Donc, tu n’as pas vu de Kernel Panic sur Mac depuis longtemps (équivalent du BSOD). La wheel of death, le noyau n’est pas planté. Si tu pouvais te connecter en SSH sur la machine, tu pourrais probablement faire un kill du processus bloqué. Après, à voir sur quelle architecture (Intel vs Apple Silicon), quelle version de macOS… tout évolue.
De mon côté, ça fait longtemps que je n’ai vu ni l’un ni l’autre. Et oui, je sais bien qu’expérience personnelle ne fait pas loi ! Le 19 juil. 2024 à 18:11, Olivier Varenne <o.vare...@ipconnect.fr> a écrit : Oui enfin j'ai pas vu la tronche d'un bsod depuis longtemps. Par contre, du wheel of death J'en vois régulièrement. Mais expérience personnelle isolée ne fait pas loi. Envoyé à partir de Outlook pour Android<https://aka.ms/AAb9ysg> ________________________________ From: Philippe ASTIER <phili...@astier-consulting.fr> Sent: Friday, July 19, 2024 5:56:48 PM To: Olivier Varenne <o.vare...@ipconnect.fr>; frnog-al...@frnog.org <frnog-al...@frnog.org> Subject: Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes Windows Ben je sais pas… 1,8 milliards d’appareils, ya Outlook, Word et Excel et PowerPoint, on peut connecter écran, clavier, souris ? Imprimer, surfer, travailler, jouer… Pourquoi pas ? Mais sinon tu prends macOS, dont le modèle de sécurité tend vers celui d’iOS. Je parle de la manière dont le système est développé, des concepts mise en oeuvre pour que le système fonctionne, des améliorations apportés à la sécurité. Après comme on est vendredi, je trolle un peu. Il y a une différence, ceux qui contemplent les BSOD, et ceux qui bossent encore. :) > Le 19 juil. 2024 à 17:31, Olivier Varenne <o.vare...@ipconnect.fr> a écrit : > > Comparer les OS mobiles d'Apple avec Windows ? > Je ne sais pas si j'aurai tenté. > > Cordialement, > > > > Olivier Varenne > Président, R&D et développement > T +33 (0)4 27 04 40 00 | ipconnect.fr > > Suivez-nous ! > > >> -----Message d'origine----- >> De : Philippe ASTIER <phili...@astier-consulting.fr> >> Envoyé : vendredi 19 juillet 2024 16:08 >> À : Olivier Varenne <o.vare...@ipconnect.fr>; frnog-al...@frnog.org >> Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur les systèmes >> Windows >> >> OK. >> >> En attendant, il n’y a pas de driver tiers sur les OS mobiles d’Apple, et >> aucun accès direct au noyau pour aucune application tierce. >> Sur macOS, les Kernel Extensions vivent leurs derniers instants, et les >> solutions d’EDR doivent passer par l’EndPoint Security Framework, elles >> n’ont pas non plus les priviléges noyau. Et ça n’a pas toujours été le >> cas, c’est juste que ça évolue, justement pour éviter les crashs du >> noyau. >> >> Ce qui est clair, c’est qu’on peut trouver des solutions pour que les >> logiciels tiers n’aient jamais les privilèges du noyau, même pour des >> solutions de sécurité. >> >> « Performance et complexité » sont des excuses pour ne surtout rien >> faire évoluer. Les couches basses de Windows sont fragiles et >> n'évoluent pas. >> >> >>> Le 19 juil. 2024 à 16:01, Olivier Varenne via frnog <frnog@frnog.org> >> a écrit : >>> >>> Sauf que la solution micro kernel, dont on parle depuis longtemps >> quand meme, se heurte toujours à des soucis de performance et de >> complexité. >>> >>> >>> >>> Cordialement, >>> >>> >>> >>> Olivier Varenne >>> Président, R&D et développement >>> T +33 (0)4 27 04 40 00 | ipconnect.fr >>> >>> Suivez-nous ! >>> >>> >>>> -----Message d'origine----- >>>> De : Philippe ASTIER <phili...@astier-consulting.fr> Envoyé : >>>> vendredi 19 juillet 2024 14:28 À : Olivier Varenne >>>> <o.vare...@ipconnect.fr> Cc : David Ponzone >>>> <david.ponz...@gmail.com>; Erwan David <er...@rail.eu.org>; >>>> frnog@frnog.org Objet : Re: [FRnOG] [ALERT] Panne Crowdstrike sur >> les >>>> systèmes Windows >>>> >>>> Il y a des OS où les extensions au noyau deviennent interdites >>>> (macOS) ou n’ont jamais existé (iOS/iPadOS). >>>> Les System Extensions existent, mais elles ne s’exécutent pas avec >>>> les privilèges du noyau du tout. >>>> >>>> Et les EDR ne peuvent qu'utiliser les frameworks et points d’entrée >>>> fournis par l’éditeur. >>>> >>>> Ce n'’est pas nouveau comme concept, les premiers micro-kernels >> des >>>> années 1990 n’avaient déjà pas leurs drivers au niveau du noyau. >>>> >>>> Ca a aussi l’avantage de ne pas nécessiter recompilation du noyau >> ou >>>> reboot pour ajouter ou enlever des drivers. Un driver qui plante ne >>>> peut pas corrompre le kernel space. >>>> >>>> >>>> Concrètement, ça fait plus de 40 ans qu’on sait faire. Mais de quoi >>>> vivraient les vendeurs d’antivirus ? (On me l’a rétorqué un jour…) >>>> >>>> >>>> On se rend compte que le bud de CriwdStrike empêche le boot, et >> que >>>> donc (a priori pour le moment), la seule solution est de passer >>>> MANUELLEMENT sur chaque poste concerné ? >>>> C’est le scenario cauchemar. >>>> >>>> >>>> Donc oui, l’écriture même des OS de Microsoft est un risque. >>>> CrowdStrike s’est planté en beauté, mais MS le favorise... >>>> >>>> >>>>> Le 19 juil. 2024 à 14:14, Olivier Varenne via frnog >>>>> <frnog@frnog.org> >>>> a écrit : >>>>> >>>>> Je ne vois pas comment tu peux éviter à 100% un bsod/kernel >> panic. >>>> Tu as des applis/drivers qui DOIVENT fonctionner en kernel mode. >> Tu >>>> n'as juste pas le choix... >>>>> >>>>> Dire "Microsoft en est encore la" alors qu'aucune solution (corrigez >>>> moi si je me trompe) viable techniquement/commercialement >> n'existe à >>>> ce jour, c'est un peu fort de café... >>>>> >>>>> >>>>> >>>>> >>>>> >>>>> Cordialement, >>>>> >>>>> >>>>> >>>>> Olivier Varenne >>>>> Président, R&D et développement >>>>> T +33 (0)4 27 04 40 00 | ipconnect.fr >>>>> >>>>> Suivez-nous ! >>>>> >>>>> >>>>>> -----Message d'origine----- >>>>>> De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la >> part >>>> de >>>>>> David Ponzone Envoyé : vendredi 19 juillet 2024 13:30 À : Erwan >>>> David >>>>>> <er...@rail.eu.org> Cc : frnog@frnog.org Objet : Re: [FRnOG] >>>> [ALERT] >>>>>> Panne Crowdstrike sur les systèmes Windows >>>>>> >>>>>> Ok je connais pas crowdstrike et à quel point il a accès bas >> niveau >>>>>> dans Windows. Mais cela signifie qu’en 2024, Microsoft en est >>>> encore >>>>>> à des BSOD causés par des applications. >>>>>> C’est l’action MS qui devrait baisser, pas Crowdstrike. >>>>>> >>>>>> Ensuite, crowdstrike protège de trucs tellement critiques qu’il est >>>>>> inimaginable de retarder les mises à jour de la base de signatures >>>>>> de 24h ? >>>>>> >>>>>> Question subsidiaire: cela va-t-il modifier l’habituel politique >>>>>> des DSI « j’ai pris MS parce qu’on pourra pas me le reprocher ». >>>>>> >>>>>> David Ponzone >>>>>> >>>>>> >>>>>> >>>>>>> Le 19 juil. 2024 à 10:40, Erwan David <er...@rail.eu.org> a >> écrit >>>> : >>>>>>> >>>>>>> >>>>>>>> Le 7/19/24 à 10:33, David Ponzone a écrit : >>>>>>>> Mais je comprends pas comment c’est possible. >>>>>>>> Y a des serveurs Windows avec les mises à jour auto activées >> ? >>>>>>>> >>>>>>>> David >>>>>>> Au moins les mises à jour des signatures crowdstrike... >>>>>>> >>>>>>> >>>>>>> --------------------------- >>>>>>> Liste de diffusion du FRnOG >>>>>>> http://www.frnog.org/ >>>>>> >>>>>> >>>>>> --------------------------- >>>>>> Liste de diffusion du FRnOG >>>>>> http://www.frnog.org/ >>>>> >>>>> --------------------------- >>>>> Liste de diffusion du FRnOG >>>>> http://www.frnog.org/ >>> >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/