Photo of Blue screens of death at LGA airport from the CrowdStrike 2024 July outage.

Mesurer les effets de la panne de CrowdStrike sur le trafic Internet

Picture of Vaishnavi Raghavajosyula
Guest Author | Max Planck Institute for Informatics
Catégories:
Twitter logo
LinkedIn logo
Facebook logo
July 2, 2025
En bref
  • La mise à jour défectueuse de CrowdStrike l’année dernière a eu un impact nuancé sur le trafic Internet de diverses organisations et secteurs.
  • Les schémas d’interférence peuvent masquer les effets des défauts d’application dans les approches traditionnelles d’analyse au niveau du réseau.
  • L’identification et l’agrégation des services à l’aide des informations DNS rendent ces vagues individuelles visibles.

Le 19 juillet 2024, la société de cybersécurité CrowdStrike a diffusé une mise à jour défectueuse de son logiciel de protection des points d’accès. Les effets ont été divers et mondiaux : 8 millions d’appareils Windows auraient été touchés et des lieux de travail, des aéroports et des services de santé auraient été perturbés dans le monde entier.

Lire : Une panne technologique mondiale démontre la nécessité de la résilience des systèmes logiciels

Compte tenu de l’ampleur de l’effet, l’Institut Max Planck d’informatique et Benocs GmbH ont décidé d’étudier l’impact de cette interruption de service sur le trafic Internet.

Notre analyse a démontré que les mesures agrégées traditionnelles au niveau du réseau fournissent des informations limitées sur les perturbations importantes au niveau des applications, ce qui nous a obligés à étudier leur effet sur le trafic au niveau des applications.

La panne n’a eu qu’un impact minime sur le trafic Internet…

Nous avons abordé cette étude sous l’angle des mesures de réseau axées sur le trafic, en analysant les effets de l’incident CrowdStrike sur le trafic Internet de quatre réseaux de fournisseurs d’accès Internet (FAI) européens et d’un réseau de points d’échange Internet (IXP) européen.

Si nous avons constaté une baisse sensible du trafic pour le FAI-1 (environ 8,5 % le jour de la panne), nous n’avons pas observé la même chose chez les autres FAI ou IXP.

Graphiques linéaires chronologiques montrant les perturbations du trafic des FAI et des IXP au cours de la semaine de l'incident.
Figure 1 – Volumes totaux de trafic pour nos 5 points d’observation, normalisés par le trafic maximal observé. La zone bleue montre l’intervalle de confiance à 99,7 % pour les 10 semaines précédant l’incident. La ligne bleue indique le trafic pour la semaine de l’incident. Les barres indiquent la différence relative de trafic entre la semaine de l’incident et le trafic médian à cette heure de la journée sur les 10 semaines.

Nous avons tenté d’observer les effets en utilisant d’autres mesures au niveau du réseau, telles que le trafic au niveau des ports et des sous-réseaux, ainsi que la taille des paquets, mais nous sommes parvenus à la même conclusion. Consultez notre article pour plus de détails.

…mais il a eu un impact significatif sur d’autres applications et services

Compte tenu de ce qui précède, nous avons utilisé uneméthodologie différente pour corréler les flux avec les traces au niveau du DNS et déduire les niveaux de trafic par application. Une application consiste en un ensemble de domaines sélectionnés manuellement, et nous disposions d’informations sur le volume de trafic pour environ 1 500 applications présélectionnées. Par chance, CrowdStrike était l’une d’entre elles !

Dans la figure 2, nous voyons que tous les FAI et IXP sont concernés :

  • Une augmentation du trafic vers CrowdStrike le jour qui correspond vraisemblablement au déploiement de la mise à jour, et
  • Une diminution subséquente du trafic réseau vers l’application. Le volume de trafic au cours de la période allant de sept à 28 jours après l’incident était inférieur de 28,8 % (ISP-2) à 60,5 % (IXP-1) au volume enregistré au cours de la période allant de sept à 28 jours avant l’incident. Les volumes de trafic hebdomadaires pour ISP-5 et ISP-2 sont revenus aux niveaux d’avant la panne environ six mois après l’incident.
Graphiques linéaires chronologiques montrant une diminution du volume de trafic sur le site web de Crowdstrike après l'incident.
Figure 2 – Volume de trafic normalisé pour l’application CrowdStrike. On constate une diminution du volume de trafic après l’incident.

Étant donné que l’incident a touché de nombreux services et organisations dépendants, nous avons également analysé les volumes de trafic et les écarts par rapport à la norme de certaines applications signalées.

La figure 3 illustre l’effet le plus significatif. Ici, deux compagnies aériennes affectées ont observé des augmentations de trafic peu de temps après la panne. Pour la compagnie aérienne 1, cet effet est particulièrement marqué le vendredi et le lundi. La compagnie aérienne 2 observe un pic considérable dans l’ISP-4, mais aussi une augmentation du trafic dans l’ISP-1.

Graphiques linéaires de séries chronologiques montrant les perturbations du trafic des compagnies aériennes
Figure 3 – Le trafic médian normalisé est représenté par la ligne bleue, la ligne rouge montrant le trafic pendant la semaine d’interruption. La médiane est calculée pour la même heure de la journée sur 10 semaines avant l’événement. La bande bleue autour de la médiane indique un intervalle de confiance de 99,7 % pour la période. Les barres indiquent la différence entre la semaine d’interruption et la médiane, les barres rouges (bleues) indiquant un trafic moindre (plus important) au cours de la semaine d’interruption.

Les figures 4 et 5 montrent également l’impact sur d’autres applications telles que les médias et la sécurité.

Graphiques linéaires chronologiques montrant les perturbations du trafic des entreprises de médias
Figure 4 – Une entreprise de médias positivement affectée voit son trafic augmenter de 14,0 fois dans le FAI-1 (7,4 fois dans le FAI-4) à partir du vendredi vers 8 heures et jusqu’à 16 heures (20 heures dans le FAI-4).
Graphiques linéaires chronologiques montrant les perturbations du trafic des entreprises de cybersécurité
Figure 5 – Nous observons des dommages collatéraux pour plusieurs entreprises de cybersécurité, Security-1 et Security-2. Le trafic reste anormalement bas après la panne et ne revient à la normale que le lundi. Cet effet peut indiquer que les entreprises touchées et CrowdStrike ont des populations de clients similaires.

Les systèmes sur Internet étant de plus en plus dépendants les uns des autres, un seul point de défaillance peut entraîner des problèmes de grande ampleur, comme l’ont montré les pannes de CrowdStrike et, plus récemment, de Google Cloud. C’est pourquoi la surveillance au niveau des applications et les traces de réseau enrichies sémantiquement deviendront de plus en plus cruciales pour détecter et analyser de telles pannes. Lisez notre article pour en savoir plus.

Vaishnavi Raghavajosyula est doctorante à l’Institut Max Planck d’informatique et boursière de recherche 2025 Pulse IPv6.

Les opinions exprimées par les auteurs de ce blog sont les leurs et ne reflètent pas nécessairement celles de l’Internet Society.


Photo par Smishra1 Via Wikimedia Commons

Contenus traduits

Les versions française et espagnole du contenu disponible sur le site Pulse de l’Internet Society peuvent provenir de services de traduction automatique et peuvent donc ne pas refléter avec exactitude le texte d’origine.

A noter que la version officielle est le texte en anglais.