Lors de la panne mondiale informatique ce 19 juillet 2024, les administrateurs informatiques du monde entier étaient confrontés au problème majeur sur les ordinateurs. Une situation causée par une mise à jour défectueuse ce même jour du fournisseur de cybersécurité CrowdStrike. Ce qui a mis hors ligne des milliers de PC et de serveurs avec une erreur d’écran bleu de la mort (BSOD). Alors comment résoudre ce problème majeur?
Comment corrigée par plusieurs redémarrages ou en démarrant en mode sans échec la mise à jour défectueuse de CrowdStrike ?
Selon un article du site américain theverge, bien que CrowdStrike ait corrigé la mise à jour à l’origine des problèmes, de nombreux systèmes sont toujours hors ligne, les banques, les compagnies aériennes, les supermarchés et les chaînes de télévision ayant du mal à s’en sortir sans leurs machines.
Selon les experts du SI pour beaucoup, la solution ne sera pas simple. Les administrateurs informatiques tentent toujours d’utiliser une solution de contournement initiale fournie par CrowdStrike, qui consiste à démarrer les systèmes Windows en mode sans échec et à supprimer un fichier système :
1- Démarrez Windows en mode sans échec ou dans l’environnement de récupération Windows
2- Accédez au répertoire C:\Windows\System32\drivers\CrowdStrike
3- Recherchez le fichier correspondant à « C-00000291*.sys » et supprimez-le
4- Démarrer l’hôte
Dans la pratique selon les experts, ces étapes obligent Windows à démarrer dans un environnement en mode sans échec où les pilotes tiers tels que le pilote au niveau du noyau de CrowdStrike ne peuvent pas se charger. Les administrateurs informatiques doivent alors localiser le pilote défectueux sur le disque et le supprimer.
Cette solution de contournement nécessite, dans la plupart des cas, un accès physique à une machine. Et dans certains environnements, cela peut être compliqué par le chiffrement du disque comme BitLocker ou même par l’absence de droits d’administrateur pour pouvoir supprimer le pilote défectueux.
Il faut un certain temps pour que la méthode de redémarrage fonctionne
L’autre option consiste à attendre que le correctif de CrowdStrike soit appliqué, mais il a été difficile de l’obtenir. Certains administrateurs informatiques redémarrent simplement les machines à plusieurs reprises, en espérant que la mise à jour de CrowdStrike sera transmise à travers la pile réseau avant que le moteur de protection de CrowdStrike ne s’initialise et ne provoque un BSOD sur la machine.
Éteindre et rallumer les machines (oui, vraiment ) semble fonctionner pour certains, avec des rapports de machines se remettant en ligne après avoir été redémarrées plusieurs fois.
Le serveur de mise à jour et les réseaux de diffusion de contenu de CrowdStrike sont probablement mis à rude épreuve par les millions de machines qui accèdent à ses serveurs pour une mise à jour. Il faudra donc peut-être un certain temps pour que la méthode de redémarrage fonctionne.
Assurer que chaque client est entièrement rétabli
Les entreprises qui exploitent des postes de travail virtuels peuvent être en mesure de récupérer plus rapidement que d’autres en restaurant simplement les hôtes affectés à un point antérieur à la mise à jour défectueuse de CrowdStrike. Dans les environnements où le redémarrage ne fonctionne pas, la solution de contournement consistant à démarrer en mode sans échec semble être la meilleure option à l’heure actuelle.
Quoi qu’il en soit, ce problème ne sera pas résolu en quelques heures, comme c’est le cas pour les pannes Internet typiques des fournisseurs de cloud.
« Certains systèmes pourraient mettre un certain temps à se rétablir automatiquement, mais notre mission est de nous assurer que chaque client est entièrement rétabli », a déclaré George Kurtz, PDG de CrowdStrike, dans une interview accordée à NBC News .
Source : Theverge.com
