Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Impli
Hello,

Paru à l'instant, sur le monde.fr
https://www.lemonde.fr/pixels/article/2024/07/19/une-panne-informatique-a-grande-echelle-provoque-le-chaos-en-australie-et-dans-les-aeroports-mondiaux_6252544_4408996.html

Le ven. 19 juil. 2024 à 10:05, Stephane Bortzmeyer  a
écrit :

> Apparemment, de grosses conséquences mondiales, pour les gens qui font
> tourner des services sur Windows.
>
>
> https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html
>
> https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue
>
> https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/
>
> (Rien trouvé en français, encore)
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Michaël BLANDIN
Oui c'est un sacré bazar ce matin...
Incident qui a démarré vers 6h25 ce matin pour nous, tous les serveurs
Windows qui rebootent et passent en BSOD, les postes de travail ont suivi

Le ven. 19 juil. 2024, 10:05, Stephane Bortzmeyer  a
écrit :

> Apparemment, de grosses conséquences mondiales, pour les gens qui font
> tourner des services sur Windows.
>
>
> https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html
>
> https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue
>
> https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/
>
> (Rien trouvé en français, encore)
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Erwan David



Le 7/19/24 à 10:33, David Ponzone a écrit :

Mais je comprends pas comment c’est possible.
Y a des serveurs Windows avec les mises à jour auto activées ?

David

Au moins les mises à jour des signatures crowdstrike...


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Romain
Ca va être sympa pour le conditional access ;)

Le ven. 19 juil. 2024 à 10:15, Paul Rolland (ポール・ロラン) 
a écrit :

> Bonjour,
>
> On Fri, 19 Jul 2024 10:05:22 +0200
> Stephane Bortzmeyer  wrote:
>
> > Apparemment, de grosses conséquences mondiales, pour les gens qui font
> > tourner des services sur Windows.
> >
> >
> https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html
> >
> https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue
> >
> https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/
> >
> > (Rien trouvé en français, encore)
>
> Et pour ceux qui sont impactes, on a cette procedure qui traite sur Reddit
> via le lien diffuse sur [outages] ce matin:
>
>
>
> Boot Windows into Safe Mode or the Windows Recovery Environment
>
> Navigate to the C:\Windows\System32\drivers\CrowdStrike directory
>
> Locate the file matching “C-0291*.sys”, and delete it.
>
> Boot the host normally.
>
> Paul
>
> --
> Paul RollandE-Mail : rol(at)witbe.net
> CTO - Witbe.net SA  Tel. +33 (0)1 47 67 77 77
> 18 Rue d'Arras, Bat. A11Fax. +33 (0)1 47 67 77 99
> F-92000 NanterreRIPE : PR12-RIPE
>
> Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un
> navigateur "Some people dream of success... while others wake up and work
> hard at it"
>
> "I worry about my child and the Internet all the time, even though she's
> too young to have logged on yet. Here's what I worry about. I worry that 10
> or 15 years from now, she will come to me and say 'Daddy, where were you
> when they took freedom of the press away from the Internet?'"
> --Mike Godwin, Electronic Frontier Foundation
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Paul Rolland (ポール・ロラン)
Bonjour,

On Fri, 19 Jul 2024 10:05:22 +0200
Stephane Bortzmeyer  wrote:

> Apparemment, de grosses conséquences mondiales, pour les gens qui font
> tourner des services sur Windows.
> 
> https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html
> https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue
> https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/
> 
> (Rien trouvé en français, encore)

Et pour ceux qui sont impactes, on a cette procedure qui traite sur Reddit
via le lien diffuse sur [outages] ce matin:



Boot Windows into Safe Mode or the Windows Recovery Environment

Navigate to the C:\Windows\System32\drivers\CrowdStrike directory

Locate the file matching “C-0291*.sys”, and delete it.

Boot the host normally.

Paul

-- 
Paul RollandE-Mail : rol(at)witbe.net
CTO - Witbe.net SA  Tel. +33 (0)1 47 67 77 77
18 Rue d'Arras, Bat. A11Fax. +33 (0)1 47 67 77 99
F-92000 NanterreRIPE : PR12-RIPE

Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un
navigateur "Some people dream of success... while others wake up and work
hard at it" 

"I worry about my child and the Internet all the time, even though she's
too young to have logged on yet. Here's what I worry about. I worry that 10
or 15 years from now, she will come to me and say 'Daddy, where were you
when they took freedom of the press away from the Internet?'"
--Mike Godwin, Electronic Frontier Foundation 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Paul Rolland (ポール・ロラン)
Bonjour,

On Fri, 19 Jul 2024 10:46:35 +0200
Romain  wrote:

> Ca va être sympa pour le conditional access ;)

Les joies du clou-d... une belle epine dans le pied ce matin :(

Bon courage a tout ceux qui doivent faire avec ce matin.

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Philippe ASTIER via frnog
Pas seulement Windows, les services 365 sont affectés, donc si tu fais du SSO 
sur 365, tu es touché aussi… juste tu n’as pas le BSOD.

Petites conséquences:
"The US Federal Aviation Administration says all flights from Delta, United, 
and American Airlines are grounded due to a “communication issue.” Berlin 
airport is also warning of travel delays due to “technical issues.”

A voir aussi :
https://www.cnbc.com/2024/07/19/crowdstrike-suffers-major-outage-affecting-businesses-around-the-world.html


On va réimplanter du on-prem à partir de la semaine prochaine, je le sens… 
L’âge d’or des admins système...

Le 19 juil. 2024 à 10:05, Stephane Bortzmeyer  a écrit :

Apparemment, de grosses conséquences mondiales, pour les gens qui font
tourner des services sur Windows.

https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html
https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue
https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/

(Rien trouvé en français, encore)


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread David Ponzone
Mais je comprends pas comment c’est possible.
Y a des serveurs Windows avec les mises à jour auto activées ?

David

> Le 19 juil. 2024 à 10:11, Michaël BLANDIN  a écrit 
> :
> 
> Oui c'est un sacré bazar ce matin...
> Incident qui a démarré vers 6h25 ce matin pour nous, tous les serveurs
> Windows qui rebootent et passent en BSOD, les postes de travail ont suivi
> 
> Le ven. 19 juil. 2024, 10:05, Stephane Bortzmeyer  a
> écrit :
> 
>> Apparemment, de grosses conséquences mondiales, pour les gens qui font
>> tourner des services sur Windows.
>> 
>> 
>> https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html
>> 
>> https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue
>> 
>> https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/
>> 
>> (Rien trouvé en français, encore)
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Laurent Barme



Le 19/07/2024 à 10:33, David Ponzone a écrit :

Mais je comprends pas comment c’est possible.
Y a des serveurs Windows avec les mises à jour auto activées ?


:-))

Excellente !



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Stéphane Rivière

Et alors ?
Depuis quand les mises à jour Windows posent problème ?

--
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread David Ponzone
Ok je connais pas crowdstrike et à quel point il a accès bas niveau dans 
Windows. Mais cela signifie qu’en 2024, Microsoft en est encore à des BSOD 
causés par des applications.
C’est l’action MS qui devrait baisser, pas Crowdstrike.

Ensuite, crowdstrike protège de trucs tellement critiques qu’il est 
inimaginable de retarder les mises à jour de la base de signatures de 24h ?

Question subsidiaire: cela va-t-il modifier l’habituel politique des DSI « j’ai 
pris MS parce qu’on pourra pas me le reprocher ».

David Ponzone



> Le 19 juil. 2024 à 10:40, Erwan David  a écrit :
> 
> 
>> Le 7/19/24 à 10:33, David Ponzone a écrit :
>> Mais je comprends pas comment c’est possible.
>> Y a des serveurs Windows avec les mises à jour auto activées ?
>> 
>> David
> Au moins les mises à jour des signatures crowdstrike...
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Michaël BLANDIN
Il y a quelques temps j'ai eu du kernel panic sur Debian 12 à cause de
CrowdStrike (kernel trop récent/mal supporté). Ils n'en sont pas à leur
coup d'essai

Le ven. 19 juil. 2024, 13:30, David Ponzone  a
écrit :

> Ok je connais pas crowdstrike et à quel point il a accès bas niveau dans
> Windows. Mais cela signifie qu’en 2024, Microsoft en est encore à des BSOD
> causés par des applications.
> C’est l’action MS qui devrait baisser, pas Crowdstrike.
>
> Ensuite, crowdstrike protège de trucs tellement critiques qu’il est
> inimaginable de retarder les mises à jour de la base de signatures de 24h ?
>
> Question subsidiaire: cela va-t-il modifier l’habituel politique des DSI «
> j’ai pris MS parce qu’on pourra pas me le reprocher ».
>
> David Ponzone
>
>
>
> > Le 19 juil. 2024 à 10:40, Erwan David  a écrit :
> >
> > 
> >> Le 7/19/24 à 10:33, David Ponzone a écrit :
> >> Mais je comprends pas comment c’est possible.
> >> Y a des serveurs Windows avec les mises à jour auto activées ?
> >>
> >> David
> > Au moins les mises à jour des signatures crowdstrike...
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Merwan Zenati
Salut a tous,

On est bien ok que les BSOD ne concernent   que les pc ayant crowdstrike 
d’installe ?
Je vois qu’ils sont bien mis en cause, mais je n’ai pas trouve d’article disant 
clairement “seuls les PC eyant comme EDR Crowdstrike sont impactés”

Par ailleurs, ok les services microsoft sont impactes, qu’est ce que cela veut 
dire ? Que MS utilise CS comme EDR et pas leurs merveilleux Windows defender ? 
j’ai du mal a faire le lien 


Aller pour ceux qui ont la ref :)

https://media1.tenor.com/m/dmUPx0eFh4AC/fuck-microsoft.gif

> On 19 Jul 2024, at 12:33, Stéphane Rivière  wrote:
> 
> Et alors ?
> Depuis quand les mises à jour Windows posent problème ?
> 
> -- 
> Stéphane Rivière
> Ile d'Oléron - France
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Philippe ASTIER via frnog
Je cite le blog de CrowdStrike : 
"CrowdStrike is actively working with customers impacted by a defect found in a 
single content update for Windows hosts. Mac and Linux hosts are not impacted. 
This is not a security incident or cyberattack. « 

Après, je suis comme toi, j’ai des clients qui ont été impactés par des applis 
qui faisaient du SSO SAML sur O365, qui a priori n’a pas de rapport.


Sauf si … Microsoft protège certains serveurs d’Azure avec CrowdStrike?

Le post mortem, s’il est transparent, va être passionnant. 
Le problème semble assez simple, l’impact est tout juste délirant. 

> Le 19 juil. 2024 à 13:31, Merwan Zenati  a écrit :
> 
> Salut a tous,
> 
> On est bien ok que les BSOD ne concernent que les pc ayant crowdstrike 
> d’installe ?
> Je vois qu’ils sont bien mis en cause, mais je n’ai pas trouve d’article 
> disant clairement “seuls les PC eyant comme EDR Crowdstrike sont impactés”
> 
> Par ailleurs, ok les services microsoft sont impactes, qu’est ce que cela 
> veut dire ? Que MS utilise CS comme EDR et pas leurs merveilleux Windows 
> defender ? j’ai du mal a faire le lien 
> 
> 
> Aller pour ceux qui ont la ref :)
> 
> https://media1.tenor.com/m/dmUPx0eFh4AC/fuck-microsoft.gif
> 
>> On 19 Jul 2024, at 12:33, Stéphane Rivière  wrote:
>> 
>> Et alors ?
>> Depuis quand les mises à jour Windows posent problème ?
>> 
>> -- 
>> Stéphane Rivière
>> Ile d'Oléron - France
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Guillaume Denoix
Bonjour,

De ce que je comprends, il s'est passé 2 incidents cette nuit.
Et les deux ne me semblent pas liés.

Un problème chez MS sur des services Azure hostés sur la région Central US
ayant débuté à 6pm ET, soit vers minuit pour nous.
Preliminary root cause: A configuration change in a portion of our Azure
backend workloads, caused interruption between storage and compute
resources which resulted in connectivity failures that affected downstream
Microsoft 365 services dependent on these connections.

et le problème Crowdstrike qui impacte les utilisateurs de leur solution
XDR, à priori depuis 7pm UTC, soit  9pm pour nous.

Bref, la double panne :)


On Fri, Jul 19, 2024 at 1:37 PM Philippe ASTIER via frnog 
wrote:

> Je cite le blog de CrowdStrike :
> "CrowdStrike is actively working with customers impacted by a defect found
> in a single content update for Windows hosts. Mac and Linux hosts are not
> impacted. This is not a security incident or cyberattack. «
>
> Après, je suis comme toi, j’ai des clients qui ont été impactés par des
> applis qui faisaient du SSO SAML sur O365, qui a priori n’a pas de rapport.
>
>
> Sauf si … Microsoft protège certains serveurs d’Azure avec CrowdStrike?
>
> Le post mortem, s’il est transparent, va être passionnant.
> Le problème semble assez simple, l’impact est tout juste délirant.
>
> > Le 19 juil. 2024 à 13:31, Merwan Zenati  a
> écrit :
> >
> > Salut a tous,
> >
> > On est bien ok que les BSOD ne concernent que les pc ayant
> crowdstrike d’installe ?
> > Je vois qu’ils sont bien mis en cause, mais je n’ai pas trouve d’article
> disant clairement “seuls les PC eyant comme EDR Crowdstrike sont impactés”
> >
> > Par ailleurs, ok les services microsoft sont impactes, qu’est ce que
> cela veut dire ? Que MS utilise CS comme EDR et pas leurs merveilleux
> Windows defender ? j’ai du mal a faire le lien
> >
> >
> > Aller pour ceux qui ont la ref :)
> >
> > https://media1.tenor.com/m/dmUPx0eFh4AC/fuck-microsoft.gif
> >
> >> On 19 Jul 2024, at 12:33, Stéphane Rivière  wrote:
> >>
> >> Et alors ?
> >> Depuis quand les mises à jour Windows posent problème ?
> >>
> >> --
> >> Stéphane Rivière
> >> Ile d'Oléron - France
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Olivier Varenne via frnog
Je ne vois pas comment tu peux éviter à 100% un bsod/kernel panic. Tu as des 
applis/drivers qui DOIVENT fonctionner en kernel mode. Tu n'as juste pas le 
choix... 

Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez moi si je 
me trompe) viable techniquement/commercialement n'existe à ce jour, c'est un 
peu fort de café...





Cordialement,
 


Olivier Varenne
Président, R&D et développement
T +33 (0)4 27 04 40 00 | ipconnect.fr

Suivez-nous ! 


> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> David Ponzone
> Envoyé : vendredi 19 juillet 2024 13:30
> À : Erwan David 
> Cc : frnog@frnog.org
> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes
> Windows
> 
> Ok je connais pas crowdstrike et à quel point il a accès bas niveau dans
> Windows. Mais cela signifie qu’en 2024, Microsoft en est encore à des
> BSOD causés par des applications.
> C’est l’action MS qui devrait baisser, pas Crowdstrike.
> 
> Ensuite, crowdstrike protège de trucs tellement critiques qu’il est
> inimaginable de retarder les mises à jour de la base de signatures de
> 24h ?
> 
> Question subsidiaire: cela va-t-il modifier l’habituel politique des DSI «
> j’ai pris MS parce qu’on pourra pas me le reprocher ».
> 
> David Ponzone
> 
> 
> 
> > Le 19 juil. 2024 à 10:40, Erwan David  a écrit :
> >
> > 
> >> Le 7/19/24 à 10:33, David Ponzone a écrit :
> >> Mais je comprends pas comment c’est possible.
> >> Y a des serveurs Windows avec les mises à jour auto activées ?
> >>
> >> David
> > Au moins les mises à jour des signatures crowdstrike...
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Paul Rolland (ポール・ロラン)
Hello,

On Fri, 19 Jul 2024 13:50:53 +0200
Guillaume Denoix  wrote:

> et le problème Crowdstrike qui impacte les utilisateurs de leur solution
> XDR, à priori depuis 7pm UTC, soit  9pm pour nous.

Un premier post a ete fait a ce sujet sur [outages] a 7H51 heure de Paris.
Il renvoyait sur une discussion Reddit qui etait deja bien chaude a ce
moment-la.
Donc, je pense qu'on peut avant d'au moins une heure le moment ou ca a
commence.

Paul

-- 
Paul RollandE-Mail : rol(at)witbe.net
CTO - Witbe.net SA  Tel. +33 (0)1 47 67 77 77
18 Rue d'Arras, Bat. A11Fax. +33 (0)1 47 67 77 99
F-92000 NanterreRIPE : PR12-RIPE

Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un
navigateur "Some people dream of success... while others wake up and work
hard at it" 

"I worry about my child and the Internet all the time, even though she's
too young to have logged on yet. Here's what I worry about. I worry that 10
or 15 years from now, she will come to me and say 'Daddy, where were you
when they took freedom of the press away from the Internet?'"
--Mike Godwin, Electronic Frontier Foundation 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Philippe ASTIER via frnog
Il y a des OS où les extensions au noyau deviennent interdites (macOS) ou n’ont 
jamais existé (iOS/iPadOS).
Les System Extensions existent, mais elles ne s’exécutent pas avec les 
privilèges du noyau du tout.

Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée fournis par 
l’éditeur. 

Ce n'’est pas nouveau comme concept, les premiers micro-kernels des années 1990 
n’avaient déjà pas leurs drivers au niveau du noyau.

Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau ou reboot 
pour ajouter ou enlever des drivers. Un driver qui plante ne peut pas corrompre 
le kernel space.


Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi vivraient 
les vendeurs d’antivirus ? (On me l’a rétorqué un jour…)


On se rend compte que le bud de CriwdStrike empêche le boot, et que donc (a 
priori pour le moment), la seule solution est de passer MANUELLEMENT sur chaque 
poste concerné ? 
C’est le scenario cauchemar.


Donc oui, l’écriture même des OS de Microsoft est un risque. CrowdStrike s’est 
planté en beauté, mais MS le favorise...


> Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog  a écrit 
> :
> 
> Je ne vois pas comment tu peux éviter à 100% un bsod/kernel panic. Tu as des 
> applis/drivers qui DOIVENT fonctionner en kernel mode. Tu n'as juste pas le 
> choix... 
> 
> Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez moi si 
> je me trompe) viable techniquement/commercialement n'existe à ce jour, c'est 
> un peu fort de café...
> 
> 
> 
> 
> 
> Cordialement,
>  
> 
> 
> Olivier Varenne
> Président, R&D et développement
> T +33 (0)4 27 04 40 00 | ipconnect.fr
> 
> Suivez-nous ! 
> 
> 
>> -Message d'origine-
>> De : frnog-requ...@frnog.org  De la part de
>> David Ponzone
>> Envoyé : vendredi 19 juillet 2024 13:30
>> À : Erwan David 
>> Cc : frnog@frnog.org
>> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes
>> Windows
>> 
>> Ok je connais pas crowdstrike et à quel point il a accès bas niveau dans
>> Windows. Mais cela signifie qu’en 2024, Microsoft en est encore à des
>> BSOD causés par des applications.
>> C’est l’action MS qui devrait baisser, pas Crowdstrike.
>> 
>> Ensuite, crowdstrike protège de trucs tellement critiques qu’il est
>> inimaginable de retarder les mises à jour de la base de signatures de
>> 24h ?
>> 
>> Question subsidiaire: cela va-t-il modifier l’habituel politique des DSI «
>> j’ai pris MS parce qu’on pourra pas me le reprocher ».
>> 
>> David Ponzone
>> 
>> 
>> 
>>> Le 19 juil. 2024 à 10:40, Erwan David  a écrit :
>>> 
>>> 
>>>> Le 7/19/24 à 10:33, David Ponzone a écrit :
>>>> Mais je comprends pas comment c’est possible.
>>>> Y a des serveurs Windows avec les mises à jour auto activées ?
>>>> 
>>>> David
>>> Au moins les mises à jour des signatures crowdstrike...
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Frédéric ROBERT via frnog
On Fri, Jul 19, 2024 at 10:05:22AM +0200, Stephane Bortzmeyer wrote:
> Apparemment, de grosses conséquences mondiales, pour les gens qui font
> tourner des services sur Windows.

Le troll du vendredi. "Microsoft n'azure pas" ;) 

Que la force du libre soit avec nous mes frères et soeurs. 

Bonne journée,

-- 
Frédéric ROBERT


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Stéphane Rivière

Le troll du vendredi. "Microsoft n'azure pas" ;)


J'adore :)

/Microsoft est une compagnie, non pas précisément d'assurance, car il 
n'*azure* pas, mais de peur, d'incertitude et de doute/.

Proudhon - librement recyclé :)


Que la force du libre soit avec nous mes frères et soeurs.


Amen ! pardon, Hache !

--
Stéphane Rivière
Ile d'Oléron - France

---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Olivier Varenne via frnog
Sauf que la solution micro kernel, dont on parle depuis longtemps quand meme, 
se heurte toujours à des soucis de performance et de complexité.



Cordialement,
 


Olivier Varenne
Président, R&D et développement
T +33 (0)4 27 04 40 00 | ipconnect.fr

Suivez-nous ! 


> -Message d'origine-
> De : Philippe ASTIER 
> Envoyé : vendredi 19 juillet 2024 14:28
> À : Olivier Varenne 
> Cc : David Ponzone ; Erwan David
> ; frnog@frnog.org
> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes
> Windows
> 
> Il y a des OS où les extensions au noyau deviennent interdites (macOS)
> ou n’ont jamais existé (iOS/iPadOS).
> Les System Extensions existent, mais elles ne s’exécutent pas avec les
> privilèges du noyau du tout.
> 
> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée
> fournis par l’éditeur.
> 
> Ce n'’est pas nouveau comme concept, les premiers micro-kernels des
> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau.
> 
> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau ou
> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne peut
> pas corrompre le kernel space.
> 
> 
> Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi
> vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…)
> 
> 
> On se rend compte que le bud de CriwdStrike empêche le boot, et que
> donc (a priori pour le moment), la seule solution est de passer
> MANUELLEMENT sur chaque poste concerné ?
> C’est le scenario cauchemar.
> 
> 
> Donc oui, l’écriture même des OS de Microsoft est un risque.
> CrowdStrike s’est planté en beauté, mais MS le favorise...
> 
> 
> > Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog 
> a écrit :
> >
> > Je ne vois pas comment tu peux éviter à 100% un bsod/kernel panic.
> Tu as des applis/drivers qui DOIVENT fonctionner en kernel mode. Tu
> n'as juste pas le choix...
> >
> > Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez
> moi si je me trompe) viable techniquement/commercialement n'existe à
> ce jour, c'est un peu fort de café...
> >
> >
> >
> >
> >
> > Cordialement,
> >
> >
> >
> > Olivier Varenne
> > Président, R&D et développement
> > T +33 (0)4 27 04 40 00 | ipconnect.fr
> >
> > Suivez-nous !
> >
> >
> >> -Message d'origine-
> >> De : frnog-requ...@frnog.org  De la part
> de
> >> David Ponzone Envoyé : vendredi 19 juillet 2024 13:30 À : Erwan
> David
> >>  Cc : frnog@frnog.org Objet : Re: [FRnOG]
> [ALERT]
> >> Panne Crowdstrike sur les systèmes Windows
> >>
> >> Ok je connais pas crowdstrike et à quel point il a accès bas niveau
> >> dans Windows. Mais cela signifie qu’en 2024, Microsoft en est
> encore
> >> à des BSOD causés par des applications.
> >> C’est l’action MS qui devrait baisser, pas Crowdstrike.
> >>
> >> Ensuite, crowdstrike protège de trucs tellement critiques qu’il est
> >> inimaginable de retarder les mises à jour de la base de signatures de
> >> 24h ?
> >>
> >> Question subsidiaire: cela va-t-il modifier l’habituel politique des
> >> DSI « j’ai pris MS parce qu’on pourra pas me le reprocher ».
> >>
> >> David Ponzone
> >>
> >>
> >>
> >>> Le 19 juil. 2024 à 10:40, Erwan David  a écrit
> :
> >>>
> >>>
> >>>> Le 7/19/24 à 10:33, David Ponzone a écrit :
> >>>> Mais je comprends pas comment c’est possible.
> >>>> Y a des serveurs Windows avec les mises à jour auto activées ?
> >>>>
> >>>> David
> >>> Au moins les mises à jour des signatures crowdstrike...
> >>>
> >>>
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Philippe ASTIER via frnog
OK.

En attendant, il n’y a pas de driver tiers sur les OS mobiles d’Apple, et aucun 
accès direct au noyau pour aucune application tierce.
Sur macOS, les Kernel Extensions vivent leurs derniers instants, et les 
solutions d’EDR doivent passer par l’EndPoint Security Framework, elles n’ont 
pas non plus les priviléges noyau. Et ça n’a pas toujours été le cas, c’est 
juste que ça évolue, justement pour éviter les crashs du noyau.

Ce qui est clair, c’est qu’on peut trouver des solutions pour que les logiciels 
tiers n’aient jamais les privilèges du noyau, même pour des solutions de 
sécurité.

« Performance et complexité »  sont des excuses pour ne surtout rien faire 
évoluer. Les couches basses de Windows sont fragiles et n'évoluent pas.


> Le 19 juil. 2024 à 16:01, Olivier Varenne via frnog  a écrit 
> :
> 
> Sauf que la solution micro kernel, dont on parle depuis longtemps quand meme, 
> se heurte toujours à des soucis de performance et de complexité.
> 
> 
> 
> Cordialement,
>  
> 
> 
> Olivier Varenne
> Président, R&D et développement
> T +33 (0)4 27 04 40 00 | ipconnect.fr
> 
> Suivez-nous ! 
> 
> 
>> -Message d'origine-
>> De : Philippe ASTIER 
>> Envoyé : vendredi 19 juillet 2024 14:28
>> À : Olivier Varenne 
>> Cc : David Ponzone ; Erwan David
>> ; frnog@frnog.org
>> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes
>> Windows
>> 
>> Il y a des OS où les extensions au noyau deviennent interdites (macOS)
>> ou n’ont jamais existé (iOS/iPadOS).
>> Les System Extensions existent, mais elles ne s’exécutent pas avec les
>> privilèges du noyau du tout.
>> 
>> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée
>> fournis par l’éditeur.
>> 
>> Ce n'’est pas nouveau comme concept, les premiers micro-kernels des
>> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau.
>> 
>> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau ou
>> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne peut
>> pas corrompre le kernel space.
>> 
>> 
>> Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi
>> vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…)
>> 
>> 
>> On se rend compte que le bud de CriwdStrike empêche le boot, et que
>> donc (a priori pour le moment), la seule solution est de passer
>> MANUELLEMENT sur chaque poste concerné ?
>> C’est le scenario cauchemar.
>> 
>> 
>> Donc oui, l’écriture même des OS de Microsoft est un risque.
>> CrowdStrike s’est planté en beauté, mais MS le favorise...
>> 
>> 
>>> Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog 
>> a écrit :
>>> 
>>> Je ne vois pas comment tu peux éviter à 100% un bsod/kernel panic.
>> Tu as des applis/drivers qui DOIVENT fonctionner en kernel mode. Tu
>> n'as juste pas le choix...
>>> 
>>> Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez
>> moi si je me trompe) viable techniquement/commercialement n'existe à
>> ce jour, c'est un peu fort de café...
>>> 
>>> 
>>> 
>>> 
>>> 
>>> Cordialement,
>>> 
>>> 
>>> 
>>> Olivier Varenne
>>> Président, R&D et développement
>>> T +33 (0)4 27 04 40 00 | ipconnect.fr
>>> 
>>> Suivez-nous !
>>> 
>>> 
>>>> -Message d'origine-
>>>> De : frnog-requ...@frnog.org  De la part
>> de
>>>> David Ponzone Envoyé : vendredi 19 juillet 2024 13:30 À : Erwan
>> David
>>>>  Cc : frnog@frnog.org Objet : Re: [FRnOG]
>> [ALERT]
>>>> Panne Crowdstrike sur les systèmes Windows
>>>> 
>>>> Ok je connais pas crowdstrike et à quel point il a accès bas niveau
>>>> dans Windows. Mais cela signifie qu’en 2024, Microsoft en est
>> encore
>>>> à des BSOD causés par des applications.
>>>> C’est l’action MS qui devrait baisser, pas Crowdstrike.
>>>> 
>>>> Ensuite, crowdstrike protège de trucs tellement critiques qu’il est
>>>> inimaginable de retarder les mises à jour de la base de signatures de
>>>> 24h ?
>>>> 
>>>> Question subsidiaire: cela va-t-il modifier l’habituel politique des
>>>> DSI « j’ai pris MS parce qu’on pourra pas me le reprocher ».
>>>> 
>>>> David Ponzone
>>>> 
>>>> 
>>>> 
>>>>> Le 19 juil. 2024 à 10:40, Erwan David  a écrit
>> :
>>>>> 
>>>>> 
>>>>>> Le 7/19/24 à 10:33, David Ponzone a écrit :
>>>>>> Mais je comprends pas comment c’est possible.
>>>>>> Y a des serveurs Windows avec les mises à jour auto activées ?
>>>>>> 
>>>>>> David
>>>>> Au moins les mises à jour des signatures crowdstrike...
>>>>> 
>>>>> 
>>>>> ---
>>>>> Liste de diffusion du FRnOG
>>>>> http://www.frnog.org/
>>>> 
>>>> 
>>>> ---
>>>> Liste de diffusion du FRnOG
>>>> http://www.frnog.org/
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Olivier Varenne via frnog
Comparer les OS mobiles d'Apple avec Windows ?
Je ne sais pas si j'aurai tenté.

Cordialement,
 


Olivier Varenne
Président, R&D et développement
T +33 (0)4 27 04 40 00 | ipconnect.fr

Suivez-nous ! 


> -Message d'origine-
> De : Philippe ASTIER 
> Envoyé : vendredi 19 juillet 2024 16:08
> À : Olivier Varenne ; frnog-al...@frnog.org
> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes
> Windows
> 
> OK.
> 
> En attendant, il n’y a pas de driver tiers sur les OS mobiles d’Apple, et
> aucun accès direct au noyau pour aucune application tierce.
> Sur macOS, les Kernel Extensions vivent leurs derniers instants, et les
> solutions d’EDR doivent passer par l’EndPoint Security Framework, elles
> n’ont pas non plus les priviléges noyau. Et ça n’a pas toujours été le
> cas, c’est juste que ça évolue, justement pour éviter les crashs du
> noyau.
> 
> Ce qui est clair, c’est qu’on peut trouver des solutions pour que les
> logiciels tiers n’aient jamais les privilèges du noyau, même pour des
> solutions de sécurité.
> 
> « Performance et complexité »  sont des excuses pour ne surtout rien
> faire évoluer. Les couches basses de Windows sont fragiles et
> n'évoluent pas.
> 
> 
> > Le 19 juil. 2024 à 16:01, Olivier Varenne via frnog 
> a écrit :
> >
> > Sauf que la solution micro kernel, dont on parle depuis longtemps
> quand meme, se heurte toujours à des soucis de performance et de
> complexité.
> >
> >
> >
> > Cordialement,
> >
> >
> >
> > Olivier Varenne
> > Président, R&D et développement
> > T +33 (0)4 27 04 40 00 | ipconnect.fr
> >
> > Suivez-nous !
> >
> >
> >> -Message d'origine-----
> >> De : Philippe ASTIER  Envoyé :
> >> vendredi 19 juillet 2024 14:28 À : Olivier Varenne
> >>  Cc : David Ponzone
> >> ; Erwan David ;
> >> frnog@frnog.org Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur
> les
> >> systèmes Windows
> >>
> >> Il y a des OS où les extensions au noyau deviennent interdites
> >> (macOS) ou n’ont jamais existé (iOS/iPadOS).
> >> Les System Extensions existent, mais elles ne s’exécutent pas avec
> >> les privilèges du noyau du tout.
> >>
> >> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée
> >> fournis par l’éditeur.
> >>
> >> Ce n'’est pas nouveau comme concept, les premiers micro-kernels
> des
> >> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau.
> >>
> >> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau
> ou
> >> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne
> >> peut pas corrompre le kernel space.
> >>
> >>
> >> Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi
> >> vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…)
> >>
> >>
> >> On se rend compte que le bud de CriwdStrike empêche le boot, et
> que
> >> donc (a priori pour le moment), la seule solution est de passer
> >> MANUELLEMENT sur chaque poste concerné ?
> >> C’est le scenario cauchemar.
> >>
> >>
> >> Donc oui, l’écriture même des OS de Microsoft est un risque.
> >> CrowdStrike s’est planté en beauté, mais MS le favorise...
> >>
> >>
> >>> Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog
> >>> 
> >> a écrit :
> >>>
> >>> Je ne vois pas comment tu peux éviter à 100% un bsod/kernel
> panic.
> >> Tu as des applis/drivers qui DOIVENT fonctionner en kernel mode.
> Tu
> >> n'as juste pas le choix...
> >>>
> >>> Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez
> >> moi si je me trompe) viable techniquement/commercialement
> n'existe à
> >> ce jour, c'est un peu fort de café...
> >>>
> >>>
> >>>
> >>>
> >>>
> >>> Cordialement,
> >>>
> >>>
> >>>
> >>> Olivier Varenne
> >>> Président, R&D et développement
> >>> T +33 (0)4 27 04 40 00 | ipconnect.fr
> >>>
> >>> Suivez-nous !
> >>>
> >>>
> >>>> -Message d'origine-
> >>>> De : frnog-requ...@frnog.org  De la
> part
> >> de
> >>>> David Ponzone Envoyé : vendredi 19 juillet 2024 13:30 À : Erwan
> >> David
> >>>>  Cc : frnog@f

Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Philippe ASTIER via frnog
Ben je sais pas… 1,8 milliards d’appareils, ya Outlook, Word et Excel et 
PowerPoint, on peut connecter écran, clavier, souris ? Imprimer, surfer, 
travailler, jouer… Pourquoi pas ?
Mais sinon tu prends macOS, dont le modèle de sécurité tend vers celui d’iOS.

Je parle de la manière dont le système est développé, des concepts mise en 
oeuvre pour que le système fonctionne, des améliorations apportés à la sécurité.

Après comme on est vendredi, je trolle un peu. 
Il y a une différence, ceux qui contemplent les BSOD, et ceux qui bossent 
encore. :)

> Le 19 juil. 2024 à 17:31, Olivier Varenne  a écrit :
> 
> Comparer les OS mobiles d'Apple avec Windows ?
> Je ne sais pas si j'aurai tenté.
> 
> Cordialement,
>  
> 
> 
> Olivier Varenne
> Président, R&D et développement
> T +33 (0)4 27 04 40 00 | ipconnect.fr
> 
> Suivez-nous ! 
> 
> 
>> -Message d'origine-
>> De : Philippe ASTIER 
>> Envoyé : vendredi 19 juillet 2024 16:08
>> À : Olivier Varenne ; frnog-al...@frnog.org
>> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes
>> Windows
>> 
>> OK.
>> 
>> En attendant, il n’y a pas de driver tiers sur les OS mobiles d’Apple, et
>> aucun accès direct au noyau pour aucune application tierce.
>> Sur macOS, les Kernel Extensions vivent leurs derniers instants, et les
>> solutions d’EDR doivent passer par l’EndPoint Security Framework, elles
>> n’ont pas non plus les priviléges noyau. Et ça n’a pas toujours été le
>> cas, c’est juste que ça évolue, justement pour éviter les crashs du
>> noyau.
>> 
>> Ce qui est clair, c’est qu’on peut trouver des solutions pour que les
>> logiciels tiers n’aient jamais les privilèges du noyau, même pour des
>> solutions de sécurité.
>> 
>> « Performance et complexité »  sont des excuses pour ne surtout rien
>> faire évoluer. Les couches basses de Windows sont fragiles et
>> n'évoluent pas.
>> 
>> 
>>> Le 19 juil. 2024 à 16:01, Olivier Varenne via frnog 
>> a écrit :
>>> 
>>> Sauf que la solution micro kernel, dont on parle depuis longtemps
>> quand meme, se heurte toujours à des soucis de performance et de
>> complexité.
>>> 
>>> 
>>> 
>>> Cordialement,
>>> 
>>> 
>>> 
>>> Olivier Varenne
>>> Président, R&D et développement
>>> T +33 (0)4 27 04 40 00 | ipconnect.fr
>>> 
>>> Suivez-nous !
>>> 
>>> 
>>>> -Message d'origine-
>>>> De : Philippe ASTIER  Envoyé :
>>>> vendredi 19 juillet 2024 14:28 À : Olivier Varenne
>>>>  Cc : David Ponzone
>>>> ; Erwan David ;
>>>> frnog@frnog.org Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur
>> les
>>>> systèmes Windows
>>>> 
>>>> Il y a des OS où les extensions au noyau deviennent interdites
>>>> (macOS) ou n’ont jamais existé (iOS/iPadOS).
>>>> Les System Extensions existent, mais elles ne s’exécutent pas avec
>>>> les privilèges du noyau du tout.
>>>> 
>>>> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée
>>>> fournis par l’éditeur.
>>>> 
>>>> Ce n'’est pas nouveau comme concept, les premiers micro-kernels
>> des
>>>> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau.
>>>> 
>>>> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau
>> ou
>>>> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne
>>>> peut pas corrompre le kernel space.
>>>> 
>>>> 
>>>> Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi
>>>> vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…)
>>>> 
>>>> 
>>>> On se rend compte que le bud de CriwdStrike empêche le boot, et
>> que
>>>> donc (a priori pour le moment), la seule solution est de passer
>>>> MANUELLEMENT sur chaque poste concerné ?
>>>> C’est le scenario cauchemar.
>>>> 
>>>> 
>>>> Donc oui, l’écriture même des OS de Microsoft est un risque.
>>>> CrowdStrike s’est planté en beauté, mais MS le favorise...
>>>> 
>>>> 
>>>>> Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog
>>>>> 
>>>> a écrit :
>>>>> 
>>>>> Je ne vois pas comment tu peux éviter à 100% un bsod/kernel
>> panic.
>>>> Tu as des applis/drivers qui DOIVENT fonctionner en 

Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Olivier Varenne via frnog
Oui enfin j'ai pas vu la tronche d'un bsod depuis longtemps.
Par contre, du wheel of death J'en vois régulièrement.
Mais expérience personnelle isolée ne fait pas loi.


Envoyé à partir de Outlook pour Android<https://aka.ms/AAb9ysg>

From: Philippe ASTIER 
Sent: Friday, July 19, 2024 5:56:48 PM
To: Olivier Varenne ; frnog-al...@frnog.org 

Subject: Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

Ben je sais pas… 1,8 milliards d’appareils, ya Outlook, Word et Excel et 
PowerPoint, on peut connecter écran, clavier, souris ? Imprimer, surfer, 
travailler, jouer… Pourquoi pas ?
Mais sinon tu prends macOS, dont le modèle de sécurité tend vers celui d’iOS.

Je parle de la manière dont le système est développé, des concepts mise en 
oeuvre pour que le système fonctionne, des améliorations apportés à la sécurité.

Après comme on est vendredi, je trolle un peu.
Il y a une différence, ceux qui contemplent les BSOD, et ceux qui bossent 
encore. :)

> Le 19 juil. 2024 à 17:31, Olivier Varenne  a écrit :
>
> Comparer les OS mobiles d'Apple avec Windows ?
> Je ne sais pas si j'aurai tenté.
>
> Cordialement,
>
>
>
> Olivier Varenne
> Président, R&D et développement
> T +33 (0)4 27 04 40 00 | ipconnect.fr
>
> Suivez-nous !
>
>
>> -Message d'origine-
>> De : Philippe ASTIER 
>> Envoyé : vendredi 19 juillet 2024 16:08
>> À : Olivier Varenne ; frnog-al...@frnog.org
>> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes
>> Windows
>>
>> OK.
>>
>> En attendant, il n’y a pas de driver tiers sur les OS mobiles d’Apple, et
>> aucun accès direct au noyau pour aucune application tierce.
>> Sur macOS, les Kernel Extensions vivent leurs derniers instants, et les
>> solutions d’EDR doivent passer par l’EndPoint Security Framework, elles
>> n’ont pas non plus les priviléges noyau. Et ça n’a pas toujours été le
>> cas, c’est juste que ça évolue, justement pour éviter les crashs du
>> noyau.
>>
>> Ce qui est clair, c’est qu’on peut trouver des solutions pour que les
>> logiciels tiers n’aient jamais les privilèges du noyau, même pour des
>> solutions de sécurité.
>>
>> « Performance et complexité »  sont des excuses pour ne surtout rien
>> faire évoluer. Les couches basses de Windows sont fragiles et
>> n'évoluent pas.
>>
>>
>>> Le 19 juil. 2024 à 16:01, Olivier Varenne via frnog 
>> a écrit :
>>>
>>> Sauf que la solution micro kernel, dont on parle depuis longtemps
>> quand meme, se heurte toujours à des soucis de performance et de
>> complexité.
>>>
>>>
>>>
>>> Cordialement,
>>>
>>>
>>>
>>> Olivier Varenne
>>> Président, R&D et développement
>>> T +33 (0)4 27 04 40 00 | ipconnect.fr
>>>
>>> Suivez-nous !
>>>
>>>
>>>> -Message d'origine-
>>>> De : Philippe ASTIER  Envoyé :
>>>> vendredi 19 juillet 2024 14:28 À : Olivier Varenne
>>>>  Cc : David Ponzone
>>>> ; Erwan David ;
>>>> frnog@frnog.org Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur
>> les
>>>> systèmes Windows
>>>>
>>>> Il y a des OS où les extensions au noyau deviennent interdites
>>>> (macOS) ou n’ont jamais existé (iOS/iPadOS).
>>>> Les System Extensions existent, mais elles ne s’exécutent pas avec
>>>> les privilèges du noyau du tout.
>>>>
>>>> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée
>>>> fournis par l’éditeur.
>>>>
>>>> Ce n'’est pas nouveau comme concept, les premiers micro-kernels
>> des
>>>> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau.
>>>>
>>>> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau
>> ou
>>>> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne
>>>> peut pas corrompre le kernel space.
>>>>
>>>>
>>>> Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi
>>>> vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…)
>>>>
>>>>
>>>> On se rend compte que le bud de CriwdStrike empêche le boot, et
>> que
>>>> donc (a priori pour le moment), la seule solution est de passer
>>>> MANUELLEMENT sur chaque poste concerné ?
>>>> C’est le scenario cauchemar.
>>>>
>>>>
>>>> Donc oui, l’écriture même des OS de Microsoft est un r

Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Philippe ASTIER via frnog
Donc, tu n’as pas vu de Kernel Panic sur Mac depuis longtemps (équivalent du 
BSOD).
La wheel of death, le noyau n’est pas planté. Si tu pouvais te connecter en SSH 
sur la machine, tu pourrais probablement faire un kill du processus bloqué.
Après, à voir sur quelle architecture (Intel vs Apple Silicon), quelle version 
de macOS… tout évolue.

De mon côté, ça fait longtemps que je n’ai vu ni l’un ni l’autre.

Et oui, je sais bien qu’expérience personnelle ne fait pas loi !

Le 19 juil. 2024 à 18:11, Olivier Varenne  a écrit :

Oui enfin j'ai pas vu la tronche d'un bsod depuis longtemps.
Par contre, du wheel of death J'en vois régulièrement.
Mais expérience personnelle isolée ne fait pas loi.


Envoyé à partir de Outlook pour Android<https://aka.ms/AAb9ysg>

From: Philippe ASTIER 
Sent: Friday, July 19, 2024 5:56:48 PM
To: Olivier Varenne ; frnog-al...@frnog.org 

Subject: Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

Ben je sais pas… 1,8 milliards d’appareils, ya Outlook, Word et Excel et 
PowerPoint, on peut connecter écran, clavier, souris ? Imprimer, surfer, 
travailler, jouer… Pourquoi pas ?
Mais sinon tu prends macOS, dont le modèle de sécurité tend vers celui d’iOS.

Je parle de la manière dont le système est développé, des concepts mise en 
oeuvre pour que le système fonctionne, des améliorations apportés à la sécurité.

Après comme on est vendredi, je trolle un peu.
Il y a une différence, ceux qui contemplent les BSOD, et ceux qui bossent 
encore. :)

> Le 19 juil. 2024 à 17:31, Olivier Varenne  a écrit :
>
> Comparer les OS mobiles d'Apple avec Windows ?
> Je ne sais pas si j'aurai tenté.
>
> Cordialement,
>
>
>
> Olivier Varenne
> Président, R&D et développement
> T +33 (0)4 27 04 40 00 | ipconnect.fr
>
> Suivez-nous !
>
>
>> -Message d'origine-
>> De : Philippe ASTIER 
>> Envoyé : vendredi 19 juillet 2024 16:08
>> À : Olivier Varenne ; frnog-al...@frnog.org
>> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes
>> Windows
>>
>> OK.
>>
>> En attendant, il n’y a pas de driver tiers sur les OS mobiles d’Apple, et
>> aucun accès direct au noyau pour aucune application tierce.
>> Sur macOS, les Kernel Extensions vivent leurs derniers instants, et les
>> solutions d’EDR doivent passer par l’EndPoint Security Framework, elles
>> n’ont pas non plus les priviléges noyau. Et ça n’a pas toujours été le
>> cas, c’est juste que ça évolue, justement pour éviter les crashs du
>> noyau.
>>
>> Ce qui est clair, c’est qu’on peut trouver des solutions pour que les
>> logiciels tiers n’aient jamais les privilèges du noyau, même pour des
>> solutions de sécurité.
>>
>> « Performance et complexité »  sont des excuses pour ne surtout rien
>> faire évoluer. Les couches basses de Windows sont fragiles et
>> n'évoluent pas.
>>
>>
>>> Le 19 juil. 2024 à 16:01, Olivier Varenne via frnog 
>> a écrit :
>>>
>>> Sauf que la solution micro kernel, dont on parle depuis longtemps
>> quand meme, se heurte toujours à des soucis de performance et de
>> complexité.
>>>
>>>
>>>
>>> Cordialement,
>>>
>>>
>>>
>>> Olivier Varenne
>>> Président, R&D et développement
>>> T +33 (0)4 27 04 40 00 | ipconnect.fr
>>>
>>> Suivez-nous !
>>>
>>>
>>>> -Message d'origine-
>>>> De : Philippe ASTIER  Envoyé :
>>>> vendredi 19 juillet 2024 14:28 À : Olivier Varenne
>>>>  Cc : David Ponzone
>>>> ; Erwan David ;
>>>> frnog@frnog.org Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur
>> les
>>>> systèmes Windows
>>>>
>>>> Il y a des OS où les extensions au noyau deviennent interdites
>>>> (macOS) ou n’ont jamais existé (iOS/iPadOS).
>>>> Les System Extensions existent, mais elles ne s’exécutent pas avec
>>>> les privilèges du noyau du tout.
>>>>
>>>> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée
>>>> fournis par l’éditeur.
>>>>
>>>> Ce n'’est pas nouveau comme concept, les premiers micro-kernels
>> des
>>>> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau.
>>>>
>>>> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau
>> ou
>>>> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne
>>>> peut pas corrompre le kernel space.
>>>>
>>>>
>>>> Concrètement, ça fait plus de 40 a

Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-21 Thread Paul Rolland (ポール・ロラン)
Bonjour,

Un debut d'analyse :
https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

Pas trop long a lire, ca ne vous gachera pas le dimanche... mais ca ne vous
apprendra pas bcp non plus ;)

Paul

On Fri, 19 Jul 2024 10:05:22 +0200
Stephane Bortzmeyer  wrote:

> Apparemment, de grosses conséquences mondiales, pour les gens qui font
> tourner des services sur Windows.
> 
> https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html
> https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue
> https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/
> 
> (Rien trouvé en français, encore)
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


-- 
Paul RollandE-Mail : rol(at)witbe.net
CTO - Witbe.net SA  Tel. +33 (0)1 47 67 77 77
18 Rue d'Arras, Bat. A11Fax. +33 (0)1 47 67 77 99
F-92000 NanterreRIPE : PR12-RIPE

Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un
navigateur "Some people dream of success... while others wake up and work
hard at it" 

"I worry about my child and the Internet all the time, even though she's
too young to have logged on yet. Here's what I worry about. I worry that 10
or 15 years from now, she will come to me and say 'Daddy, where were you
when they took freedom of the press away from the Internet?'"
--Mike Godwin, Electronic Frontier Foundation 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-21 Thread Laurent Barme



Le 21/07/2024 à 11:14, Paul Rolland (ポール・ロラン) a écrit :

Bonjour,

Un debut d'analyse :
https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

Pas trop long a lire, ca ne vous gachera pas le dimanche... mais ca ne vous
apprendra pas bcp non plus ;)

Paul


Merci pour le lien ; très intéressant…


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-22 Thread Stéphane Rivière

En 2010, une maj de McAffee avait planté des tonnes de windows.

Et quel était le CTO de McAffee ? Le CEO de Clownstrike en 2024 !

Avec le même résultat d'un insecte si bien posé qu'il nécessitait une 
intervention manuelle pour dératiser la fenêtre...


https://www.businesstoday.in/technology/news/story/microsoft-outage-not-the-first-time-crowdstrike-ceo-george-kurtz-is-facing-a-global-disruption-438035-2024-07-22

Comme quoi on peut faire, au plus haut niveau, plusieurs fois le même 
n’importe quoi et, comme on dit jamais deux sans trois...
Reste une question philosophique : à part espionner, démolir des 
fenêtres et planter aussi les serveurs Linux, Clownstrike sert à quoi ?


--
Stéphane Rivière
Ile d'Oléron - France

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-22 Thread Erwan David
On Mon, Jul 22, 2024 at 09:43:01AM CEST, Stéphane Rivière  
said:
> En 2010, une maj de McAffee avait planté des tonnes de windows.
> 
> Et quel était le CTO de McAffee ? Le CEO de Clownstrike en 2024 !
> 
> Avec le même résultat d'un insecte si bien posé qu'il nécessitait une
> intervention manuelle pour dératiser la fenêtre...
> 
> https://www.businesstoday.in/technology/news/story/microsoft-outage-not-the-first-time-crowdstrike-ceo-george-kurtz-is-facing-a-global-disruption-438035-2024-07-22
> 
> Comme quoi on peut faire, au plus haut niveau, plusieurs fois le même
> n’importe quoi et, comme on dit jamais deux sans trois...
> Reste une question philosophique : à part espionner, démolir des fenêtres et
> planter aussi les serveurs Linux, Clownstrike sert à quoi ?

À cocher la case pour l'audit de sécurité "on a un EDR" et comme c'est un des 
plus gros du marché, l'auditeur ne tiquera pas dessus

-- 
Erwan


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-22 Thread Laurent Barme



Le 22/07/2024 à 09:43, Stéphane Rivière a écrit :

En 2010, une maj de McAffee avait planté des tonnes de windows.

Et quel était le CTO de McAffee ? Le CEO de Clownstrike en 2024 !

Avec le même résultat d'un insecte si bien posé qu'il nécessitait une
intervention manuelle pour dératiser la fenêtre...

https://www.businesstoday.in/technology/news/story/microsoft-outage-not-the-first-time-crowdstrike-ceo-george-kurtz-is-facing-a-global-disruption-438035-2024-07-22


Site merdique mais info très intéressante.
Là ce ne serait donc plus un incident mais une malveillance ?

Quoiqu'il en soit, cette mise à jour n'avait certainement pas été testée et 
balancer une mise à jour sans la tester sur une telle surface d'implications, 
c'est au minimum une incompétence grave.




Comme quoi on peut faire, au plus haut niveau, plusieurs fois le même
n’importe quoi et, comme on dit jamais deux sans trois...
Reste une question philosophique : à part espionner, démolir des fenêtres et
planter aussi les serveurs Linux, Clownstrike sert à quoi ?


A faire du fric.
Cela fait partie d'un modèle économique juteux : le cyberracket.
Dans le même registre, on a des assurances qui "encouragent" leurs clients à 
améliorer leur cyber-score sur des points qui relèvent davantage de risques 
hypothétiques que réels…



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-22 Thread Clarinette Tara
J’ai vérifié son bio, i a effectivement été CYO chez McAfee en 2010 quel 
honneur!

Malveillance ou négligence aggravée? 

Le facteur sonne toujours deux fois. Professor @DanielSolove has developed his 
theory of repetitive data breaches. CTOs never learn from their past 
experience?! Kurtz was at McAfee in 2010 
https://www.newsbytesapp.com/news/science/defective-mcafee-once-caused-worldwide-meltdown-of-windows-xp-pcs/story

Sent from my iPhone

> On 22 Jul 2024, at 10:03, Laurent Barme <5...@barme.fr> wrote:
> 
> 
>> Le 22/07/2024 à 09:43, Stéphane Rivière a écrit :
>> En 2010, une maj de McAffee avait planté des tonnes de windows.
>> 
>> Et quel était le CTO de McAffee ? Le CEO de Clownstrike en 2024 !
>> 
>> Avec le même résultat d'un insecte si bien posé qu'il nécessitait une
>> intervention manuelle pour dératiser la fenêtre...
>> 
>> https://www.businesstoday.in/technology/news/story/microsoft-outage-not-the-first-time-crowdstrike-ceo-george-kurtz-is-facing-a-global-disruption-438035-2024-07-22
>> 
> Site merdique mais info très intéressante.
> Là ce ne serait donc plus un incident mais une malveillance ?
> 
> Quoiqu'il en soit, cette mise à jour n'avait certainement pas été testée et 
> balancer une mise à jour sans la tester sur une telle surface d'implications, 
> c'est au minimum une incompétence grave.
> 
>> 
>> Comme quoi on peut faire, au plus haut niveau, plusieurs fois le même
>> n’importe quoi et, comme on dit jamais deux sans trois...
>> Reste une question philosophique : à part espionner, démolir des fenêtres et
>> planter aussi les serveurs Linux, Clownstrike sert à quoi ?
>> 
> A faire du fric.
> Cela fait partie d'un modèle économique juteux : le cyberracket.
> Dans le même registre, on a des assurances qui "encouragent" leurs clients à 
> améliorer leur cyber-score sur des points qui relèvent davantage de risques 
> hypothétiques que réels…
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-22 Thread Clarinette Tara
CrowdStrike me dit-on n’avait pas manqué de planté Linux avec un kernel panik 
https://www.theregister.com/2024/07/21/crowdstrike_linux_crashes_restoration_tools/
Sent from my iPhone

> On 22 Jul 2024, at 10:59, Clarinette Tara  wrote:
> 
> J’ai vérifié son bio, i a effectivement été CYO chez McAfee en 2010 quel 
> honneur!
> 
> Malveillance ou négligence aggravée?
> 
> Le facteur sonne toujours deux fois. Professor @DanielSolove has developed 
> his theory of repetitive data breaches. CTOs never learn from their past 
> experience?! Kurtz was at McAfee in 2010 
> https://www.newsbytesapp.com/news/science/defective-mcafee-once-caused-worldwide-meltdown-of-windows-xp-pcs/story
> 
> Sent from my iPhone
> 
>> On 22 Jul 2024, at 10:03, Laurent Barme <5...@barme.fr> wrote:
>> 
>> 
 Le 22/07/2024 à 09:43, Stéphane Rivière a écrit :
>>> En 2010, une maj de McAffee avait planté des tonnes de windows.
>>> 
>>> Et quel était le CTO de McAffee ? Le CEO de Clownstrike en 2024 !
>>> 
>>> Avec le même résultat d'un insecte si bien posé qu'il nécessitait une
>>> intervention manuelle pour dératiser la fenêtre...
>>> 
>>> https://www.businesstoday.in/technology/news/story/microsoft-outage-not-the-first-time-crowdstrike-ceo-george-kurtz-is-facing-a-global-disruption-438035-2024-07-22
>>> 
>> Site merdique mais info très intéressante.
>> Là ce ne serait donc plus un incident mais une malveillance ?
>> 
>> Quoiqu'il en soit, cette mise à jour n'avait certainement pas été testée et 
>> balancer une mise à jour sans la tester sur une telle surface 
>> d'implications, c'est au minimum une incompétence grave.
>> 
>>> 
>>> Comme quoi on peut faire, au plus haut niveau, plusieurs fois le même
>>> n’importe quoi et, comme on dit jamais deux sans trois...
>>> Reste une question philosophique : à part espionner, démolir des fenêtres et
>>> planter aussi les serveurs Linux, Clownstrike sert à quoi ?
>>> 
>> A faire du fric.
>> Cela fait partie d'un modèle économique juteux : le cyberracket.
>> Dans le même registre, on a des assurances qui "encouragent" leurs clients à 
>> améliorer leur cyber-score sur des points qui relèvent davantage de risques 
>> hypothétiques que réels…
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-22 Thread Stéphane Rivière

CrowdStrike me dit-on n’avait pas manqué de planté Linux avec un kernel panik


ClownStrike est agnostique : il a planté indistinctement du RH, centOS, 
Debian, etc.


Il semble (on manque de source fiable :) que cette 'entreprise' ait été 
financée par des agences US à 3 lettres.


Pourtant, il y a des 'journalistes' pour s'étonner que la Chine n'ait 
pas souffert...


--
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Impli
Hello,

Paru à l'instant, sur le monde.fr
https://www.lemonde.fr/pixels/article/2024/07/19/une-panne-informatique-a-grande-echelle-provoque-le-chaos-en-australie-et-dans-les-aeroports-mondiaux_6252544_4408996.html

Le ven. 19 juil. 2024 à 10:05, Stephane Bortzmeyer  a
écrit :

> Apparemment, de grosses conséquences mondiales, pour les gens qui font
> tourner des services sur Windows.
>
>
> https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html
>
> https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue
>
> https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/
>
> (Rien trouvé en français, encore)
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Michaël BLANDIN
Oui c'est un sacré bazar ce matin...
Incident qui a démarré vers 6h25 ce matin pour nous, tous les serveurs
Windows qui rebootent et passent en BSOD, les postes de travail ont suivi

Le ven. 19 juil. 2024, 10:05, Stephane Bortzmeyer  a
écrit :

> Apparemment, de grosses conséquences mondiales, pour les gens qui font
> tourner des services sur Windows.
>
>
> https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html
>
> https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue
>
> https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/
>
> (Rien trouvé en français, encore)
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Erwan David



Le 7/19/24 à 10:33, David Ponzone a écrit :

Mais je comprends pas comment c’est possible.
Y a des serveurs Windows avec les mises à jour auto activées ?

David

Au moins les mises à jour des signatures crowdstrike...


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Romain
Ca va être sympa pour le conditional access ;)

Le ven. 19 juil. 2024 à 10:15, Paul Rolland (ポール・ロラン) 
a écrit :

> Bonjour,
>
> On Fri, 19 Jul 2024 10:05:22 +0200
> Stephane Bortzmeyer  wrote:
>
> > Apparemment, de grosses conséquences mondiales, pour les gens qui font
> > tourner des services sur Windows.
> >
> >
> https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html
> >
> https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue
> >
> https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/
> >
> > (Rien trouvé en français, encore)
>
> Et pour ceux qui sont impactes, on a cette procedure qui traite sur Reddit
> via le lien diffuse sur [outages] ce matin:
>
>
>
> Boot Windows into Safe Mode or the Windows Recovery Environment
>
> Navigate to the C:\Windows\System32\drivers\CrowdStrike directory
>
> Locate the file matching “C-0291*.sys”, and delete it.
>
> Boot the host normally.
>
> Paul
>
> --
> Paul RollandE-Mail : rol(at)witbe.net
> CTO - Witbe.net SA  Tel. +33 (0)1 47 67 77 77
> 18 Rue d'Arras, Bat. A11Fax. +33 (0)1 47 67 77 99
> F-92000 NanterreRIPE : PR12-RIPE
>
> Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un
> navigateur "Some people dream of success... while others wake up and work
> hard at it"
>
> "I worry about my child and the Internet all the time, even though she's
> too young to have logged on yet. Here's what I worry about. I worry that 10
> or 15 years from now, she will come to me and say 'Daddy, where were you
> when they took freedom of the press away from the Internet?'"
> --Mike Godwin, Electronic Frontier Foundation
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Paul Rolland (ポール・ロラン)
Bonjour,

On Fri, 19 Jul 2024 10:05:22 +0200
Stephane Bortzmeyer  wrote:

> Apparemment, de grosses conséquences mondiales, pour les gens qui font
> tourner des services sur Windows.
> 
> https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html
> https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue
> https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/
> 
> (Rien trouvé en français, encore)

Et pour ceux qui sont impactes, on a cette procedure qui traite sur Reddit
via le lien diffuse sur [outages] ce matin:



Boot Windows into Safe Mode or the Windows Recovery Environment

Navigate to the C:\Windows\System32\drivers\CrowdStrike directory

Locate the file matching “C-0291*.sys”, and delete it.

Boot the host normally.

Paul

-- 
Paul RollandE-Mail : rol(at)witbe.net
CTO - Witbe.net SA  Tel. +33 (0)1 47 67 77 77
18 Rue d'Arras, Bat. A11Fax. +33 (0)1 47 67 77 99
F-92000 NanterreRIPE : PR12-RIPE

Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un
navigateur "Some people dream of success... while others wake up and work
hard at it" 

"I worry about my child and the Internet all the time, even though she's
too young to have logged on yet. Here's what I worry about. I worry that 10
or 15 years from now, she will come to me and say 'Daddy, where were you
when they took freedom of the press away from the Internet?'"
--Mike Godwin, Electronic Frontier Foundation 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Paul Rolland (ポール・ロラン)
Bonjour,

On Fri, 19 Jul 2024 10:46:35 +0200
Romain  wrote:

> Ca va être sympa pour le conditional access ;)

Les joies du clou-d... une belle epine dans le pied ce matin :(

Bon courage a tout ceux qui doivent faire avec ce matin.

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Philippe ASTIER via frnog
Pas seulement Windows, les services 365 sont affectés, donc si tu fais du SSO 
sur 365, tu es touché aussi… juste tu n’as pas le BSOD.

Petites conséquences:
"The US Federal Aviation Administration says all flights from Delta, United, 
and American Airlines are grounded due to a “communication issue.” Berlin 
airport is also warning of travel delays due to “technical issues.”

A voir aussi :
https://www.cnbc.com/2024/07/19/crowdstrike-suffers-major-outage-affecting-businesses-around-the-world.html


On va réimplanter du on-prem à partir de la semaine prochaine, je le sens… 
L’âge d’or des admins système...

Le 19 juil. 2024 à 10:05, Stephane Bortzmeyer  a écrit :

Apparemment, de grosses conséquences mondiales, pour les gens qui font
tourner des services sur Windows.

https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html
https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue
https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/

(Rien trouvé en français, encore)


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread David Ponzone
Mais je comprends pas comment c’est possible.
Y a des serveurs Windows avec les mises à jour auto activées ?

David

> Le 19 juil. 2024 à 10:11, Michaël BLANDIN  a écrit 
> :
> 
> Oui c'est un sacré bazar ce matin...
> Incident qui a démarré vers 6h25 ce matin pour nous, tous les serveurs
> Windows qui rebootent et passent en BSOD, les postes de travail ont suivi
> 
> Le ven. 19 juil. 2024, 10:05, Stephane Bortzmeyer  a
> écrit :
> 
>> Apparemment, de grosses conséquences mondiales, pour les gens qui font
>> tourner des services sur Windows.
>> 
>> 
>> https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html
>> 
>> https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue
>> 
>> https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/
>> 
>> (Rien trouvé en français, encore)
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Laurent Barme



Le 19/07/2024 à 10:33, David Ponzone a écrit :

Mais je comprends pas comment c’est possible.
Y a des serveurs Windows avec les mises à jour auto activées ?


:-))

Excellente !



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Stéphane Rivière

Et alors ?
Depuis quand les mises à jour Windows posent problème ?

--
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread David Ponzone
Ok je connais pas crowdstrike et à quel point il a accès bas niveau dans 
Windows. Mais cela signifie qu’en 2024, Microsoft en est encore à des BSOD 
causés par des applications.
C’est l’action MS qui devrait baisser, pas Crowdstrike.

Ensuite, crowdstrike protège de trucs tellement critiques qu’il est 
inimaginable de retarder les mises à jour de la base de signatures de 24h ?

Question subsidiaire: cela va-t-il modifier l’habituel politique des DSI « j’ai 
pris MS parce qu’on pourra pas me le reprocher ».

David Ponzone



> Le 19 juil. 2024 à 10:40, Erwan David  a écrit :
> 
> 
>> Le 7/19/24 à 10:33, David Ponzone a écrit :
>> Mais je comprends pas comment c’est possible.
>> Y a des serveurs Windows avec les mises à jour auto activées ?
>> 
>> David
> Au moins les mises à jour des signatures crowdstrike...
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Michaël BLANDIN
Il y a quelques temps j'ai eu du kernel panic sur Debian 12 à cause de
CrowdStrike (kernel trop récent/mal supporté). Ils n'en sont pas à leur
coup d'essai

Le ven. 19 juil. 2024, 13:30, David Ponzone  a
écrit :

> Ok je connais pas crowdstrike et à quel point il a accès bas niveau dans
> Windows. Mais cela signifie qu’en 2024, Microsoft en est encore à des BSOD
> causés par des applications.
> C’est l’action MS qui devrait baisser, pas Crowdstrike.
>
> Ensuite, crowdstrike protège de trucs tellement critiques qu’il est
> inimaginable de retarder les mises à jour de la base de signatures de 24h ?
>
> Question subsidiaire: cela va-t-il modifier l’habituel politique des DSI «
> j’ai pris MS parce qu’on pourra pas me le reprocher ».
>
> David Ponzone
>
>
>
> > Le 19 juil. 2024 à 10:40, Erwan David  a écrit :
> >
> > 
> >> Le 7/19/24 à 10:33, David Ponzone a écrit :
> >> Mais je comprends pas comment c’est possible.
> >> Y a des serveurs Windows avec les mises à jour auto activées ?
> >>
> >> David
> > Au moins les mises à jour des signatures crowdstrike...
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Merwan Zenati
Salut a tous,

On est bien ok que les BSOD ne concernent   que les pc ayant crowdstrike 
d’installe ?
Je vois qu’ils sont bien mis en cause, mais je n’ai pas trouve d’article disant 
clairement “seuls les PC eyant comme EDR Crowdstrike sont impactés”

Par ailleurs, ok les services microsoft sont impactes, qu’est ce que cela veut 
dire ? Que MS utilise CS comme EDR et pas leurs merveilleux Windows defender ? 
j’ai du mal a faire le lien 


Aller pour ceux qui ont la ref :)

https://media1.tenor.com/m/dmUPx0eFh4AC/fuck-microsoft.gif

> On 19 Jul 2024, at 12:33, Stéphane Rivière  wrote:
> 
> Et alors ?
> Depuis quand les mises à jour Windows posent problème ?
> 
> -- 
> Stéphane Rivière
> Ile d'Oléron - France
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Philippe ASTIER via frnog
Je cite le blog de CrowdStrike : 
"CrowdStrike is actively working with customers impacted by a defect found in a 
single content update for Windows hosts. Mac and Linux hosts are not impacted. 
This is not a security incident or cyberattack. « 

Après, je suis comme toi, j’ai des clients qui ont été impactés par des applis 
qui faisaient du SSO SAML sur O365, qui a priori n’a pas de rapport.


Sauf si … Microsoft protège certains serveurs d’Azure avec CrowdStrike?

Le post mortem, s’il est transparent, va être passionnant. 
Le problème semble assez simple, l’impact est tout juste délirant. 

> Le 19 juil. 2024 à 13:31, Merwan Zenati  a écrit :
> 
> Salut a tous,
> 
> On est bien ok que les BSOD ne concernent que les pc ayant crowdstrike 
> d’installe ?
> Je vois qu’ils sont bien mis en cause, mais je n’ai pas trouve d’article 
> disant clairement “seuls les PC eyant comme EDR Crowdstrike sont impactés”
> 
> Par ailleurs, ok les services microsoft sont impactes, qu’est ce que cela 
> veut dire ? Que MS utilise CS comme EDR et pas leurs merveilleux Windows 
> defender ? j’ai du mal a faire le lien 
> 
> 
> Aller pour ceux qui ont la ref :)
> 
> https://media1.tenor.com/m/dmUPx0eFh4AC/fuck-microsoft.gif
> 
>> On 19 Jul 2024, at 12:33, Stéphane Rivière  wrote:
>> 
>> Et alors ?
>> Depuis quand les mises à jour Windows posent problème ?
>> 
>> -- 
>> Stéphane Rivière
>> Ile d'Oléron - France
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Guillaume Denoix
Bonjour,

De ce que je comprends, il s'est passé 2 incidents cette nuit.
Et les deux ne me semblent pas liés.

Un problème chez MS sur des services Azure hostés sur la région Central US
ayant débuté à 6pm ET, soit vers minuit pour nous.
Preliminary root cause: A configuration change in a portion of our Azure
backend workloads, caused interruption between storage and compute
resources which resulted in connectivity failures that affected downstream
Microsoft 365 services dependent on these connections.

et le problème Crowdstrike qui impacte les utilisateurs de leur solution
XDR, à priori depuis 7pm UTC, soit  9pm pour nous.

Bref, la double panne :)


On Fri, Jul 19, 2024 at 1:37 PM Philippe ASTIER via frnog 
wrote:

> Je cite le blog de CrowdStrike :
> "CrowdStrike is actively working with customers impacted by a defect found
> in a single content update for Windows hosts. Mac and Linux hosts are not
> impacted. This is not a security incident or cyberattack. «
>
> Après, je suis comme toi, j’ai des clients qui ont été impactés par des
> applis qui faisaient du SSO SAML sur O365, qui a priori n’a pas de rapport.
>
>
> Sauf si … Microsoft protège certains serveurs d’Azure avec CrowdStrike?
>
> Le post mortem, s’il est transparent, va être passionnant.
> Le problème semble assez simple, l’impact est tout juste délirant.
>
> > Le 19 juil. 2024 à 13:31, Merwan Zenati  a
> écrit :
> >
> > Salut a tous,
> >
> > On est bien ok que les BSOD ne concernent que les pc ayant
> crowdstrike d’installe ?
> > Je vois qu’ils sont bien mis en cause, mais je n’ai pas trouve d’article
> disant clairement “seuls les PC eyant comme EDR Crowdstrike sont impactés”
> >
> > Par ailleurs, ok les services microsoft sont impactes, qu’est ce que
> cela veut dire ? Que MS utilise CS comme EDR et pas leurs merveilleux
> Windows defender ? j’ai du mal a faire le lien
> >
> >
> > Aller pour ceux qui ont la ref :)
> >
> > https://media1.tenor.com/m/dmUPx0eFh4AC/fuck-microsoft.gif
> >
> >> On 19 Jul 2024, at 12:33, Stéphane Rivière  wrote:
> >>
> >> Et alors ?
> >> Depuis quand les mises à jour Windows posent problème ?
> >>
> >> --
> >> Stéphane Rivière
> >> Ile d'Oléron - France
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Olivier Varenne via frnog
Je ne vois pas comment tu peux éviter à 100% un bsod/kernel panic. Tu as des 
applis/drivers qui DOIVENT fonctionner en kernel mode. Tu n'as juste pas le 
choix... 

Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez moi si je 
me trompe) viable techniquement/commercialement n'existe à ce jour, c'est un 
peu fort de café...





Cordialement,
 


Olivier Varenne
Président, R&D et développement
T +33 (0)4 27 04 40 00 | ipconnect.fr

Suivez-nous ! 


> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> David Ponzone
> Envoyé : vendredi 19 juillet 2024 13:30
> À : Erwan David 
> Cc : frnog@frnog.org
> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes
> Windows
> 
> Ok je connais pas crowdstrike et à quel point il a accès bas niveau dans
> Windows. Mais cela signifie qu’en 2024, Microsoft en est encore à des
> BSOD causés par des applications.
> C’est l’action MS qui devrait baisser, pas Crowdstrike.
> 
> Ensuite, crowdstrike protège de trucs tellement critiques qu’il est
> inimaginable de retarder les mises à jour de la base de signatures de
> 24h ?
> 
> Question subsidiaire: cela va-t-il modifier l’habituel politique des DSI «
> j’ai pris MS parce qu’on pourra pas me le reprocher ».
> 
> David Ponzone
> 
> 
> 
> > Le 19 juil. 2024 à 10:40, Erwan David  a écrit :
> >
> > 
> >> Le 7/19/24 à 10:33, David Ponzone a écrit :
> >> Mais je comprends pas comment c’est possible.
> >> Y a des serveurs Windows avec les mises à jour auto activées ?
> >>
> >> David
> > Au moins les mises à jour des signatures crowdstrike...
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Paul Rolland (ポール・ロラン)
Hello,

On Fri, 19 Jul 2024 13:50:53 +0200
Guillaume Denoix  wrote:

> et le problème Crowdstrike qui impacte les utilisateurs de leur solution
> XDR, à priori depuis 7pm UTC, soit  9pm pour nous.

Un premier post a ete fait a ce sujet sur [outages] a 7H51 heure de Paris.
Il renvoyait sur une discussion Reddit qui etait deja bien chaude a ce
moment-la.
Donc, je pense qu'on peut avant d'au moins une heure le moment ou ca a
commence.

Paul

-- 
Paul RollandE-Mail : rol(at)witbe.net
CTO - Witbe.net SA  Tel. +33 (0)1 47 67 77 77
18 Rue d'Arras, Bat. A11Fax. +33 (0)1 47 67 77 99
F-92000 NanterreRIPE : PR12-RIPE

Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un
navigateur "Some people dream of success... while others wake up and work
hard at it" 

"I worry about my child and the Internet all the time, even though she's
too young to have logged on yet. Here's what I worry about. I worry that 10
or 15 years from now, she will come to me and say 'Daddy, where were you
when they took freedom of the press away from the Internet?'"
--Mike Godwin, Electronic Frontier Foundation 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Philippe ASTIER via frnog
Il y a des OS où les extensions au noyau deviennent interdites (macOS) ou n’ont 
jamais existé (iOS/iPadOS).
Les System Extensions existent, mais elles ne s’exécutent pas avec les 
privilèges du noyau du tout.

Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée fournis par 
l’éditeur. 

Ce n'’est pas nouveau comme concept, les premiers micro-kernels des années 1990 
n’avaient déjà pas leurs drivers au niveau du noyau.

Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau ou reboot 
pour ajouter ou enlever des drivers. Un driver qui plante ne peut pas corrompre 
le kernel space.


Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi vivraient 
les vendeurs d’antivirus ? (On me l’a rétorqué un jour…)


On se rend compte que le bud de CriwdStrike empêche le boot, et que donc (a 
priori pour le moment), la seule solution est de passer MANUELLEMENT sur chaque 
poste concerné ? 
C’est le scenario cauchemar.


Donc oui, l’écriture même des OS de Microsoft est un risque. CrowdStrike s’est 
planté en beauté, mais MS le favorise...


> Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog  a écrit 
> :
> 
> Je ne vois pas comment tu peux éviter à 100% un bsod/kernel panic. Tu as des 
> applis/drivers qui DOIVENT fonctionner en kernel mode. Tu n'as juste pas le 
> choix... 
> 
> Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez moi si 
> je me trompe) viable techniquement/commercialement n'existe à ce jour, c'est 
> un peu fort de café...
> 
> 
> 
> 
> 
> Cordialement,
>  
> 
> 
> Olivier Varenne
> Président, R&D et développement
> T +33 (0)4 27 04 40 00 | ipconnect.fr
> 
> Suivez-nous ! 
> 
> 
>> -Message d'origine-
>> De : frnog-requ...@frnog.org  De la part de
>> David Ponzone
>> Envoyé : vendredi 19 juillet 2024 13:30
>> À : Erwan David 
>> Cc : frnog@frnog.org
>> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes
>> Windows
>> 
>> Ok je connais pas crowdstrike et à quel point il a accès bas niveau dans
>> Windows. Mais cela signifie qu’en 2024, Microsoft en est encore à des
>> BSOD causés par des applications.
>> C’est l’action MS qui devrait baisser, pas Crowdstrike.
>> 
>> Ensuite, crowdstrike protège de trucs tellement critiques qu’il est
>> inimaginable de retarder les mises à jour de la base de signatures de
>> 24h ?
>> 
>> Question subsidiaire: cela va-t-il modifier l’habituel politique des DSI «
>> j’ai pris MS parce qu’on pourra pas me le reprocher ».
>> 
>> David Ponzone
>> 
>> 
>> 
>>> Le 19 juil. 2024 à 10:40, Erwan David  a écrit :
>>> 
>>> 
>>>> Le 7/19/24 à 10:33, David Ponzone a écrit :
>>>> Mais je comprends pas comment c’est possible.
>>>> Y a des serveurs Windows avec les mises à jour auto activées ?
>>>> 
>>>> David
>>> Au moins les mises à jour des signatures crowdstrike...
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Frédéric ROBERT via frnog
On Fri, Jul 19, 2024 at 10:05:22AM +0200, Stephane Bortzmeyer wrote:
> Apparemment, de grosses conséquences mondiales, pour les gens qui font
> tourner des services sur Windows.

Le troll du vendredi. "Microsoft n'azure pas" ;) 

Que la force du libre soit avec nous mes frères et soeurs. 

Bonne journée,

-- 
Frédéric ROBERT


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Stéphane Rivière

Le troll du vendredi. "Microsoft n'azure pas" ;)


J'adore :)

/Microsoft est une compagnie, non pas précisément d'assurance, car il 
n'*azure* pas, mais de peur, d'incertitude et de doute/.

Proudhon - librement recyclé :)


Que la force du libre soit avec nous mes frères et soeurs.


Amen ! pardon, Hache !

--
Stéphane Rivière
Ile d'Oléron - France

---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Olivier Varenne via frnog
Sauf que la solution micro kernel, dont on parle depuis longtemps quand meme, 
se heurte toujours à des soucis de performance et de complexité.



Cordialement,
 


Olivier Varenne
Président, R&D et développement
T +33 (0)4 27 04 40 00 | ipconnect.fr

Suivez-nous ! 


> -Message d'origine-
> De : Philippe ASTIER 
> Envoyé : vendredi 19 juillet 2024 14:28
> À : Olivier Varenne 
> Cc : David Ponzone ; Erwan David
> ; frnog@frnog.org
> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes
> Windows
> 
> Il y a des OS où les extensions au noyau deviennent interdites (macOS)
> ou n’ont jamais existé (iOS/iPadOS).
> Les System Extensions existent, mais elles ne s’exécutent pas avec les
> privilèges du noyau du tout.
> 
> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée
> fournis par l’éditeur.
> 
> Ce n'’est pas nouveau comme concept, les premiers micro-kernels des
> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau.
> 
> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau ou
> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne peut
> pas corrompre le kernel space.
> 
> 
> Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi
> vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…)
> 
> 
> On se rend compte que le bud de CriwdStrike empêche le boot, et que
> donc (a priori pour le moment), la seule solution est de passer
> MANUELLEMENT sur chaque poste concerné ?
> C’est le scenario cauchemar.
> 
> 
> Donc oui, l’écriture même des OS de Microsoft est un risque.
> CrowdStrike s’est planté en beauté, mais MS le favorise...
> 
> 
> > Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog 
> a écrit :
> >
> > Je ne vois pas comment tu peux éviter à 100% un bsod/kernel panic.
> Tu as des applis/drivers qui DOIVENT fonctionner en kernel mode. Tu
> n'as juste pas le choix...
> >
> > Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez
> moi si je me trompe) viable techniquement/commercialement n'existe à
> ce jour, c'est un peu fort de café...
> >
> >
> >
> >
> >
> > Cordialement,
> >
> >
> >
> > Olivier Varenne
> > Président, R&D et développement
> > T +33 (0)4 27 04 40 00 | ipconnect.fr
> >
> > Suivez-nous !
> >
> >
> >> -Message d'origine-
> >> De : frnog-requ...@frnog.org  De la part
> de
> >> David Ponzone Envoyé : vendredi 19 juillet 2024 13:30 À : Erwan
> David
> >>  Cc : frnog@frnog.org Objet : Re: [FRnOG]
> [ALERT]
> >> Panne Crowdstrike sur les systèmes Windows
> >>
> >> Ok je connais pas crowdstrike et à quel point il a accès bas niveau
> >> dans Windows. Mais cela signifie qu’en 2024, Microsoft en est
> encore
> >> à des BSOD causés par des applications.
> >> C’est l’action MS qui devrait baisser, pas Crowdstrike.
> >>
> >> Ensuite, crowdstrike protège de trucs tellement critiques qu’il est
> >> inimaginable de retarder les mises à jour de la base de signatures de
> >> 24h ?
> >>
> >> Question subsidiaire: cela va-t-il modifier l’habituel politique des
> >> DSI « j’ai pris MS parce qu’on pourra pas me le reprocher ».
> >>
> >> David Ponzone
> >>
> >>
> >>
> >>> Le 19 juil. 2024 à 10:40, Erwan David  a écrit
> :
> >>>
> >>>
> >>>> Le 7/19/24 à 10:33, David Ponzone a écrit :
> >>>> Mais je comprends pas comment c’est possible.
> >>>> Y a des serveurs Windows avec les mises à jour auto activées ?
> >>>>
> >>>> David
> >>> Au moins les mises à jour des signatures crowdstrike...
> >>>
> >>>
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Philippe ASTIER via frnog
OK.

En attendant, il n’y a pas de driver tiers sur les OS mobiles d’Apple, et aucun 
accès direct au noyau pour aucune application tierce.
Sur macOS, les Kernel Extensions vivent leurs derniers instants, et les 
solutions d’EDR doivent passer par l’EndPoint Security Framework, elles n’ont 
pas non plus les priviléges noyau. Et ça n’a pas toujours été le cas, c’est 
juste que ça évolue, justement pour éviter les crashs du noyau.

Ce qui est clair, c’est qu’on peut trouver des solutions pour que les logiciels 
tiers n’aient jamais les privilèges du noyau, même pour des solutions de 
sécurité.

« Performance et complexité »  sont des excuses pour ne surtout rien faire 
évoluer. Les couches basses de Windows sont fragiles et n'évoluent pas.


> Le 19 juil. 2024 à 16:01, Olivier Varenne via frnog  a écrit 
> :
> 
> Sauf que la solution micro kernel, dont on parle depuis longtemps quand meme, 
> se heurte toujours à des soucis de performance et de complexité.
> 
> 
> 
> Cordialement,
>  
> 
> 
> Olivier Varenne
> Président, R&D et développement
> T +33 (0)4 27 04 40 00 | ipconnect.fr
> 
> Suivez-nous ! 
> 
> 
>> -Message d'origine-
>> De : Philippe ASTIER 
>> Envoyé : vendredi 19 juillet 2024 14:28
>> À : Olivier Varenne 
>> Cc : David Ponzone ; Erwan David
>> ; frnog@frnog.org
>> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes
>> Windows
>> 
>> Il y a des OS où les extensions au noyau deviennent interdites (macOS)
>> ou n’ont jamais existé (iOS/iPadOS).
>> Les System Extensions existent, mais elles ne s’exécutent pas avec les
>> privilèges du noyau du tout.
>> 
>> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée
>> fournis par l’éditeur.
>> 
>> Ce n'’est pas nouveau comme concept, les premiers micro-kernels des
>> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau.
>> 
>> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau ou
>> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne peut
>> pas corrompre le kernel space.
>> 
>> 
>> Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi
>> vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…)
>> 
>> 
>> On se rend compte que le bud de CriwdStrike empêche le boot, et que
>> donc (a priori pour le moment), la seule solution est de passer
>> MANUELLEMENT sur chaque poste concerné ?
>> C’est le scenario cauchemar.
>> 
>> 
>> Donc oui, l’écriture même des OS de Microsoft est un risque.
>> CrowdStrike s’est planté en beauté, mais MS le favorise...
>> 
>> 
>>> Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog 
>> a écrit :
>>> 
>>> Je ne vois pas comment tu peux éviter à 100% un bsod/kernel panic.
>> Tu as des applis/drivers qui DOIVENT fonctionner en kernel mode. Tu
>> n'as juste pas le choix...
>>> 
>>> Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez
>> moi si je me trompe) viable techniquement/commercialement n'existe à
>> ce jour, c'est un peu fort de café...
>>> 
>>> 
>>> 
>>> 
>>> 
>>> Cordialement,
>>> 
>>> 
>>> 
>>> Olivier Varenne
>>> Président, R&D et développement
>>> T +33 (0)4 27 04 40 00 | ipconnect.fr
>>> 
>>> Suivez-nous !
>>> 
>>> 
>>>> -Message d'origine-
>>>> De : frnog-requ...@frnog.org  De la part
>> de
>>>> David Ponzone Envoyé : vendredi 19 juillet 2024 13:30 À : Erwan
>> David
>>>>  Cc : frnog@frnog.org Objet : Re: [FRnOG]
>> [ALERT]
>>>> Panne Crowdstrike sur les systèmes Windows
>>>> 
>>>> Ok je connais pas crowdstrike et à quel point il a accès bas niveau
>>>> dans Windows. Mais cela signifie qu’en 2024, Microsoft en est
>> encore
>>>> à des BSOD causés par des applications.
>>>> C’est l’action MS qui devrait baisser, pas Crowdstrike.
>>>> 
>>>> Ensuite, crowdstrike protège de trucs tellement critiques qu’il est
>>>> inimaginable de retarder les mises à jour de la base de signatures de
>>>> 24h ?
>>>> 
>>>> Question subsidiaire: cela va-t-il modifier l’habituel politique des
>>>> DSI « j’ai pris MS parce qu’on pourra pas me le reprocher ».
>>>> 
>>>> David Ponzone
>>>> 
>>>> 
>>>> 
>>>>> Le 19 juil. 2024 à 10:40, Erwan David  a écrit
>> :
>>>>> 
>>>>> 
>>>>>> Le 7/19/24 à 10:33, David Ponzone a écrit :
>>>>>> Mais je comprends pas comment c’est possible.
>>>>>> Y a des serveurs Windows avec les mises à jour auto activées ?
>>>>>> 
>>>>>> David
>>>>> Au moins les mises à jour des signatures crowdstrike...
>>>>> 
>>>>> 
>>>>> ---
>>>>> Liste de diffusion du FRnOG
>>>>> http://www.frnog.org/
>>>> 
>>>> 
>>>> ---
>>>> Liste de diffusion du FRnOG
>>>> http://www.frnog.org/
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


RE: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Olivier Varenne via frnog
Comparer les OS mobiles d'Apple avec Windows ?
Je ne sais pas si j'aurai tenté.

Cordialement,
 


Olivier Varenne
Président, R&D et développement
T +33 (0)4 27 04 40 00 | ipconnect.fr

Suivez-nous ! 


> -Message d'origine-
> De : Philippe ASTIER 
> Envoyé : vendredi 19 juillet 2024 16:08
> À : Olivier Varenne ; frnog-al...@frnog.org
> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes
> Windows
> 
> OK.
> 
> En attendant, il n’y a pas de driver tiers sur les OS mobiles d’Apple, et
> aucun accès direct au noyau pour aucune application tierce.
> Sur macOS, les Kernel Extensions vivent leurs derniers instants, et les
> solutions d’EDR doivent passer par l’EndPoint Security Framework, elles
> n’ont pas non plus les priviléges noyau. Et ça n’a pas toujours été le
> cas, c’est juste que ça évolue, justement pour éviter les crashs du
> noyau.
> 
> Ce qui est clair, c’est qu’on peut trouver des solutions pour que les
> logiciels tiers n’aient jamais les privilèges du noyau, même pour des
> solutions de sécurité.
> 
> « Performance et complexité »  sont des excuses pour ne surtout rien
> faire évoluer. Les couches basses de Windows sont fragiles et
> n'évoluent pas.
> 
> 
> > Le 19 juil. 2024 à 16:01, Olivier Varenne via frnog 
> a écrit :
> >
> > Sauf que la solution micro kernel, dont on parle depuis longtemps
> quand meme, se heurte toujours à des soucis de performance et de
> complexité.
> >
> >
> >
> > Cordialement,
> >
> >
> >
> > Olivier Varenne
> > Président, R&D et développement
> > T +33 (0)4 27 04 40 00 | ipconnect.fr
> >
> > Suivez-nous !
> >
> >
> >> -Message d'origine-----
> >> De : Philippe ASTIER  Envoyé :
> >> vendredi 19 juillet 2024 14:28 À : Olivier Varenne
> >>  Cc : David Ponzone
> >> ; Erwan David ;
> >> frnog@frnog.org Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur
> les
> >> systèmes Windows
> >>
> >> Il y a des OS où les extensions au noyau deviennent interdites
> >> (macOS) ou n’ont jamais existé (iOS/iPadOS).
> >> Les System Extensions existent, mais elles ne s’exécutent pas avec
> >> les privilèges du noyau du tout.
> >>
> >> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée
> >> fournis par l’éditeur.
> >>
> >> Ce n'’est pas nouveau comme concept, les premiers micro-kernels
> des
> >> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau.
> >>
> >> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau
> ou
> >> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne
> >> peut pas corrompre le kernel space.
> >>
> >>
> >> Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi
> >> vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…)
> >>
> >>
> >> On se rend compte que le bud de CriwdStrike empêche le boot, et
> que
> >> donc (a priori pour le moment), la seule solution est de passer
> >> MANUELLEMENT sur chaque poste concerné ?
> >> C’est le scenario cauchemar.
> >>
> >>
> >> Donc oui, l’écriture même des OS de Microsoft est un risque.
> >> CrowdStrike s’est planté en beauté, mais MS le favorise...
> >>
> >>
> >>> Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog
> >>> 
> >> a écrit :
> >>>
> >>> Je ne vois pas comment tu peux éviter à 100% un bsod/kernel
> panic.
> >> Tu as des applis/drivers qui DOIVENT fonctionner en kernel mode.
> Tu
> >> n'as juste pas le choix...
> >>>
> >>> Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez
> >> moi si je me trompe) viable techniquement/commercialement
> n'existe à
> >> ce jour, c'est un peu fort de café...
> >>>
> >>>
> >>>
> >>>
> >>>
> >>> Cordialement,
> >>>
> >>>
> >>>
> >>> Olivier Varenne
> >>> Président, R&D et développement
> >>> T +33 (0)4 27 04 40 00 | ipconnect.fr
> >>>
> >>> Suivez-nous !
> >>>
> >>>
> >>>> -Message d'origine-
> >>>> De : frnog-requ...@frnog.org  De la
> part
> >> de
> >>>> David Ponzone Envoyé : vendredi 19 juillet 2024 13:30 À : Erwan
> >> David
> >>>>  Cc : frnog@f

Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Philippe ASTIER via frnog
Ben je sais pas… 1,8 milliards d’appareils, ya Outlook, Word et Excel et 
PowerPoint, on peut connecter écran, clavier, souris ? Imprimer, surfer, 
travailler, jouer… Pourquoi pas ?
Mais sinon tu prends macOS, dont le modèle de sécurité tend vers celui d’iOS.

Je parle de la manière dont le système est développé, des concepts mise en 
oeuvre pour que le système fonctionne, des améliorations apportés à la sécurité.

Après comme on est vendredi, je trolle un peu. 
Il y a une différence, ceux qui contemplent les BSOD, et ceux qui bossent 
encore. :)

> Le 19 juil. 2024 à 17:31, Olivier Varenne  a écrit :
> 
> Comparer les OS mobiles d'Apple avec Windows ?
> Je ne sais pas si j'aurai tenté.
> 
> Cordialement,
>  
> 
> 
> Olivier Varenne
> Président, R&D et développement
> T +33 (0)4 27 04 40 00 | ipconnect.fr
> 
> Suivez-nous ! 
> 
> 
>> -Message d'origine-
>> De : Philippe ASTIER 
>> Envoyé : vendredi 19 juillet 2024 16:08
>> À : Olivier Varenne ; frnog-al...@frnog.org
>> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes
>> Windows
>> 
>> OK.
>> 
>> En attendant, il n’y a pas de driver tiers sur les OS mobiles d’Apple, et
>> aucun accès direct au noyau pour aucune application tierce.
>> Sur macOS, les Kernel Extensions vivent leurs derniers instants, et les
>> solutions d’EDR doivent passer par l’EndPoint Security Framework, elles
>> n’ont pas non plus les priviléges noyau. Et ça n’a pas toujours été le
>> cas, c’est juste que ça évolue, justement pour éviter les crashs du
>> noyau.
>> 
>> Ce qui est clair, c’est qu’on peut trouver des solutions pour que les
>> logiciels tiers n’aient jamais les privilèges du noyau, même pour des
>> solutions de sécurité.
>> 
>> « Performance et complexité »  sont des excuses pour ne surtout rien
>> faire évoluer. Les couches basses de Windows sont fragiles et
>> n'évoluent pas.
>> 
>> 
>>> Le 19 juil. 2024 à 16:01, Olivier Varenne via frnog 
>> a écrit :
>>> 
>>> Sauf que la solution micro kernel, dont on parle depuis longtemps
>> quand meme, se heurte toujours à des soucis de performance et de
>> complexité.
>>> 
>>> 
>>> 
>>> Cordialement,
>>> 
>>> 
>>> 
>>> Olivier Varenne
>>> Président, R&D et développement
>>> T +33 (0)4 27 04 40 00 | ipconnect.fr
>>> 
>>> Suivez-nous !
>>> 
>>> 
>>>> -Message d'origine-
>>>> De : Philippe ASTIER  Envoyé :
>>>> vendredi 19 juillet 2024 14:28 À : Olivier Varenne
>>>>  Cc : David Ponzone
>>>> ; Erwan David ;
>>>> frnog@frnog.org Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur
>> les
>>>> systèmes Windows
>>>> 
>>>> Il y a des OS où les extensions au noyau deviennent interdites
>>>> (macOS) ou n’ont jamais existé (iOS/iPadOS).
>>>> Les System Extensions existent, mais elles ne s’exécutent pas avec
>>>> les privilèges du noyau du tout.
>>>> 
>>>> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée
>>>> fournis par l’éditeur.
>>>> 
>>>> Ce n'’est pas nouveau comme concept, les premiers micro-kernels
>> des
>>>> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau.
>>>> 
>>>> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau
>> ou
>>>> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne
>>>> peut pas corrompre le kernel space.
>>>> 
>>>> 
>>>> Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi
>>>> vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…)
>>>> 
>>>> 
>>>> On se rend compte que le bud de CriwdStrike empêche le boot, et
>> que
>>>> donc (a priori pour le moment), la seule solution est de passer
>>>> MANUELLEMENT sur chaque poste concerné ?
>>>> C’est le scenario cauchemar.
>>>> 
>>>> 
>>>> Donc oui, l’écriture même des OS de Microsoft est un risque.
>>>> CrowdStrike s’est planté en beauté, mais MS le favorise...
>>>> 
>>>> 
>>>>> Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog
>>>>> 
>>>> a écrit :
>>>>> 
>>>>> Je ne vois pas comment tu peux éviter à 100% un bsod/kernel
>> panic.
>>>> Tu as des applis/drivers qui DOIVENT fonctionner en 

Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Olivier Varenne via frnog
Oui enfin j'ai pas vu la tronche d'un bsod depuis longtemps.
Par contre, du wheel of death J'en vois régulièrement.
Mais expérience personnelle isolée ne fait pas loi.


Envoyé à partir de Outlook pour Android<https://aka.ms/AAb9ysg>

From: Philippe ASTIER 
Sent: Friday, July 19, 2024 5:56:48 PM
To: Olivier Varenne ; frnog-al...@frnog.org 

Subject: Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

Ben je sais pas… 1,8 milliards d’appareils, ya Outlook, Word et Excel et 
PowerPoint, on peut connecter écran, clavier, souris ? Imprimer, surfer, 
travailler, jouer… Pourquoi pas ?
Mais sinon tu prends macOS, dont le modèle de sécurité tend vers celui d’iOS.

Je parle de la manière dont le système est développé, des concepts mise en 
oeuvre pour que le système fonctionne, des améliorations apportés à la sécurité.

Après comme on est vendredi, je trolle un peu.
Il y a une différence, ceux qui contemplent les BSOD, et ceux qui bossent 
encore. :)

> Le 19 juil. 2024 à 17:31, Olivier Varenne  a écrit :
>
> Comparer les OS mobiles d'Apple avec Windows ?
> Je ne sais pas si j'aurai tenté.
>
> Cordialement,
>
>
>
> Olivier Varenne
> Président, R&D et développement
> T +33 (0)4 27 04 40 00 | ipconnect.fr
>
> Suivez-nous !
>
>
>> -Message d'origine-
>> De : Philippe ASTIER 
>> Envoyé : vendredi 19 juillet 2024 16:08
>> À : Olivier Varenne ; frnog-al...@frnog.org
>> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes
>> Windows
>>
>> OK.
>>
>> En attendant, il n’y a pas de driver tiers sur les OS mobiles d’Apple, et
>> aucun accès direct au noyau pour aucune application tierce.
>> Sur macOS, les Kernel Extensions vivent leurs derniers instants, et les
>> solutions d’EDR doivent passer par l’EndPoint Security Framework, elles
>> n’ont pas non plus les priviléges noyau. Et ça n’a pas toujours été le
>> cas, c’est juste que ça évolue, justement pour éviter les crashs du
>> noyau.
>>
>> Ce qui est clair, c’est qu’on peut trouver des solutions pour que les
>> logiciels tiers n’aient jamais les privilèges du noyau, même pour des
>> solutions de sécurité.
>>
>> « Performance et complexité »  sont des excuses pour ne surtout rien
>> faire évoluer. Les couches basses de Windows sont fragiles et
>> n'évoluent pas.
>>
>>
>>> Le 19 juil. 2024 à 16:01, Olivier Varenne via frnog 
>> a écrit :
>>>
>>> Sauf que la solution micro kernel, dont on parle depuis longtemps
>> quand meme, se heurte toujours à des soucis de performance et de
>> complexité.
>>>
>>>
>>>
>>> Cordialement,
>>>
>>>
>>>
>>> Olivier Varenne
>>> Président, R&D et développement
>>> T +33 (0)4 27 04 40 00 | ipconnect.fr
>>>
>>> Suivez-nous !
>>>
>>>
>>>> -Message d'origine-
>>>> De : Philippe ASTIER  Envoyé :
>>>> vendredi 19 juillet 2024 14:28 À : Olivier Varenne
>>>>  Cc : David Ponzone
>>>> ; Erwan David ;
>>>> frnog@frnog.org Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur
>> les
>>>> systèmes Windows
>>>>
>>>> Il y a des OS où les extensions au noyau deviennent interdites
>>>> (macOS) ou n’ont jamais existé (iOS/iPadOS).
>>>> Les System Extensions existent, mais elles ne s’exécutent pas avec
>>>> les privilèges du noyau du tout.
>>>>
>>>> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée
>>>> fournis par l’éditeur.
>>>>
>>>> Ce n'’est pas nouveau comme concept, les premiers micro-kernels
>> des
>>>> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau.
>>>>
>>>> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau
>> ou
>>>> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne
>>>> peut pas corrompre le kernel space.
>>>>
>>>>
>>>> Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi
>>>> vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…)
>>>>
>>>>
>>>> On se rend compte que le bud de CriwdStrike empêche le boot, et
>> que
>>>> donc (a priori pour le moment), la seule solution est de passer
>>>> MANUELLEMENT sur chaque poste concerné ?
>>>> C’est le scenario cauchemar.
>>>>
>>>>
>>>> Donc oui, l’écriture même des OS de Microsoft est un r

Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-19 Thread Philippe ASTIER via frnog
Donc, tu n’as pas vu de Kernel Panic sur Mac depuis longtemps (équivalent du 
BSOD).
La wheel of death, le noyau n’est pas planté. Si tu pouvais te connecter en SSH 
sur la machine, tu pourrais probablement faire un kill du processus bloqué.
Après, à voir sur quelle architecture (Intel vs Apple Silicon), quelle version 
de macOS… tout évolue.

De mon côté, ça fait longtemps que je n’ai vu ni l’un ni l’autre.

Et oui, je sais bien qu’expérience personnelle ne fait pas loi !

Le 19 juil. 2024 à 18:11, Olivier Varenne  a écrit :

Oui enfin j'ai pas vu la tronche d'un bsod depuis longtemps.
Par contre, du wheel of death J'en vois régulièrement.
Mais expérience personnelle isolée ne fait pas loi.


Envoyé à partir de Outlook pour Android<https://aka.ms/AAb9ysg>

From: Philippe ASTIER 
Sent: Friday, July 19, 2024 5:56:48 PM
To: Olivier Varenne ; frnog-al...@frnog.org 

Subject: Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

Ben je sais pas… 1,8 milliards d’appareils, ya Outlook, Word et Excel et 
PowerPoint, on peut connecter écran, clavier, souris ? Imprimer, surfer, 
travailler, jouer… Pourquoi pas ?
Mais sinon tu prends macOS, dont le modèle de sécurité tend vers celui d’iOS.

Je parle de la manière dont le système est développé, des concepts mise en 
oeuvre pour que le système fonctionne, des améliorations apportés à la sécurité.

Après comme on est vendredi, je trolle un peu.
Il y a une différence, ceux qui contemplent les BSOD, et ceux qui bossent 
encore. :)

> Le 19 juil. 2024 à 17:31, Olivier Varenne  a écrit :
>
> Comparer les OS mobiles d'Apple avec Windows ?
> Je ne sais pas si j'aurai tenté.
>
> Cordialement,
>
>
>
> Olivier Varenne
> Président, R&D et développement
> T +33 (0)4 27 04 40 00 | ipconnect.fr
>
> Suivez-nous !
>
>
>> -Message d'origine-
>> De : Philippe ASTIER 
>> Envoyé : vendredi 19 juillet 2024 16:08
>> À : Olivier Varenne ; frnog-al...@frnog.org
>> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes
>> Windows
>>
>> OK.
>>
>> En attendant, il n’y a pas de driver tiers sur les OS mobiles d’Apple, et
>> aucun accès direct au noyau pour aucune application tierce.
>> Sur macOS, les Kernel Extensions vivent leurs derniers instants, et les
>> solutions d’EDR doivent passer par l’EndPoint Security Framework, elles
>> n’ont pas non plus les priviléges noyau. Et ça n’a pas toujours été le
>> cas, c’est juste que ça évolue, justement pour éviter les crashs du
>> noyau.
>>
>> Ce qui est clair, c’est qu’on peut trouver des solutions pour que les
>> logiciels tiers n’aient jamais les privilèges du noyau, même pour des
>> solutions de sécurité.
>>
>> « Performance et complexité »  sont des excuses pour ne surtout rien
>> faire évoluer. Les couches basses de Windows sont fragiles et
>> n'évoluent pas.
>>
>>
>>> Le 19 juil. 2024 à 16:01, Olivier Varenne via frnog 
>> a écrit :
>>>
>>> Sauf que la solution micro kernel, dont on parle depuis longtemps
>> quand meme, se heurte toujours à des soucis de performance et de
>> complexité.
>>>
>>>
>>>
>>> Cordialement,
>>>
>>>
>>>
>>> Olivier Varenne
>>> Président, R&D et développement
>>> T +33 (0)4 27 04 40 00 | ipconnect.fr
>>>
>>> Suivez-nous !
>>>
>>>
>>>> -Message d'origine-
>>>> De : Philippe ASTIER  Envoyé :
>>>> vendredi 19 juillet 2024 14:28 À : Olivier Varenne
>>>>  Cc : David Ponzone
>>>> ; Erwan David ;
>>>> frnog@frnog.org Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur
>> les
>>>> systèmes Windows
>>>>
>>>> Il y a des OS où les extensions au noyau deviennent interdites
>>>> (macOS) ou n’ont jamais existé (iOS/iPadOS).
>>>> Les System Extensions existent, mais elles ne s’exécutent pas avec
>>>> les privilèges du noyau du tout.
>>>>
>>>> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée
>>>> fournis par l’éditeur.
>>>>
>>>> Ce n'’est pas nouveau comme concept, les premiers micro-kernels
>> des
>>>> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau.
>>>>
>>>> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau
>> ou
>>>> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne
>>>> peut pas corrompre le kernel space.
>>>>
>>>>
>>>> Concrètement, ça fait plus de 40 a

Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-21 Thread Paul Rolland (ポール・ロラン)
Bonjour,

Un debut d'analyse :
https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

Pas trop long a lire, ca ne vous gachera pas le dimanche... mais ca ne vous
apprendra pas bcp non plus ;)

Paul

On Fri, 19 Jul 2024 10:05:22 +0200
Stephane Bortzmeyer  wrote:

> Apparemment, de grosses conséquences mondiales, pour les gens qui font
> tourner des services sur Windows.
> 
> https://edition.cnn.com/webview/business/live-news/global-outage-intl-hnk/index.html
> https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue
> https://www.windowslatest.com/2024/07/19/windows-10-crashes-with-bsod-stuck-at-recovery-due-to-crowdstrike-update/
> 
> (Rien trouvé en français, encore)
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


-- 
Paul RollandE-Mail : rol(at)witbe.net
CTO - Witbe.net SA  Tel. +33 (0)1 47 67 77 77
18 Rue d'Arras, Bat. A11Fax. +33 (0)1 47 67 77 99
F-92000 NanterreRIPE : PR12-RIPE

Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un
navigateur "Some people dream of success... while others wake up and work
hard at it" 

"I worry about my child and the Internet all the time, even though she's
too young to have logged on yet. Here's what I worry about. I worry that 10
or 15 years from now, she will come to me and say 'Daddy, where were you
when they took freedom of the press away from the Internet?'"
--Mike Godwin, Electronic Frontier Foundation 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-21 Thread Laurent Barme



Le 21/07/2024 à 11:14, Paul Rolland (ポール・ロラン) a écrit :

Bonjour,

Un debut d'analyse :
https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

Pas trop long a lire, ca ne vous gachera pas le dimanche... mais ca ne vous
apprendra pas bcp non plus ;)

Paul


Merci pour le lien ; très intéressant…


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-22 Thread Stéphane Rivière

En 2010, une maj de McAffee avait planté des tonnes de windows.

Et quel était le CTO de McAffee ? Le CEO de Clownstrike en 2024 !

Avec le même résultat d'un insecte si bien posé qu'il nécessitait une 
intervention manuelle pour dératiser la fenêtre...


https://www.businesstoday.in/technology/news/story/microsoft-outage-not-the-first-time-crowdstrike-ceo-george-kurtz-is-facing-a-global-disruption-438035-2024-07-22

Comme quoi on peut faire, au plus haut niveau, plusieurs fois le même 
n’importe quoi et, comme on dit jamais deux sans trois...
Reste une question philosophique : à part espionner, démolir des 
fenêtres et planter aussi les serveurs Linux, Clownstrike sert à quoi ?


--
Stéphane Rivière
Ile d'Oléron - France

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-22 Thread Erwan David
On Mon, Jul 22, 2024 at 09:43:01AM CEST, Stéphane Rivière  
said:
> En 2010, une maj de McAffee avait planté des tonnes de windows.
> 
> Et quel était le CTO de McAffee ? Le CEO de Clownstrike en 2024 !
> 
> Avec le même résultat d'un insecte si bien posé qu'il nécessitait une
> intervention manuelle pour dératiser la fenêtre...
> 
> https://www.businesstoday.in/technology/news/story/microsoft-outage-not-the-first-time-crowdstrike-ceo-george-kurtz-is-facing-a-global-disruption-438035-2024-07-22
> 
> Comme quoi on peut faire, au plus haut niveau, plusieurs fois le même
> n’importe quoi et, comme on dit jamais deux sans trois...
> Reste une question philosophique : à part espionner, démolir des fenêtres et
> planter aussi les serveurs Linux, Clownstrike sert à quoi ?

À cocher la case pour l'audit de sécurité "on a un EDR" et comme c'est un des 
plus gros du marché, l'auditeur ne tiquera pas dessus

-- 
Erwan


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-22 Thread Laurent Barme



Le 22/07/2024 à 09:43, Stéphane Rivière a écrit :

En 2010, une maj de McAffee avait planté des tonnes de windows.

Et quel était le CTO de McAffee ? Le CEO de Clownstrike en 2024 !

Avec le même résultat d'un insecte si bien posé qu'il nécessitait une
intervention manuelle pour dératiser la fenêtre...

https://www.businesstoday.in/technology/news/story/microsoft-outage-not-the-first-time-crowdstrike-ceo-george-kurtz-is-facing-a-global-disruption-438035-2024-07-22


Site merdique mais info très intéressante.
Là ce ne serait donc plus un incident mais une malveillance ?

Quoiqu'il en soit, cette mise à jour n'avait certainement pas été testée et 
balancer une mise à jour sans la tester sur une telle surface d'implications, 
c'est au minimum une incompétence grave.




Comme quoi on peut faire, au plus haut niveau, plusieurs fois le même
n’importe quoi et, comme on dit jamais deux sans trois...
Reste une question philosophique : à part espionner, démolir des fenêtres et
planter aussi les serveurs Linux, Clownstrike sert à quoi ?


A faire du fric.
Cela fait partie d'un modèle économique juteux : le cyberracket.
Dans le même registre, on a des assurances qui "encouragent" leurs clients à 
améliorer leur cyber-score sur des points qui relèvent davantage de risques 
hypothétiques que réels…



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-22 Thread Clarinette Tara
J’ai vérifié son bio, i a effectivement été CYO chez McAfee en 2010 quel 
honneur!

Malveillance ou négligence aggravée? 

Le facteur sonne toujours deux fois. Professor @DanielSolove has developed his 
theory of repetitive data breaches. CTOs never learn from their past 
experience?! Kurtz was at McAfee in 2010 
https://www.newsbytesapp.com/news/science/defective-mcafee-once-caused-worldwide-meltdown-of-windows-xp-pcs/story

Sent from my iPhone

> On 22 Jul 2024, at 10:03, Laurent Barme <5...@barme.fr> wrote:
> 
> 
>> Le 22/07/2024 à 09:43, Stéphane Rivière a écrit :
>> En 2010, une maj de McAffee avait planté des tonnes de windows.
>> 
>> Et quel était le CTO de McAffee ? Le CEO de Clownstrike en 2024 !
>> 
>> Avec le même résultat d'un insecte si bien posé qu'il nécessitait une
>> intervention manuelle pour dératiser la fenêtre...
>> 
>> https://www.businesstoday.in/technology/news/story/microsoft-outage-not-the-first-time-crowdstrike-ceo-george-kurtz-is-facing-a-global-disruption-438035-2024-07-22
>> 
> Site merdique mais info très intéressante.
> Là ce ne serait donc plus un incident mais une malveillance ?
> 
> Quoiqu'il en soit, cette mise à jour n'avait certainement pas été testée et 
> balancer une mise à jour sans la tester sur une telle surface d'implications, 
> c'est au minimum une incompétence grave.
> 
>> 
>> Comme quoi on peut faire, au plus haut niveau, plusieurs fois le même
>> n’importe quoi et, comme on dit jamais deux sans trois...
>> Reste une question philosophique : à part espionner, démolir des fenêtres et
>> planter aussi les serveurs Linux, Clownstrike sert à quoi ?
>> 
> A faire du fric.
> Cela fait partie d'un modèle économique juteux : le cyberracket.
> Dans le même registre, on a des assurances qui "encouragent" leurs clients à 
> améliorer leur cyber-score sur des points qui relèvent davantage de risques 
> hypothétiques que réels…
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-22 Thread Clarinette Tara
CrowdStrike me dit-on n’avait pas manqué de planté Linux avec un kernel panik 
https://www.theregister.com/2024/07/21/crowdstrike_linux_crashes_restoration_tools/
Sent from my iPhone

> On 22 Jul 2024, at 10:59, Clarinette Tara  wrote:
> 
> J’ai vérifié son bio, i a effectivement été CYO chez McAfee en 2010 quel 
> honneur!
> 
> Malveillance ou négligence aggravée?
> 
> Le facteur sonne toujours deux fois. Professor @DanielSolove has developed 
> his theory of repetitive data breaches. CTOs never learn from their past 
> experience?! Kurtz was at McAfee in 2010 
> https://www.newsbytesapp.com/news/science/defective-mcafee-once-caused-worldwide-meltdown-of-windows-xp-pcs/story
> 
> Sent from my iPhone
> 
>> On 22 Jul 2024, at 10:03, Laurent Barme <5...@barme.fr> wrote:
>> 
>> 
 Le 22/07/2024 à 09:43, Stéphane Rivière a écrit :
>>> En 2010, une maj de McAffee avait planté des tonnes de windows.
>>> 
>>> Et quel était le CTO de McAffee ? Le CEO de Clownstrike en 2024 !
>>> 
>>> Avec le même résultat d'un insecte si bien posé qu'il nécessitait une
>>> intervention manuelle pour dératiser la fenêtre...
>>> 
>>> https://www.businesstoday.in/technology/news/story/microsoft-outage-not-the-first-time-crowdstrike-ceo-george-kurtz-is-facing-a-global-disruption-438035-2024-07-22
>>> 
>> Site merdique mais info très intéressante.
>> Là ce ne serait donc plus un incident mais une malveillance ?
>> 
>> Quoiqu'il en soit, cette mise à jour n'avait certainement pas été testée et 
>> balancer une mise à jour sans la tester sur une telle surface 
>> d'implications, c'est au minimum une incompétence grave.
>> 
>>> 
>>> Comme quoi on peut faire, au plus haut niveau, plusieurs fois le même
>>> n’importe quoi et, comme on dit jamais deux sans trois...
>>> Reste une question philosophique : à part espionner, démolir des fenêtres et
>>> planter aussi les serveurs Linux, Clownstrike sert à quoi ?
>>> 
>> A faire du fric.
>> Cela fait partie d'un modèle économique juteux : le cyberracket.
>> Dans le même registre, on a des assurances qui "encouragent" leurs clients à 
>> améliorer leur cyber-score sur des points qui relèvent davantage de risques 
>> hypothétiques que réels…
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows

2024-07-22 Thread Stéphane Rivière

CrowdStrike me dit-on n’avait pas manqué de planté Linux avec un kernel panik


ClownStrike est agnostique : il a planté indistinctement du RH, centOS, 
Debian, etc.


Il semble (on manque de source fiable :) que cette 'entreprise' ait été 
financée par des agences US à 3 lettres.


Pourtant, il y a des 'journalistes' pour s'étonner que la Chine n'ait 
pas souffert...


--
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/