BSOD Mondial : La petite ligne de code qui a coûté des milliards
Oubliez les hackers russes ou les syndicats du cybercrime. Le véritable ennemi de l'économie mondiale, ce vendredi, c'était une simple mise à jour de sécurité. On vous emmène en coulisses, là où les DSI ne dorment plus.
Il était environ 6 heures du matin, heure de Paris, quand les téléphones rouges ont commencé à vibrer dans les comités de direction. Pas pour une attaque nucléaire, ni pour une pandémie. Non, pour du bleu. Ce bleu électrique, statique, terrifiant, que l’on pensait avoir relégué aux années 90 : le Blue Screen of Death.
Dans le milieu, on s'est tout de suite regardé avec un mélange d'horreur et de cynisme. Ce n'était pas une cyberattaque sophistiquée (désolé pour les théoriciens du complot qui s'excitaient déjà sur Twitter). C'était bien plus bête. Et bien plus inquiétant.
« L'ironie suprême ? C'est le logiciel censé nous protéger de l'apocalypse numérique qui a déclenché l'apocalypse numérique. »
Laissez-moi vous dire ce qui se chuchote dans les couloirs des QG de la cybersécurité. Le coupable, CrowdStrike, est un géant. Le genre de boîte que vous ne connaissez pas, mais qui tourne en tâche de fond sur l'ordinateur de votre banquier, du pilote de votre avion et du médecin qui gère vos dossiers. Leur logiciel, Falcon, a des droits que même vous, propriétaire de votre PC, n'avez pas. Il vit dans le "Kernel", le cœur du réacteur de Windows.
Vendredi, ils ont poussé une mise à jour. Un petit fichier de définition, censé repérer de nouvelles menaces. Sauf que le fichier était corrompu. Résultat ? Windows a essayé de le lire, a paniqué, et s'est mis en sécurité (le fameux écran bleu) pour ne pas exploser.
👀 Pourquoi Windows laisse-t-il faire ça ?
C'est une vieille histoire de compromis. Pour être efficace, un antivirus doit voir tout ce qui se passe, avant même que le système d'exploitation ne démarre complètement. Microsoft a (sous la pression des régulateurs européens il y a quelques années) été obligé de laisser l'accès au noyau à des tiers comme CrowdStrike. Si l'invité trébuche dans le noyau, il entraîne tout le système dans sa chute.
Le vrai cauchemar n'est pas la panne, c'est la réparation. J'ai eu des admins système au téléphone : ils sont au bord des larmes. Pourquoi ? Parce qu'on ne peut pas régler ça à distance. Si la machine ne démarre pas et ne se connecte pas au réseau, il faut une intervention physique. Un humain devant chaque écran, démarrant en mode sans échec, supprimant le fichier C-00000291*.sys à la main.
Imaginez faire ça sur 40 000 postes dans une multinationale. (Bon courage pour trouver la clé BitLocker de chaque machine, d'ailleurs).
On a construit un château de cartes technologique où la redondance n'existe pas vraiment, car tout le monde utilise les mêmes briques de sécurité. Une monoculture logicielle. Aujourd'hui, c'était CrowdStrike. Demain ? Peut-être une mise à jour cloud d'Amazon ou un certificat expiré chez Google. La fragilité est systémique, et ce vendredi bleu n'était qu'un avertissement sans frais (enfin, sauf pour le cours de bourse de CrowdStrike qui a piqué du nez plus vite qu'un avion cloué au sol).
Geek, hacker et prophète à temps partiel. Je vous explique pourquoi votre grille-pain va bientôt dominer le monde. L'IA, la crypto et le futur, c'est maintenant.
