Un cas intrigant de délit d’initié de CrowdStrike a récemment été découvert. CrowdStrike, un acteur de premier plan dans le secteur de la cybersécurité, a été témoin d’une activité de délit d’initié notable peu de temps avant une panne informatique mondiale majeureCette perturbation a affecté les services de nombreux clients, notamment ceux des secteurs critiques tels que la santé et le transport aérien.
De quoi s’agit-il dans cet incident de délit d’initié lié à CrowdStrike ?
Selon la Securities Exchange Commission (SEC) dépôtLe directeur de la sécurité de CrowdStrike, Shawn Henry, a procédé à une vente de 4 000 actions le lundi 15 juillet 2024, pour un montant d’environ 1,485 million de dollars. Cette transaction a eu lieu quelques jours seulement avant la panne informatique du 19 juillet, qui a entraîné une baisse significative du cours de l’action CRWD.
La vente par Henry a été réalisée dans le cadre d’un plan de négociation 10b5-1 préétabli qu’il avait mis en place le 20 décembre 2023. Ces plans visent à protéger les initiés des allégations de négociation sur la base d’informations non publiques en établissant des calendriers prédéterminés pour les ventes d’actions. Malgré cette vente importante, Henry conserve toujours une participation substantielle dans CrowdStrike, détenant 183 091 actions après la transaction.
Pour information, la transaction a été effectuée à l’aide d’un plan 10b5-1 préétabli le 20 décembre 2023.
Il a vendu 4 000 actions et il possède toujours 183 091 actions pic.twitter.com/cvRKqhDNLO
— Hedge Vision (@HedgeVision) 20 juillet 2024
Bien que le plan 10b5-1 vise à empêcher les délits d’initiés, le moment de la vente d’Henry si proche de la panne informatique qui a suivi a suscité des inquiétudes parmi les régulateurs et les actionnaires. Cela soulève des questions quant à savoir si le moment choisi pour cette activité de délit d’initié de CrowdStrike suggère une quelconque connaissance préalable des problèmes qui étaient sur le point de se produire.
Microsoft intervient avec un outil de récupération
Microsoft a développé un nouvel outil pour aider les administrateurs informatiques à restaurer les machines Windows qui ont été impactées par une mise à jour défectueuse de CrowdStrike, qui a entraîné le crash de 8,5 millions d’appareils vendredi dernier. Cet outil permet la création d’une clé USB bootable pour accélérer le processus de récupération des systèmes affectés.
Bien que CrowdStrike ait publié un correctif pour résoudre les erreurs d’écran bleu de la mort causées par son logiciel, de nombreuses machines n’ont pas pu recevoir automatiquement cette mise à jour. Certains administrateurs ont signalé avoir réussi en redémarrant à plusieurs reprises les ordinateurs pour déclencher la mise à jour, tandis que d’autres ont dû entrer manuellement en mode sans échec pour supprimer le fichier CrowdStrike défectueux.
La solution de Microsoft simplifie l’effort de récupération en permettant aux administrateurs informatiques de démarrer à partir d’une clé USB dans l’environnement Windows PE, d’accéder directement au disque de la machine et de supprimer automatiquement le fichier problématique. Cette approche élimine la nécessité d’entrer en mode sans échec ou d’avoir des droits d’administrateur sur l’appareil puisque l’outil fonctionne indépendamment de l’installation Windows locale. Pour les disques protégés par le chiffrement BitLocker, l’outil demandera la clé de récupération avant de continuer.
Microsoft a décrit les étapes de récupération pour les machines virtuelles Windows sur Azure et a publié des guides de récupération complets pour tous les appareils Windows 10 et Windows 11 sur leur site de soutienCette activité de délit d’initié de CrowdStrike pourrait-elle avoir un lien avec les problèmes de mise à jour du logiciel ?
La panne de CrowdStrike est responsable du blocage de votre PC Windows
Attention aux escrocs qui profitent des pannes informatiques
Suite à la récente panne informatique massive, les entreprises sont désormais confrontées à une menace supplémentaire de la part des escrocs et des pirates informatiques désireux d’exploiter la situation.
L’incident a commencé lorsqu’une erreur dans une mise à jour des hôtes Windows a été publiée par la société de cybersécurité CrowdStrike, basée au Texas. Cette erreur a entraîné des perturbations généralisées dans des secteurs critiques tels que les voyages, la banque, la vente au détail et la santé, de jeudi soir à vendredi.
Dans un article de blog publié vendredi, le PDG de CrowdStrike, George Kurtz, a averti que « des adversaires et des acteurs malveillants tenteront d’exploiter des événements comme celui-ci ».
Il a conseillé à tout le monde de rester prudent et de s’assurer de communiquer avec les représentants officiels de CrowdStrike, soulignant que leur blog et leurs canaux d’assistance technique sont les principales sources de mises à jour.
Le lendemain, CrowdStrike a révélé que des acteurs malveillants profitaient de l’incident pour distribuer une archive ZIP malveillante nommée crowdstrike-hotfix.zip. Cette archive contient une charge utile HijackLoader qui, une fois exécutée, installe Remcos, permettant aux attaquants de contrôler les ordinateurs infectés.
Dans un article de blog ultérieur publié dimanche, la société a réitéré l’importance de vérifier les communications avec les représentants officiels de CrowdStrike.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a également commenté dimanche, soulignant que les cybercriminels exploitent la panne pour mener des activités malveillantes, notamment des tentatives de phishing. La CISA collabore activement avec CrowdStrike et d’autres entités privées et gouvernementales pour surveiller les menaces émergentes.
Falcon Sensor : impact généralisé sur les systèmes Windows et Linux
Le logiciel Falcon Sensor de CrowdStrike, connu pour avoir provoqué des pannes généralisées sur les ordinateurs Windows la semaine dernière, a également entraîné des pannes sur les systèmes Linux.
En juin, Red Hat alerté ses utilisateurs à un problème, décrit comme « Panique du noyau observée après le démarrage de 5.14.0-427.13.1.el9_4.x86_64 par le processus falcon-sensor », qui affectait certains utilisateurs de Red Hat Enterprise Linux 9.4 lors du démarrage sur la version du noyau 5.14.0-427.13.1.el9_4.x86_64.
Un autre problème, titré « Le système s’est écrasé à cshook_network_ops_inet6_sockraw_release+0x171a9 », a exhorté les utilisateurs à demander de l’aide pour les problèmes potentiels liés au module de noyau falcon_lsm_serviceable de la suite de sécurité CrowdStrike Falcon Sensor/Agent. Red Hat a recommandé de désactiver le logiciel CrowdStrike pour stabiliser temporairement le système pendant que le problème est étudié. Ce problème a également été constaté dans les versions 6 et 7.
Les paniques du noyau Linux sont comparables aux écrans bleus de la mort de Windows, ce qui indique d’éventuels problèmes plus larges chez CrowdStrike, étant donné le moment où ces incidents se sont produits peu de temps avant les perturbations généralisées de Windows.
CrowdStrike a été sollicité pour donner son avis sur les problèmes identifiés par Red Hat, et des mises à jour seront fournies si de nouvelles informations sont reçues.
Suite à la récente découverte d’activités de délit d’initié sur CrowdStrike, pourrait-il y avoir davantage à découvrir sur les décisions qui ont conduit à la panne et sur son impact plus large ? Nous vous tiendrons au courant des derniers incidents liés à la panne de CrowdStrike.
Crédits des images en vedette : Charles Forerunner/Unsplash
