L’incident CrowdStrike offre aux adversaires une feuille de route des vulnérabilités américaines
(nytimes.com)Qu’est-il arrivé à la résilience numérique ?
-
Cause de la catastrophe numérique
- L’effondrement numérique qui a touché vendredi des aéroports, des hôpitaux et des chaînes de télévision a été provoqué par un bug dans une mise à jour logicielle
- Il ne s’agissait pas d’une action de forces hostiles, mais d’un incident qui a révélé les vulnérabilités des États-Unis
-
Pourquoi la restauration est-elle difficile ?
- L’administration Biden simulait des scénarios d’attaque menés par des hackers russes et chinois
- Mais cet incident-ci est dû à une simple erreur humaine
- Dans des systèmes réseau complexes, une petite erreur peut provoquer un problème majeur
-
Réaction des cybercombattants
- Ils se sont dits soulagés qu’il ne s’agisse pas d’une attaque de niveau étatique
- Des malwares comme Volt Typhoon, lié à la Chine, sont difficiles à détecter et encore plus difficiles à supprimer
- Cet incident révèle une nouvelle fois les limites de la cyberrésilience
-
Coopération entre le gouvernement et le secteur privé
- Ces dernières années, les États-Unis ont commencé à traiter sérieusement les enjeux de cybersécurité
- Des agences gouvernementales comme le FBI, la NSA et la CISA coopèrent avec des entreprises privées pour partager les vulnérabilités et alerter sur les hackers
- Le président Biden a mis en place un conseil d’examen de la cybersécurité chargé d’analyser les incidents majeurs
Le résumé de GN⁺
- Cet incident est un effondrement numérique provoqué par une simple erreur dans une mise à jour logicielle
- Il met en lumière les vulnérabilités des systèmes réseau complexes et montre les limites de la cyberrésilience
- La coopération entre les pouvoirs publics et le secteur privé est essentielle, et un système d’examen des incidents majeurs est nécessaire
- Parmi les produits ou projets aux fonctions similaires figurent des logiciels de cybersécurité comme CrowdStrike
1 commentaires
Avis sur Hacker News
Je trouve intéressant que, parmi les analyses vues dans les médias, presque personne ne dise qu’il ne faudrait tout simplement pas utiliser, dans une infrastructure, un OS nécessitant de fréquents correctifs de sécurité
J’ai aussi vu une photo d’un écran bleu sur un panneau d’affichage d’aéroport listant les vols, et je me demande pourquoi ce genre de système n’est pas construit sur Linux ou OpenBSD
La sécurité ne devrait pas être une fonctionnalité ajoutée après coup, mais être intégrée dès le départ ; aujourd’hui, toute une industrie s’est créée pour plaquer de la sécurité sur Windows, mais cela ne fonctionne toujours pas correctement
En réalité, beaucoup ont commencé sur DOS ou OS/2 avant de passer à NT4, et l’histoire, l’inertie, l’habitude, les coûts et la facilité de support jouent tous un rôle
La sécurité n’est pas un produit mais un processus, et les distributions ont elles aussi besoin de mises à jour fréquentes, même s’il est possible de réduire le périmètre des logiciels installés
Un dispositif d’affichage dans un aéroport n’a probablement pas besoin de codecs comme MPEG2 ou VP1
Dans ce type de systèmes spécialisés, on trouve aussi beaucoup de logiciels bricolés dans un garage : même si l’on veut du SAML/OIDC, ils ne prennent en charge que du LDAP en clair ou, au mieux, Active Directory ; et même si l’on veut une version récente d’Apache Tomcat, le fournisseur n’étant pas capable de résoudre les problèmes, il ne « prend en charge » qu’une version vulnérable vieille de trois ans
Si l’hypothèse selon laquelle l’écran bleu de CrowdStrike venait d’un pointeur nul est correcte, il aurait fallu utiliser un langage sûr, et dans ce cas il me semble facile d’imputer la responsabilité à CrowdStrike
Microsoft a fourni le fusil à chevrotine ; ne pas pointer le canon vers soi relève de la responsabilité du fournisseur
https://news.ycombinator.com/item?id=41018029
Cela signifie que des problèmes sont signalés et que les risques sont atténués
La sécurité n’est pas une case à cocher, mais plutôt un processus sans fin, puisque l’environnement change en permanence ; un OS qui ne reçoit pas de mises à jour, ou qui n’est pas mis à jour souvent, n’est pas meilleur
Ce que l’on veut, ce sont des mises à jour qui ne rendent pas l’OS instable, et derrière cela se trouvent d’innombrables couches de décisions accumulées par chaque organisation dans l’exploitation de ces équipements
La sécurité doit être conçue en couches et intégrée
Ce n’est pas tant que « cela ne fonctionne pas » : si tout est resté calme pendant longtemps, c’est bien que cela a fonctionné, et les gens ne remarquent surtout que les incidents qui échouent de façon visible
La plupart savent utiliser des ordinateurs Windows, les équipes de support IT poste de travail sont habituées à administrer Windows, et les équipes de maintenance des bâtiments peuvent aussi aider dans une certaine mesure
Microsoft facilite la gestion de parcs d’ordinateurs, propose ses propres formations et certifications, ainsi qu’une multitude de formations tierces
Windows est de fait la machine standard en entreprise, et la plupart des sociétés de signalétique utilisent aussi Windows
Il n’est pas facile de trouver des gens qui connaissent BSD
Une grande marque est une bonne cible, mais un projet open source comme OpenBSD ne l’est pas
Même avec plusieurs millions de dollars de pertes, il semble peu probable qu’un CTO soit licencié pour avoir choisi Windows+CrowdStrike plutôt que Linux/BSD
Le dicton « personne n’a jamais été viré pour avoir acheté IBM » reste vrai, du moins dans le monde de l’entreprise
Je me demande s’il y a jamais eu une « résilience numérique », et si oui, à quelle époque.
Ce chaos n’a pas été provoqué par un adversaire, mais il a en quelque sorte fourni une carte des vulnérabilités américaines à un moment critique.
Les acteurs en mauvais termes avec les États-Unis sont très probablement déjà en train d’établir et de stocker ce genre de cartes de vulnérabilités.
Il est à la fois surprenant, mais aussi évident, que les États-Unis et d’autres pays adoptent une attitude aussi relâchée face à ces menaces et ne renforcent pas davantage leurs failles.
Le coût joue un rôle, mais le facteur le plus important me semble être la commodité.
Si l’on renforce les systèmes contre les vulnérabilités, ils deviennent moins pratiques et moins faciles à utiliser, et les gens protestent aussitôt.
Quand Microsoft a lancé Windows, en particulier Windows 95, pour séduire les utilisateurs non spécialistes, l’entreprise a fait en sorte qu’un simple clic rende tout facile, sans tenir suffisamment compte de la sécurité.
Lorsque les virus, vulnérabilités et intrusions sont devenus incontrôlables, des restrictions ont été introduites, et les utilisateurs ont perdu une partie de la liberté à laquelle ils s’étaient habitués.
Microsoft a habitué le monde à un mode de fonctionnement laxiste, et toute tentative de revenir en arrière s’est depuis heurtée à la résistance des utilisateurs.
Nous sommes aujourd’hui coincés dans un énorme problème qui était facilement prévisible même avant la sortie de Windows 95, et il sera extrêmement difficile à corriger.
On ne récompense pas les entreprises pour exploiter des systèmes informatiques sûrs, redondants et fiables ; on les récompense lorsque le chiffre tout en bas du compte de résultat dépasse les attentes fixées 90 jours plus tôt par un analyste de Lower Manhattan.
Aux États-Unis, comme les entreprises prennent en charge la majeure partie du fonctionnement de la société, les systèmes critiques sont eux aussi conçus de cette manière.
Cette affaire pourrait finir au tribunal, et CrowdStrike pourrait devoir être rachetée pour indemniser les dommages causés à ses clients depuis le 19 juillet, mais cela prendra des années, et les plaignants pourraient ne recevoir que des dommages symboliques, voire rien du tout.
D’ici là, le marché se sera couvert, aura capturé les régulateurs, aura isolé les pertes, et sera simplement passé à autre chose.
Les actifs seront rachetés à bas prix par ceux qui y verront une « destruction créatrice », sans se soucier du fait que des vies humaines ont été mises en danger.
Et le cycle continuera.
Presque toutes les infrastructures critiques y ont subi des cyberattaques pendant des années ; des systèmes sont tombés, il y a eu des pannes, mais ils se sont adaptés.
Parfois en revenant à des solutions low-tech, parfois en construisant de nouveaux systèmes robustes et en éliminant les anciens.
Quand le problème est concret et immédiat, il est aussi beaucoup plus facile à justifier politiquement.
Si je me souviens bien, l’une des premières mesures prises par les États-Unis lorsque les tensions ont commencé à monter a été d’envoyer une équipe d’experts en cybersécurité de la NSA pour aider à verrouiller les systèmes et à éliminer les intrusions.
Parce qu’il est facile de marquer des points et de donner l’impression que l’on fait quelque chose.
La défense, en revanche, consiste en un travail fastidieux : protéger d’innombrables vieux endpoints, ou convaincre d’immenses entreprises très rentables de faire quelque chose qui les rend moins vulnérables mais aussi moins profitable.
L’époque où les installations logicielles restaient dans des réseaux privés, où les machines et les topologies avaient des architectures fondamentalement différentes, et où l’on utilisait une diversité de logiciels même de qualité médiocre, était bien plus robuste qu’aujourd’hui.
Désormais, une seule panne d’un service comme AWS peut arrêter beaucoup d’entreprises, et une mauvaise mise à jour comme celle-ci affecte immédiatement tout le monde, avec un effet domino.
Autrefois, ce genre d’événement n’était pas courant.
Nous avons concentré notre architecture collective autour de quelques outils présentés comme des bonnes pratiques, ce qui en fait un point de défaillance unique non seulement pour les attaques numériques, mais aussi pour les mauvaises configurations, les échecs de gestion, les faillites d’entreprise, les ingénieurs épuisés et mal payés, ou encore l’optimisation.
Je ne suis pas d’accord avec l’idée que le renforcement des systèmes les rend nécessairement moins pratiques.
Au cours des dix dernières années, le secteur de la sécurité a plutôt évolué dans la direction inverse, en comprenant qu’une sécurité trop stricte pousse les utilisateurs à chercher des contournements simples et prévisibles, ce qui affaiblit la posture de sécurité globale.
Il suffit de regarder l’évolution des recommandations du NIST sur les mots de passe.
Si l’on impose un changement tous les 90 jours, l’interdiction de réutiliser les 10 derniers mots de passe et des exigences de complexité, les utilisateurs choisissent la longueur minimale, appliquent un schéma prévisible et se contentent d’incrémenter un chiffre à la fin.
Les anciens hashes de mots de passe conservés pour vérifier la réutilisation deviennent, en cas de compromission, un fardeau qui révèle aux attaquants les schémas propres à chaque utilisateur.
Aujourd’hui, on déploie beaucoup plus de sécurité utilisable, presque ou totalement transparente pour l’utilisateur final.
Les CAPTCHA des anciens sites web étaient fréquents, médiocres et faciles à contourner, tandis que les solutions de CAPTCHA de Cloudflare et Google sont assez transparentes et bien plus efficaces.
Il est vrai que le laxisme global et persistant de Microsoft a contribué à de mauvaises pratiques de sécurité, mais cet écosystème avait quelque chose d’étrange en raison de son environnement intrinsèquement instable, et il n’a presque jamais constitué le socle central de l’infrastructure Internet, hormis un bref pic.
Malheureusement, il était central dans l’infrastructure d’entreprise, et il semble n’avoir jamais reçu le mémo sur la sécurité utilisable ou transparente.
J’espère qu’ils y travaillent maintenant, même en coulisses.
De façon tordue, CrowdStrike aura en quelque sorte imposé à la civilisation occidentale un test grandeur nature de reprise après sinistre et de résilience
Une vraie attaque ne serait pas annulée en moins d’une heure
CrowdStrike n’est pas la seule entreprise à disposer d’un accès massif à autant d’entreprises, d’administrations et de ressources
Si un employé interne déployait un effaceur de disque détruisant non seulement Windows, mais aussi des machines Linux et macOS, les systèmes touchés pourraient ne jamais être récupérés
Dans ce cas, il faudrait des mois pour remettre en ligne les systèmes critiques, et l’économie mondiale pourrait s’arrêter encore plus brutalement que pendant le COVID
La question est bien sûr « pourquoi CrowdStrike n’a-t-il pas fait mieux », mais plus largement : pourquoi la technologie des systèmes critiques n’est-elle pas plus robuste face à l’erreur ou au piratage d’un seul fournisseur ?
Par exemple, si au lieu d’une boucle de démarrage, un effaceur de disque avait supprimé tous les disques de boot, on peut se demander ce qui empêche de préconfigurer des images de récupération PXE ou des images de sauvegarde pour les serveurs, distributeurs automatiques, kiosques, terminaux de paiement, etc.
Même si l’UEFI et le BIOS étaient effacés, il ne semble pas techniquement impossible de mettre en place un mécanisme de récupération automatique
Si l’on n’a jamais fait d’analyse des causes racines dans la réponse aux incidents IT ou de sécurité, on peut comprendre qu’on n’aille pas plus loin dans la réflexion ; mais alors que rançongiciels, effaceurs de disque et risques de chaîne d’approvisionnement sont omniprésents depuis plus de dix ans, c’est précisément ce type d’analyse des causes racines qui manquait
Chercher un responsable et se mettre en colère est facile, mais cela ne règle pas les causes profondes
Prendre des décisions techniques difficiles, ne pas gâcher une bonne crise et imposer des investissements dans des technologies résilientes, voilà ce qui traite réellement la cause profonde de ce problème et de ceux qui se répètent
À un certain point, on peut rendre ces choses irrécupérables, mais ce n’est pas vraiment le problème à résoudre
En allant un cran plus loin, l’accent mis sur la sécurité se fait au détriment de la discussion sur la résilience
En particulier sur le plan financier, la résilience est bien plus importante que la sécurité
C’était un secret de Polichinelle depuis des décennies
Il n’y a qu’une poignée de grands fournisseurs d’OS et de navigateurs, ils publient des correctifs en continu, et la chaîne d’approvisionnement de la plupart des logiciels est tellement vaste qu’il est pratiquement impossible de tout auditer, et difficile de certifier qu’un logiciel est réellement sûr
Les logiciels de « sécurité » ne font qu’élargir la surface d’attaque
Tout le monde dans le secteur le savait déjà ; il est intéressant de voir le NYT rattraper son retard
Pour une entreprise hors des États-Unis, utiliser ce service CrowdStrike me semble délirant
Le FBI peut contraindre CrowdStrike, via un mandat secret, à injecter une DLL dans l’infrastructure
https://en.wikipedia.org/wiki/United_States_Foreign_Intelligence_Surveillance_Court
Si j’ai bien compris, le gouvernement américain peut ordonner à une entreprise de remettre des données, mais il ne peut pas la forcer à effectuer un travail concret
C’était aussi le cœur du conflit entre le gouvernement et Apple après la fusillade de San Bernardino, et Apple avait le droit légal de refuser d’apporter son aide
https://en.wikipedia.org/wiki/Apple%E2%80%93FBI_encryption_dispute
Le fait que la NSA et la CIA soient allées jusqu’à intercepter des livraisons d’ordinateurs portables et de téléphones pour y intervenir elles-mêmes suggère aussi qu’elles ne peuvent pas imposer ce genre d’action
Hier, j’ai dit à ma famille que si nous entrions dans une vraie guerre, tout cesserait de fonctionner en moins de 8 heures
On reviendrait au cash et à la paperasse, mais ce serait douloureux et lent
https://cbr.ru/eng/press/event/?id=18776
https://bank.gov.ua/en/news/all/drugiy-rik-povnomasshtabnoyi-viyni-obsyagi-bezgotivkovih-rozrahunkiv-zrostayut
Les perturbations ont surtout été limitées aux infrastructures physiques touchées par des attaques de missiles, et la Russie n’est pas particulièrement faible dans la guerre numérique
Ce n’est pas comme s’il manquait de hackers hostiles
Ce qu’il faut, c’est de la « diversité », mais pas au sens de diversité des groupes marginalisés, bien sûr
Si davantage d’équipements critiques faisaient tourner des OS différents, les dégâts auraient été limités
On parle généralement du risque de « monoculture » à propos des plantes, mais le même risque s’applique aux infrastructures informatiques
Le fait même que la civilisation ne se soit pas effondrée prouve qu’il existe énormément d’infrastructures qui n’utilisent ni Windows ni CrowdStrike
Pour le dire un peu brutalement, les entreprises touchées par CrowdStrike partagent aussi une part de responsabilité dans ce qui s’est passé hier
CrowdStrike n’est même pas le numéro un de ce secteur, mais cela s’est produit à cause des effets de réseau
Le nombre de plateformes nécessaire pour obtenir ce niveau de sûreté serait irréaliste
À l’échelle mondiale, des entreprises utilisant CrowdStrike sur des machines Windows ont subi une panne informatique majeure.
CrowdStrike est vendu comme un logiciel anti-piratage, mais en pratique c’est un logiciel populaire utilisé par les dirigeants de niveau C pour surveiller le comportement des employés.
Il est installé avec des privilèges très élevés et, par conception, il est difficile à corriger ou à supprimer.
Je me demande si cet incident enseignera vraiment quelque chose à quelqu’un.
Microsoft a annoncé que 8,5 millions de machines avaient été touchées, ce qui est difficile à croire, mais quand on voit les efforts nécessaires pour réagir même dans une organisation de taille relativement moyenne comme la nôtre, des questions très simples se posent, du genre : « Comment accéder à ces machines alors que la moitié des employés sont en télétravail ? »
La réponse a toujours été : « Combien cela coûte-t-il de le faire ? », mais désormais il y a aussi le chiffre d’en face : « Combien cela coûte-t-il de ne pas le faire ? »
Des captures d’écran seraient bienvenues.
Je ne suis pas d’accord avec le passage où, tout en disant qu’« il n’y a pas zéro espoir », Kent Walker de Google affirme que l’IA permet des progrès significatifs dans l’identification des vulnérabilités, la correction des failles et l’amélioration de la qualité du code.
Si le seul espoir repose sur de vagues promesses autour de l’IA, alors, à mon avis, il n’y a en réalité aucun espoir.
C’est un peu comme dire que le meilleur moyen d’empêcher les fusillades dans les écoles est d’armer les enseignants.
Je ne pense pas que l’IA aurait mieux convaincu la direction de CrowdStrike qu’une stratégie de déploiement progressif valait son coût.
Ce genre de problème est causé par des humains, pas par la technologie ; ajouter encore plus de technologie ne le résoudra donc pas.