Panique à bord. Des aéroports, des banques, des hôpitaux, l'organisation des Jeux olympiques, des médias et des milliers d'autres entreprises ont été impactées par une panne informatique mondiale ce vendredi 19 juillet. Toutes se sont trouvées dans l'incapacité de démarrer leurs machines, paralysant ou perturbant certains services, parfois critiques. Un incident qui pose de nombreuses questions auxquelles La Tribune a tenté de répondre.

Que s'est-il passé ?

Si la panne a d'abord été estampillée « Microsoft », son origine vient en réalité de l'entreprise cyber Crowdstrike, et plus particulièrement de son logiciel Falcon, un ERD (endpoint detection response) dans le jargon cyber, qui protège les points d'accès entre ordinateurs et réseaux d'entreprise. Autrement dit : « un antivirus ++ », comme le vulgarise Antonin Hily, directeur des opérations de l'entreprise cyber Sesame IT. Crowdstrike a déployé une mise à jour le 19 juillet. Sauf que l'un des fichiers de cette mise à jour était mal formaté. Au moment du déploiement, ce module défaillant a provoqué la panne de tous les ordinateurs et de tous les autres équipements (machines de paiement, de retrait, etc.) connectés à un serveur Microsoft Windows utilisant le logiciel de Crowdstrike. La mise à jour ne concerne que Microsoft. Linus et Mac n'ont pas été affectés par la panne, a tenu à préciser George Kurtz, PDG de Crowdstrike sur X.

« Pour le moment, nous ne savons pas pourquoi ce module était défaillant. Mais la question, c'est surtout pourquoi ils ne l'ont pas détecté ? », se demande Antonin Hilly. En effet, lors d'une mise à jour, les éditeurs de logiciels procèdent normalement à des séries de tests dits de « mise en production » pour vérifier notamment que la mise à jour ne cause pas de « régression », c'est-à-dire qu'elle n'introduit pas de défaut. « Les logiciels comme celui de Crowdstrike sont très complexes et comprennent de nombreux modules différents. Cela peut expliquer pourquoi l'un d'entre eux a échappé à la vigilance des développeurs », précise néanmoins le directeur des opérations de Sesame IT.

Lire aussi🔴 En direct - Panne informatique mondiale : « le problème a été identifié, isolé et un correctif a été déployé » annonce CrowdStrike

Fred Simon, co-fondateur et architecte en chef de JFrog, spécialiste de la chaîne d'approvisionnement des logiciels, ajoute que, compte tenu du nombre grandissant de mises à jour, la plupart d'entre elles sont désormais effectuées et vérifiées de manière automatisée par des programmes informatiques de plus en plus performants. « Pour moi, l'erreur est probablement humaine. Il est possible qu'un informaticien ait désactivé la vérification automatique, peut-être pour aller plus vite, estimant que la mise à jour devait avoir lieu rapidement pour des raisons de sécurité, et a fait un compromis sur la stabilité de la mise à jour », estime-t-il.

Pourquoi l'effet est si massif ?

Des aéroports aux chaînes de télévision, de l'Europe à l'Australie, l'événement a eu un impact retentissant. Troy Hunt, célèbre consultant spécialiste de la cybersécurité, a déclaré sur X que cela représente « la plus grande panne informatique de l'histoire ». « C'est en fait ce que nous craignions tous avec le passage à l'an 2000, sauf que cela s'est réellement produit cette fois-ci », a-t-il ajouté.

Et pour cause, Microsoft et Crowdstrike sont massivement utilisés à travers le monde. Crowstrike, qui reste méconnu du grand public, est principalement utilisé par des entreprises. Cela explique pourquoi les utilisateurs particuliers ne sont pas touchés par cette panne. En revanche, 29.000 sociétés l'utilisent, dont de grands groupes et des services critiques comme des services de transports et des hôpitaux.

Antonin Hilly note également qu'il y a un effet psychologique important lié à l'écran bleu auquel les victimes sont confrontées. Cet écran bleu a été baptisé « Blue screen of death » (écran bleu de la mort), ou BSOD dans le jargon informatique, depuis une présentation malheureuse de Bill Gates en 1998. Il produit toujours un effet de panique, note l'expert. « On a l'impression que plus rien ne fonctionne, que tout est perdu. Or, en réalité, il y a tout de même des moyens de contourner la panne. »

Lire aussiLe transport mondial touché par la panne, la France relativement épargnée

Peut-il s'agir d'une cyberattaque ?

Pour le moment, rien ne le prouve, a déclaré l'Agence nationale de la sécurité des systèmes d'information (Anssi) à La Tribune. Crowdstrike affirme de son côté que l'origine n'est ni une cyberattaque, ni une faille de sécurité.

« La piste la plus probable pour le moment est l'erreur humaine malencontreuse. Mais on ne peut pas exclure totalement la cyberattaque », estime toutefois Antonin Hilly. L'expert se souvient du cas de SolarWinds en 2019, une cyberattaque majeure, reconnue comme l'une des plus sophistiquées à ce jour, dont l'origine était une mise à jour vérolée intentionnellement par des cybercriminels. Sesame IT, qui possède une entité spécialiste des menaces cyber, est en train d'explorer les forums où ont l'habitude de se rendre les cybercriminels pour voir si l'attaque fait l'objet de conversations ou de revendications.

Lire aussiL'attaque cyber Solarwinds contre les Etats-Unis : saura-t-on jamais si c'en est fini ? Non !

Cependant, pour Fred Simon, il est peu probable que des attaquants aient provoqué la panne de Microsoft uniquement pour afficher « blue screen of death » (BSOD). « Personne ne gagne quoi que ce soit dans cette histoire », analyse-t-il.

La panne dévoile-t-elle un problème plus systémique ?

Il peut sembler étonnant qu'un acteur aussi majeur que Microsoft ne procède pas à des vérifications dans le cas d'une mise à jour d'un partenaire impactant directement son système. Contrairement à Apple qui valide l'ensemble des mises à jour des applications, Microsoft ne fait pas ce choix. « C'est un sujet qui peut faire débat, mais compte tenu du grand nombre d'applications connectées à Microsoft, cette vérification systématique ne serait sans doute pas tenable », observe Antonin Hilly.

Sur les réseaux sociaux, certains défenseurs de la souveraineté numérique remarquent par ailleurs que cette panne illustre notre grande dépendance au géant américain Microsoft.

L'incident nous fait également prendre conscience, estime Fred Simon, de la complexité et du nombre de mises à jour que nos équipements doivent exécuter. « Auparavant, les utilisateurs devaient procéder à ces mises à jour manuellement. Aujourd'hui, elles se font de manière automatique. Compte tenu de ce volume, il faut reconnaître que la plupart d'entre elles se passent de manière fiable », rappelle-t-il.

En outre, pour Samuel Hassine, PDG de l'éditeur Cyber Filigran, Crowdstrike n'est pas le seul responsable. La panne montre que les entreprises n'ont pas une bonne hygiène de « mise à jour de leur logiciel ». Normalement, les entreprises devraient procéder à ces mises à jour de manière progressive : sur 10 % de leurs machines d'abord, puis l'ensemble ensuite. Cette méthode permettrait d'éviter qu'un incident n'impacte l'ensemble de leur parc. Cependant, par défaut, les logiciels comme Crowdstrike se mettent à jour automatiquement sur l'ensemble des ordinateurs, et les entreprises conservent cette configuration.

La panne peut-elle durer ?

Il existe déjà un moyen de contourner la panne. Crowdstrike a publié ce vendredi un correctif permettant de supprimer la mise à jour. Cependant, pour le lancer, il faut tout de même procéder à un certain nombre de manipulations, dont démarrer l'ordinateur en « safe mode », « ce qui n'est pas accessible à tout le monde », précise Fred Simon de JFrog. La reprise des activités risque donc de prendre un certain temps.

Vasileios Karagiannopoulos, un chercheur en cybersécurité à l'Université de Portsmouth interviewé par le Financial Times, table sur plusieurs semaines. Cependant, plusieurs entreprises, notamment des compagnies aériennes, ont fait savoir qu'elles avaient déjà résolu le problème. The Verge affirme pour sa part que, dans certains cas, plusieurs redémarrages de l'ordinateur peuvent suffire à contourner le problème.