Microsoft publie un outil pour corriger le bug de Crowdstrike

Mise à jour : Microsoft a publié un script pour automatiser la réparation du bug CrowdStrike, ce dernier retire le fichier dont il est question plus bas.

L’outil peut être copié sur différents supports de démarrage. Microsoft recommande WinPE, qui démarre à partir d’un support d’installation inséré tel qu’une clé USB ou un DVD et permet d’accéder au fichier système sans droits d’administrateur local. Cependant, les administrateurs doivent disposer de clés de chiffrement si le lecteur est chiffré à l’aide de Bitlocker ou d’une autre forme.

Article original :

Votre job est de protéger les ordinateurs du monde entier contre les méchants hackers. Et puis un beau matin, vous réalisez que votre dernière mise à jour a transformé des millions de PC en jolis presse-papiers. Bienvenue dans le monde de CrowdStrike, qui vient de vivre le pire cauchemar de tout geek qui se respecte.

On parle de « la plus grande panne informatique de l’histoire », vous pouvez retrouver notre direct ici.

Mais qu’est-ce qui s’est passé exactement ?

En gros, CrowdStrike a envoyé une mise à jour nocturne à ses clients (et il y en a un paquet). Sauf que cette mise à jour contenait un petit bug, un grain de sable dans la machine bien huilée de la cybersécurité. Résultat ? Des ordinateurs qui se mettent à redémarrer en boucle.

Pour aller plus loin
Crowdstrike : comment une mise à jour a provoqué l’une des plus grosses pannes informatiques de l’histoire

Le problème, c’est que ce bug ne touche pas que le petit PC de mamie Germaine (que l’on respecte). On parle ici de grandes entreprises, d’aéroports, de banques, d’hôpitaux… Imaginez le chaos : des avions cloués au sol, des transactions bancaires en stand-by, et des employés qui regardent, impuissants, l’écran bleu de la mort défiler encore et encore.

Mission impossible : réparer votre PC

Alors, comment sort-on de ce pétrin ? Accrochez-vous, ça risque d’être un peu technique (mais promis, on va essayer de rendre ça fun).

Première chose à savoir : si votre PC est déjà entré dans la danse infernale des redémarrages, ce n’est pas en appuyant frénétiquement sur Ctrl+Alt+Suppr que vous allez arranger les choses. Non, là, on est dans la catégorie « chirurgie à cœur ouvert » de l’informatique.

CrowdStrike a publié des instructions pour les braves qui oseraient s’aventurer dans les entrailles de leur machine. En gros, il faut mettre l’ordinateur en mode sans échec, puis supprimer le fichier fautif. Ça a l’air simple dit comme ça, hein ?

Une fois dans cet environnement douillet, direction le dossier C:\Windows\System32\drivers\CrowdStrike. Là, vous devez trouver et supprimer un fichier qui ressemble à C-00000291*.sys.

Pour les entreprises, c’est encore plus fun. Vous allez devoir faire cette opération sur des centaines, voire des milliers d’ordinateurs… enfin, pas vraiment.

CrowdStrike peut-il résoudre le problème à distance ?

Maintenant, la grande question : CrowdStrike peut-il résoudre le problème à distance ? C’est compliqué. Ils ont corrigé la mise à jour défectueuse, ce qui signifie que les ordinateurs qui n’ont pas encore téléchargé le logiciel problématique sont sauvés. Ouf !

Mais pour les PC déjà touchés, c’est une autre histoire. Ils sont coincés dans cette fameuse boucle de redémarrage, ce qui rend difficile toute mise à jour à distance.

Le PDG de CrowdStrike, George Kurtz, a déclaré que certains ordinateurs ont réussi à recevoir le correctif automatiquement pendant leur cycle de redémarrage.

Mais pour beaucoup d’autres, c’est l’intervention manuelle qui s’impose. Et là, on entre dans le domaine du bricolage informatique de haut vol. Cela va prendre du temps, beaucoup de temps.