économie interconnectée à l’échelle mondiale, nous devons nous assurer que nous avons la résilience » lorsqu’un événement comme celui-ci se produit, a déclaré Anne Neuberger, conseillère adjointe à la sécurité nationale pour les technologies cybernétiques et émergentes, un poste qui n’existait pas avant que l’administration Biden ne l’invente.

    Mme Neuberger a été réveillée par la salle de crise de la Maison Blanche à 4 heures du matin vendredi à Aspen, au Colorado, où elle se préparait à prendre la parole lors d’un panel intitulé « Assurer la confiance dans l’économie numérique mondiale ». Elle a passé la journée à évaluer les risques pour les systèmes du gouvernement américain, puis à appeler des alliés et des dirigeants, dont le directeur général de CrowdStrike, George Kurtz.
    Elle a demandé : « Y a-t-il quelque chose que nous puissions faire pour aider ? »

    Anne Neuberger
    « Dans une économie interconnectée à l’échelle mondiale, nous devons nous assurer que nous avons la résilience »,

    Dans un événement comme celui-ci se produit, la seule réponse est de déployer un effort minutieux, étape par étape, pour corriger l’erreur, la repousser et essayer de remettre des milliers de systèmes en ligne.

    Parfois, cela fonctionne. Parfois, comme le British Museum l’a découvert récemment après une énorme attaque de ransomware qui, selon les responsables du renseignement britannique, pourrait avoir des liens avec le gouvernement russe, même les meilleurs efforts pour récupérer peuvent échouer.

    « Ce n’est pas quelque chose de nouveau, mais cela a été accéléré par la technologie et par l’interconnectivité », Sir Jeremy Fleming, le chef récemment retraité du GCHQ, la célèbre agence britannique de création et de décryptage de code qui est l’équivalent de la NSA. Et ces jours-ci, il s’inquiète plus des criminels que des attaques d’États-nations.

    Les criminels tireront certainement des leçons de la débâcle de CrowdStrike, apprenant à exploiter les types de vulnérabilités qui ont paralysé les chaînes de télévision, les aéroports et les compagnies d’assurance.
    Il en sera de même pour M. Poutine et le président chinois Xi Jinping, qui ont maintenant, par accident, une feuille de route plus détaillée pour les perturbations, dans une année électorale où ils pourraient bien avoir intérêt à interférer.

    Ce n’est pas désespéré.

    « Nous sommes optimistes sur le fait que l’IA nous permet de faire des progrès significatifs –
    * pas encore transformateurs, mais significatifs – en étant capables
    * d’identifier les vulnérabilités
    * de corriger les failles,
    * d’améliorer la qualité du codage »,

    Mais cela prendra un certain temps.

    Et pendant ce temps, des cascades involontaires de chaos continueront de se propager dans le monde entier – certaines, comme celle de vendredi, sont le produit d’une erreur.
    La crainte est, en année électorale, que le prochain effondrement numérique puisse avoir un objectif politique plus profond.
    (traduction)

    Répondre
    1. Avatar de Paul Jorion
      Paul Jorion

      « A few bad keystrokes », quelques erreurs de frappe … qui mettent à l’arrêt quatre des principales compagnies aériennes des États-Unis, et c’est ce pays-là qui fournit ses armes les plus puissantes à l’Ukraine ! Les malheureux sont bien barrés !

      À la décharge du New York Times ce n’est pas leur expert informatique Kevin Roose qui gobe ça, c’est leur spécialiste des politiques de Joe Biden 🙁 .

      Répondre
Commentaires plus anciens
1 2

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Contact

Contactez Paul Jorion

Commentaires récents

Articles récents

Catégories

Archives

Tags

Allemagne Aristote bancor BCE Bourse Brexit capitalisme centrale nucléaire de Fukushima ChatGPT Chine Confinement Coronavirus Covid-19 dette dette publique Donald Trump Emmanuel Macron Espagne Etats-Unis Europe extinction du genre humain FMI France Grèce intelligence artificielle interdiction des paris sur les fluctuations de prix Italie Japon Joe Biden John Maynard Keynes Karl Marx pandémie Portugal psychanalyse robotisation Royaume-Uni Russie réchauffement climatique Réfugiés spéculation Thomas Piketty Ukraine ultralibéralisme zone euro « Le dernier qui s'en va éteint la lumière »

Meta