Panne mondiale chez Microsoft, Réactions à la publication du 19/07/2024

[Lionel]

Microsoft est touché par une panne mondiale affectant banques, compagnies aériennes et ferroviaires partout dans le monde. Des médias à l'image de TF1 et Canal+ sont également impactés ainsi qu'un nombre considérables d'entreprises.

Si les détails de ce problèmes ne sont pas encore officiellement connus il semble que ce soit lié à une mise à jour Windows provoquant des plantages sur les postes

Voici ce qu'en dit le CERT:

Le CERT-FR a été informé ce jour d'un incident majeur affectant les systèmes Microsoft Windows disposant de l'EDR Crowdstrike Falcon. Cet incident semble provoquer un écran bleu système entraînant un redémarrage du poste.


Il reste maintenant à savoir le temps qu'il faudra pour un retour à la normale.

[MàJ] La panne semble liée à un problème avec une mise à jour de l'antivirus CrowdStrike largement déployé dans les milieux professionnels. Le bug provoque la mise en quarantaine de fichiers indispensables au bon fonctionnement de Windows.

Lien vers le billet original

[superparati]

Je confirme le BSOD!
L'entreprise pour laquelle je bosse s'est fendue d'un email ce matin informant que bons nombres d'ordinateurs équipés de Windows suite à une MAJ de CrowdStrike seraient bloqués dès le démarrage.

Cela semble assez, répandu, grave pour faire le tour des médias!
Heureusement pas de Windows comme OS principal chez moi

[gpv]

Salut à tous,

Encore un exemple de ce que Philippe nomme : "la normalisation de la déviance"...
Aussi bien chez Crowdstrike, pour ne pas avoir suffisamment testé cette MàJ ; que chez les industriels acceptant des mises à jour qui se font automatiquement, sans validation des clients ni possibilité de revenir en arrière.

[Paul Emploi]

Oui les grosses entreprises ont des équipes qui valident toute MàJ, à commencer par celles des OS, pour éviter qu'une bug puisse faire perdre des sommes astronomiques.
J'ai d'ailleurs eu cette tâche que j'effectuais sur mon Mac de Dev pour une entreprise de 25 personnes, après sauvegarde évidemment, pour pouvoir encourager tout le monde à mettre-à-jours après une ou deux semaines hors urgences, et deux-trois jours si des failles énormes étaient corrigées.

Trouvé ici, la solution pour ceux d'entre nous qui seraient affectés:

Code

Démarrer Windows en Safe Mode ou Recovery
Allez dans C:\Windows\System32\drivers\CrowdStrike
Effacez C-0000029*.sys
Redémarrez normalement

[Benzebut]

Si les détails de ce problèmes ne sont pas encore officiellement connus il semble que ce soit lié à une mise à jour Windows provoquant des plantages sur les postes.

[MàJ] La panne semble liée à un problème avec une mise à jour de l'antivirus CrowdStrike largement déployé dans les milieux professionnels. Le bug provoque la mise en quarantaine de fichiers indispensables au bon fonctionnement de Windows.

Ce n'est pas la faute de Microsoft, mais de la mise à jour de la base de données de l'antivirus CrowdStrike. Le problème aurait été identique sur les environnements macOS ou Linux si cet antivirus était utilisé et dans le cas présent, Windoze en subit les dommages collatéraux de cette erreur.

Une mise à jour de la mise à jour de ces registres CrowdStrike sera rapidement déployée, pour relancer l'environnement Windoze correctement. Et corriger la pagaille actuelle qui égaient nos fins de semaine...

[Paul Emploi]

Si les détails de ce problèmes ne sont pas encore officiellement connus il semble que ce soit lié à une mise à jour Windows provoquant des plantages sur les postes.

[MàJ] La panne semble liée à un problème avec une mise à jour de l'antivirus CrowdStrike largement déployé dans les milieux professionnels. Le bug provoque la mise en quarantaine de fichiers indispensables au bon fonctionnement de Windows.

Ce n'est pas la faute de Microsoft, mais de la mise à jour de la base de données de l'antivirus CrowdStrike. Le problème aurait été identique sur les environnements macOS ou Linux si cet antivirus était utilisé et dans le cas présent, Windoze en subit les dommages collatéraux de cette erreur.

L'antivirus de CrowdStrike est utilisé sous macOS et Linux. Le problème ne se pose pas sous ces environnements.

Comme @Lionel l'explique c'est parce que cet antivirus met en quarantaine des fichiers indispensables à Windows que le problème se manifeste sous Windows, et non sous d'autres OS ou environnements puisque n'ayant pas les mêmes nécessaires fichiers. La même bug y est bien présente mais n'affecte pas le fonctionnement normal.

[Pyth]

Et c'est là qu'on se demande pourquoi, tous OS confondus, il n'y a pas un mécanisme permettant de remettre le disque dans l'état où il était avant la mise à jour. Un petit shell ante-démarrage qui, à l'image de ce qui est proposé par M$ - quand on peut démarrer ! -, permet de dire "je veux que mon système soit remis dans la configuration du 17/7/24".
Depuis, grosso modo, quarante ans que la micro informatique est utilisée de manière professionnelle par des non informaticiens, les constructeurs auraient pu normaliser un petit mécanisme de ce type. Avec les disques journalisés, ça devrait pouvoir être possible, avec un peu de bonne volonté !
Gros bénéfice utilisateur, petit travail de dév.

[AleXandre]

Pour une fois qu' un antivirus fonctionne correctement, vous n'êtes jamais content.

[iPantoufle]

Concrètement, CrowdStrike va devoir payer des indemnités ou le contrat de licence les en décharge ?

[Hi_RAM]

Cela impacte aussi Mondial Relay…

[outriaz]

A quand la méga panne qui mettra HS une grosse partie du système et qui mettra une méga pagaille avec plusieurs semaines pour en sortir avec des centaines de milliards envolés ? Et éventuellement avec des dégâts matériel et humains...
Personnellement, je pense qu'elle est inéluctable tant le système est devenu complexe, interconnecté et vulnérable.

Ce qui arrive aujourd'hui, ce ne serait pas une mini répétition ?

[Remy-l42]

C-00000291*.sys, élu à l'unanimité meilleur malware de la décennie.

Et Microsoft Windows, meilleur OS du siècle :

"Un seul fichier vous manque, et tout est fini". (Lamartine)

[iPantoufle]

Pourquoi ne pas affiner le titre de la news après avoir reçu les précisions ? Parce que si je défèque dans un buisson ce n'est pas la faute du buisson,.

[theCapsaga]

Bonjour
Première impression: il va y avoir des têtes qui vont pointer au chomedu sous peu
Ensuite: la responsabilité de l’éditeur d’antivirus peut elle être envisagée ? Des plaintes pourraient elles aboutir a dédommagement ? S’agissant de sommes colossales, qui paierait ?
Bonne fin de journée

[gpv]

"Un seul fichier vous manque, et tout est fini". (Lamartine)

Très belle référence.

[joe75]

Pourquoi ne pas affiner le titre de la news après avoir reçu les précisions ? Parce que si je défèque dans un buisson ce n'est pas la faute du buisson,.

Ben non c'est la nouvelle tendance à la mode...
on fait des titres putaclics et faux...A la limite des fake news ..

C'est vrai qu'est ce que ça coûte de mettre un titre qui retranscrit la vérité

[Phil J. Fry]

Rions en un peu https://xkcd.com/2961/

[weaver]

Bonjour,

Ca n'aurait pas une incidence sur certains SMS de "Messages", cette panne ?
Pour faire simple: Les SMS "Bleus" sont synchronisés sur mes 3 appareils iPhone , iPad et iMac
Pas les "verts" qui ne sont que sur l'iPhone, qui ne sont pas synchro et, apparemment, ne sont pas distribués !

Merci !

Ce message a été modifié par weaver - 20 Jul 2024, 06:30.

[Paul Emploi]

À-priori non, je vois mal Apple utiliser des PC Windows dans son infra, mais je n'exclurais certainement rien définitivement.

Par exemple une de mes banques a totalement merdé sur un transfert très simple hier, et là c'est potentiellement le cas.

[Laszlo Lebrun]

en tout cas Paris brille aux jeux par sa technologie de pointe:
 Panne_Olympische_Spiele.png ( 281.44 Ko ) Nombre de téléchargements : 35


Ce message a été modifié par Laszlo Lebrun - 20 Jul 2024, 14:58.

[Benzebut]

L'antivirus de CrowdStrike est utilisé sous macOS et Linux. Le problème ne se pose pas sous ces environnements.

Comme @Lionel l'explique c'est parce que cet antivirus met en quarantaine des fichiers indispensables à Windows que le problème se manifeste sous Windows, et non sous d'autres OS ou environnements puisque n'ayant pas les mêmes nécessaires fichiers. La même bug y est bien présente mais n'affecte pas le fonctionnement normal.

Cet antivirus est marginal hors de l'environnement Windoze, même s'il faudrait les chiffres précis par répartition sur les différents marchés où il est présent.

Et non le même "bug" n'est pas présent. Si le registre mis à jour de signatures de CrowdStrike contient comme fichier suspect "fichiers indispensables à Windows", cela met à mal le fonctionnement de Windows, mais laisse totalement indifférent les autres environnements. Comme la plupart des signature des virus présents sur Windoze et inoffensifs sur macOS...

C'est bien pour cela que le titre de l'article est erroné. Ce n'est pas chez Microsoft, mais cela touche l'environnement Windoze. Et ce n'est pas un "bug", mais des signatures inappropriées de fichiers dans une mise à jour. Et encore, ce sont peut-être des fichiers indispensables qui avaient été contaminés précédemment et qui ont été traités comme faux positifs actuellement...

Ca n'aurait pas une incidence sur certains SMS de "Messages", cette panne ?
Pour faire simple: Les SMS "Bleus" sont synchronisés sur mes 3 appareils iPhone , iPad et iMac
Pas les "verts" qui ne sont que sur l'iPhone, qui ne sont pas synchro et, apparemment, ne sont pas distribués !

Pour faire simple, dans cette merveilleuse application Message sous iOS, les bulles bleues sont entre iBidules utilisant le format iMessage. Tandis que les bulles vertes sont en dehors et généralement vers Android. Quand aux bulles grises, ce n'est que du texte vers les téléphones qui n'étaient pas intelligents.

Donc en fonction de votre réseau, des fournisseurs d'accès et de vos destinataires, il va y avoir des ralentissements des bulles vertes en fonction de ce dysfonctionnement...

Ce message a été modifié par Benzebut - 20 Jul 2024, 17:23.

[Paul Emploi]

L'antivirus de CrowdStrike est utilisé sous macOS et Linux. Le problème ne se pose pas sous ces environnements.

Comme @Lionel l'explique c'est parce que cet antivirus met en quarantaine des fichiers indispensables à Windows que le problème se manifeste sous Windows, et non sous d'autres OS ou environnements puisque n'ayant pas les mêmes nécessaires fichiers. La même bug y est bien présente mais n'affecte pas le fonctionnement normal.

Cet antivirus est marginal hors de l'environnement Windoze, même s'il faudrait les chiffres précis par répartition sur les différents marchés où il est présent.

Et non le même "bug" n'est pas présent. Si le registre mis à jour de signatures de CrowdStrike contient comme fichier suspect "fichiers indispensables à Windows", cela met à mal le fonctionnement de Windows, mais laisse totalement indifférent les autres environnements. Comme la plupart des signature des virus présents sur Windoze et inoffensifs sur macOS...

C'est bien pour cela que le titre de l'article est erroné. Ce n'est pas chez Microsoft, mais cela touche l'environnement Windoze. Et ce n'est pas un "bug", mais des signatures inappropriées de fichiers dans une mise à jour. Et encore, ce sont peut-être des fichiers indispensables qui avaient été contaminés précédemment et qui ont été traités comme faux positifs actuellement...

Personne n'a écrit que c'était des signatures inappropriées.
Tout ce que l'on sait c'est que des fichiers indispensables à Windows sont mis en quarantaine par l'antivirus de CrowdStrike.
Comme rapporté exactement et justement par @Lionel.

Et il y a un rapport avec Windows, puisque sur Mac, grâce au Framework MDM et End-Point, ce comportement n'aurait jamais été accepté.
macOS protège macOS de multiples façon. Les End Point de sécurité incluant les antivirus protègent le reste sur Mac. Sous Windows c'est la foire!

[Anibé]

Euh… Je n'ai pas CrowdStrike sur ma bécane, mais depuis ce matin gmail coince et refuse d'afficher le contenu de mes boîtes gmail. J'ai rarement vu une excuse aussi minable…
https://i39.servimg.com/u/f39/12/57/14/57/google10.jpg
Toutefois, les mêmes boîtes fonctionnent sans problème sur mon Android…

[linus]

Et c'est là qu'on se demande pourquoi, tous OS confondus, il n'y a pas un mécanisme permettant de remettre le disque dans l'état où il était avant la mise à jour. Un petit shell ante-démarrage qui, à l'image de ce qui est proposé par M$ - quand on peut démarrer ! -, permet de dire "je veux que mon système soit remis dans la configuration du 17/7/24".
Depuis, grosso modo, quarante ans que la micro informatique est utilisée de manière professionnelle par des non informaticiens, les constructeurs auraient pu normaliser un petit mécanisme de ce type. Avec les disques journalisés, ça devrait pouvoir être possible, avec un peu de bonne volonté !
Gros bénéfice utilisateur, petit travail de dév.

J'irai plus loin. Je ne comprends pas que les autorités françaises et européennes de surveillance de l'informatique puisse tolérer l'impossibilité d'un retour en arrière simple. Accepter cette impossibilité c'est faire l'hypothèse que celui développe et pousse la mise-à-jour est infaillible, ce qui n'est possible qu'au ciel ... si Dieu n'a jamais connu de bug. Nous sommes dirigés par des littéraires, ce qui explique peut-être cela, mais il y a aussi des juristes et des économistes (pas de scientifiques) et eux au moins devraient avoir réagi depuis longtemps.

Ce message a été modifié par linus - 21 Jul 2024, 16:50.

[malloc]

Et c'est là qu'on se demande pourquoi, tous OS confondus, il n'y a pas un mécanisme permettant de remettre le disque dans l'état où il était avant la mise à jour. Un petit shell ante-démarrage qui, à l'image de ce qui est proposé par M$ - quand on peut démarrer ! -, permet de dire "je veux que mon système soit remis dans la configuration du 17/7/24".
Depuis, grosso modo, quarante ans que la micro informatique est utilisée de manière professionnelle par des non informaticiens, les constructeurs auraient pu normaliser un petit mécanisme de ce type. Avec les disques journalisés, ça devrait pouvoir être possible, avec un peu de bonne volonté !
Gros bénéfice utilisateur, petit travail de dév.

J'irai plus loin. Je ne comprends pas que les autorités françaises et européennes de surveillance de l'informatique puisse tolérer l'impossibilité d'un retour en arrière simple. Accepter cette impossibilité c'est faire l'hypothèse que celui développe et pousse la mise-à-jour est infaillible, ce qui n'est possible qu'au ciel ... si Dieu n'a jamais connu de bug. Nous sommes dirigés par des littéraires, ce qui explique peut-être cela, mais il y a aussi des juristes et des économistes (pas de scientifiques) et eux au moins devraient avoir réagit depuis longtemps.

L'idée séduisante au premier niveau, mais cela voudrait dire que nos gouvernements ont en charge d'élaborer les spécificités techniques des logiciels informatiques développés par des acteurs privés.
Déjà sur les sujets comme les connecteurs, on voit à quel point c'est délicat même lorsqu'il s'agit d'imposer des quasi-standards existants et matures, alors sur des produits en développement permanent comme des OS, c'est la cata assurée. Je suis content que nos élites soient suffisamment conscientes des limites pour ne pas être tentées d'écrire les specs des OS (sinon il y a Red Star OS qui est développé comme ça).

Ce message a été modifié par malloc - 21 Jul 2024, 16:10.

[Benzebut]

Personne n'a écrit que c'était des signatures inappropriées.
Tout ce que l'on sait c'est que des fichiers indispensables à Windows sont mis en quarantaine par l'antivirus de CrowdStrike.
Comme rapporté exactement et justement par @Lionel.

Et il y a un rapport avec Windows, puisque sur Mac, grâce au Framework MDM et End-Point, ce comportement n'aurait jamais été accepté.
macOS protège macOS de multiples façon. Les End Point de sécurité incluant les antivirus protègent le reste sur Mac. Sous Windows c'est la foire!

Et comme déjà mentionné, ce n'est pas chez Microsoft mais une application pour Windoze, ni un "bug" de l'antivirus CrowdStrike car il n'y a pas eu de mise à jour de l'application, mais en l'état la mise en quarantaine de fichiers indispensables à Windoze. Soit des faux positifs dans la liste des signatures qui était inappropriée...

Le phénomène sous macOS aurait été identique. Non pas sur les fondations qui sont par définition protégées (visibles au démarrage avec la combinaison Commande + V), mais bien dans l'ouverture des sessions. Ainsi, la mise en quarantaine de fichiers ".plist" pour les démons et agents de lancement d'une session empêchera le fonctionnement normal, voire simplement de démarrer macOS. Ou tout autre fichier requis en tâche de fond par macOS d'ailleurs...

La formulation la plus appropriée serait donc en fonction des derniers éléments concernant ce blocage :

L'environnement Windows de Microsoft est touché par une panne mondiale affectant banques, compagnies aériennes et ferroviaires partout dans le monde. Des médias à l'image de TF1 et Canal+, sont également icontactés ainsi qu'un nombre considérables d'entreprises.

Si les détails de ce problème ne sont pas encore officiellement connus il semble que ce soit lié à une mise à jour du fichier des signatures de l'antivirus CrowdStrike largement déployé dans les milieux professionnel, qui mettrait en quarantaine des fichiers indispensables à Windows et entrainant un blocage du démarrage de Windows (confirmé depuis par le CERT).

[Laszlo Lebrun]

Et c'est là qu'on se demande pourquoi, tous OS confondus, il n'y a pas un mécanisme permettant de remettre le disque dans l'état où il était avant la mise à jour.

Alors Apple aurait du mal à vendre des Macbooks avec des SSD tout rikiki...

[linus]

"Un seul fichier vous manque, et tout est fini". (Lamartine)

Très belle référence.

Ah bon ... il utilisait Windows, Lamartine ?

[ericse]

ni un "bug" de l'antivirus CrowdStrike car il n'y a pas eu de mise à jour de l'application, mais en l'état la mise en quarantaine de fichiers indispensables à Windoze. Soit des faux positifs dans la liste des signatures qui était inappropriée...

Le correctif communiqué presque immédiatement par Crowdtrike consiste à effacer un fichier de configuration puis rebooter le PC, on voit mal comment ce serait compatible avec une mise en quarantaine erronée de fichiers Windows ?

En fait c'est ce fichier de configuration qui est erroné et fait planter le pilote noyau de Crowdstrike lorsqu'il est lu et appliqué sans vérification, le supprimer permet au PC de redémarrer normalement. Après libre à chacun de qualifier cette absence de vérification de la cohérence d'un fichier de configuration de bug ou de fonctionnalité

[Benzebut]

Et c'est là qu'on se demande pourquoi, tous OS confondus, il n'y a pas un mécanisme permettant de remettre le disque dans l'état où il était avant la mise à jour. Un petit shell ante-démarrage qui, à l'image de ce qui est proposé par M$ - quand on peut démarrer ! -, permet de dire "je veux que mon système soit remis dans la configuration du 17/7/24".
Depuis, grosso modo, quarante ans que la micro informatique est utilisée de manière professionnelle par des non informaticiens, les constructeurs auraient pu normaliser un petit mécanisme de ce type. Avec les disques journalisés, ça devrait pouvoir être possible, avec un peu de bonne volonté !
Gros bénéfice utilisateur, petit travail de dév.

L'option existe pour les OS modernes et cela s'appelle les instantanés (ou snapshots), qui font en continue un instantané de l'environnement en l'état avant les changements. Mais ce n'est vraiment efficace que lorsque fait sur un support physique différent, car si cela reste sur le même disque dur et que le démarrage devient impossible...

J'irai plus loin. Je ne comprends pas que les autorités françaises et européennes de surveillance de l'informatique puisse tolérer l'impossibilité d'un retour en arrière simple. Accepter cette impossibilité c'est faire l'hypothèse que celui développe et pousse la mise-à-jour est infaillible, ce qui n'est possible qu'au ciel ... si Dieu n'a jamais connu de bug. Nous sommes dirigés par des littéraires, ce qui explique peut-être cela, mais il y a aussi des juristes et des économistes (pas de scientifiques) et eux au moins devraient avoir réagi depuis longtemps.

Ce n'est pas une question pour les autorités mais du simple bon sens. Les DSI concernées ne devraient autoriser les mises à jour qu’après les avoir testées en interne sur leurs configurations et ne les déployer qu'après avoir fait les sauvegardes requises pour leurs utilisateurs. Ce qui inclut également les DSI de l'Etat, ceci afin d'éviter ces écrans bleus que l'on a pu apercevoir un peu partout dans Paris ces jours...