Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Panne informatique mondiale : quelles leçons retenir ?

août 2024 par CERT Synetis

L’équipe CERT Synetis contextualise et décrypte les menaces pour une meilleure compréhension des acteurs malveillants de notre siècle.
Ce mois-ci, nos experts se sont concentrés sur la panne informatique mondiale causée par une mise à jour de l’EDR Crowdstrike. Voici quelques informations importantes sur cet incident :

• Contexte de la panne : vendredi 19 juillet, une panne mondiale a provoqué l’inaccessibilité de 8,5 millions de postes de travail sous Microsoft dans de nombreuses entreprises, y compris des aéroports en Inde, des hôpitaux aux Pays-Bas, les gouvernements de la Nouvelle-Zélande et de l’Australie, ou encore la Bourse de Londres.
• Conséquences : la mise à jour défectueuse a entraîné l’apparition d’écrans bleus ("blue screen of death" - BSOD) sur les ordinateurs affectés et entamé une “boucle de redémarrage”.
• Correctifs : bien que Crowdstrike a rapidement proposé un correctif, l’application nécessite l’intervention de techniciens pour passer chaque poste en mode sans échec avant d’appliquer le correctif.
• Exploitation par des cybercriminels : les hackers ont profité de la situation pour créer des domaines malveillants en usurpant l’identité de Crowdstrike. Ces faux sites proposaient des correctifs factices, qui, une fois installés, introduisent des logiciels malveillants dans les systèmes des victimes.
• Distribution de malwares : des emails de phishing ont aussi été envoyés en imitant les communications de support de CrowdStrike. L’objectif : inciter les utilisateurs à télécharger des mises à jour malveillantes ou à fournir des informations sensibles.
• Par exemple, en Amérique du Sud, des campagnes de phishing ont distribué le RAT (Remote Access Trojan) Remcos via un fichier ZIP malveillant nommé "crowdstrike-hotfix.zip". Ce fichier contenait un exécutable qui, une fois lancé, installait le RAT pour permettre un accès à distance non autorisé aux systèmes infectés.
Pour éviter tout incident pouvant impacter la production, voici quelques recommandations :
• Tester les mises à jour des équipements de sécurité dans un environnement de “pré-production” avant de les appliquer sur la production ;
• Mettre en place des mécanismes de rollback pour rétablir rapidement l’état précédent du système en cas de problème avec une mise à jour.


Voir les articles précédents

    

Voir les articles suivants