Entretien Le chaos de CrowdStrike a été causé par un logiciel qui a fait des ravages dans le noyau Windows après qu’une mise à jour ait perturbé le code. eBPF est un outil utile pour la trace et l’observabilité du noyau, mais aurait-il pu atténuer l’incident de CrowdStrike? « C’est intéressant, » déclare Tom Wilkie, CTO de l’expert en observabilité Grafana Labs au journal The Register, « car il y avait une vulnérabilité dans l’exécution eBPF qui a causé une panne similaire déclenchée également par CrowdStrike dans un certain noyau Red Hat. » Wilkie fait référence à un incident survenu en juin, où Red Hat a averti ses clients d’un bug du noyau Linux qui a fait planter le code Falcon Sensor d’utilisateur eBPF de CrowdStrike. Puis, ironiquement, quelques semaines plus tard, une mise à jour corrompue du noyau Falcon faite et distribuée par CrowdStrike a laissé 8,5 millions d’ordinateurs Windows dans le monde entier bloqués dans une boucle de démarrage avec écran bleu. En d’autres termes, les ordinateurs avaient été auparavant mis hors service par une erreur de programmation dans le code d’implémentation eBPF du noyau Linux, déclenchée de toute façon par le produit de CrowdStrike. Cela ne inspire pas vraiment confiance. eBPF permet aux applications de s’exécuter dans une machine virtuelle (VM) dans le noyau Linux, permettant aux développeurs d’ajouter des capacités à l’exécution sans avoir à écrire et charger des modules de niveau noyau ou à ajouter du code au noyau réel, le reconstruire et le redéployer. La théorie veut qu’un programme eBPF ne peut pas planter le noyau car il s’exécute dans un sandbox et est vérifié par un vérificateur de sécurité. En raison du niveau bas auquel certains programmes doivent s’exécuter, c’est une façon populaire de mettre en œuvre l’observabilité et la sécurité.
‘Entretien avec le Luddite’
Kelly : Mis à part l’incendie criminel et beaucoup de vandalisme, qu’ont accompli les Luddites à long terme ? Sale
