Discussion :

[sergio_is_back]

Il y a plusieurs leçons à tirer :

1. Tout le monde sait les problèmes de sécurité de Windows
2. Au lieu de tenter d'y remédier, quitte à abandonner une partie de compatibilité avec d'anciennes applications, Microsoft proposes des mises à jour cosmétiques et mise sur stratégie tout cloud
3. On est obligé de payer des outils de sécurité supplémentaires payantes (CrowdStrike est pas gratuit) pour sécuriser un OS déjà payant
4. Des inconscients laissent des mises à jours intrusives de l'OS (un driver en ring 0 c'est pas anodin) se faire en mode automatique sur des systèmes en production, et là je parle pas des PC qui sont utilisés juste pour faire des PowerPoint !
5. Beaucoup de DSI se cache derrière des solutions de sécurité au lieu d'employer des gens convenablement formés à la cybersécurité et aux bonnes pratiques (faut les payer ceux-là bien sur), se pensant ainsi protégés à peu de frais !

J'ai lu des informations comme quoi le driver en question n'avait pas été signé (ou pas avec un certificat valide), si c'est vrai comment est-ce possible ? (A confirmer)

Même si Microsoft n'est pas directement responsable, il l'est quand même bien un peu, la sécurité c'est une partie essentielle et intrinsèque d'un OS, des efforts devraient être fait dans ce sens, personnellement je suis désolé mais je ne veux pas payer une licence pour un bousin qui va faire piraté par le premier hacker venu si je ne rajoute pas des couches de sécurité tierces et qui vont encore m'alourdir la facture un peu plus. Alors certes, on ne pourra jamais tout sécuriser il y aura toujours un malin pour être plus fort que la machine mais, c'est là qu'interviennent les techniciens formés dont je parlais plus haut...

Enfin il y a des systèmes critiques, où l'on ne devrait pas utiliser un OS dont tout le monde connait la mauvaise réputation en matière de sécurité

Dans mon ancienne boite, que j'ai quitté il y a quelques mois, ils sont en train de migrer tous les serveurs Linux vers du Sharepoint, OneDrive et Microsoft 365, pour soi-disant des problèmes de sécurité, j'espère que ça leur servira d'avertissement.

[sergio_is_back]

En tout cas, j'espère bien que le record d'écrans bleu de CrowdStrike sera homologué par le Guinness Book, ça leur fera une consolation

[sergio_is_back]

Cette discussion nous donne un bel exemple de débat stérile: Est-ce que Microsoft est ou n'est pas responsable???

Je pense que les cabinets d'avocats sont déjà en train d'éplucher les termes des licences et tous les contrats de service que ce soit ceux de Microsoft ou de CrowdStrike et des opérateurs tiers
Rien qu'au niveau des compagnies aériennes, le coût est déjà phénoménal

De gros industriels ont aussi été touchés, même s'ils ont moins communiqués, là aussi il va falloir payer des dommages !

Bref, les cabinets d'avocats spécialisés vont avoir du travail dans les mois qui viennent et vont s'en mettre plein les poches !

[sergio_is_back]

Enfin, précisons que ce n’est pas la première fois que le pilote de Falcon Sensor entraine des problèmes, même si aucun de cette ampleur. Sous Windows, on trouve des cas de plantage similaires en décembre dernier. En avril, on relevait des kernel panics sur Linux.

Si c'est vrai, c'est consternant !
C'était donc un problème qui aurait dû être fortement anticipé et les tests qualité auraient dû être largement renforcés et même en lien avec Microsoft

[PomFritz]

En tout cas, j'espère bien que le record d'écrans bleu de CrowdStrike sera homologué par le Guinness Book, ça leur fera une consolation

Chez MS, ils doivent déjà travailler à rajouter de la pub dessus pour la prochaine fois ou à déplacer le message d'erreur au centre en bas pour une meilleure expérience! Ils s'occuperont de la technique plus tard.

Bref, les cabinets d'avocats spécialisés vont avoir du travail dans les mois qui viennent et vont s'en mettre plein les poches !

Et comme ils sont sur Mac, ils n'ont pas perdu de temps

[Anselme45]

De gros industriels ont aussi été touchés, même s'ils ont moins communiqués, là aussi il va falloir payer des dommages !!

Et bien non! Microsoft ne paiera pas un centime d'euro de dédommagement excepté aux USA!

Il n'y a qu'aux USA que la petite phrase magique dans les conditions générales que personne ne lit (Microsoft se libère de toute responsabilité dans l'usage des logiciels fournis par Microsoft) ne les protège pas!

On en a d'ailleurs déjà eu l'exemple avec le scandale des moteurs Volkwagen... En Europe, les propriétaires trompés ont reçu une poignée de main (et un bras d'honneur) de leur concessionnaire VW alors qu'aux USA à coup de "Class Action", Volkwagen a dû dédommager chaque propriétaire floué à hauteur de dizaines de milliers de dollars!

[Anselme45]

Il y a plusieurs leçons à tirer :

4. Des inconscients laissent des mises à jours intrusives de l'OS (un driver en ring 0 c'est pas anodin) se faire en mode automatique sur des systèmes en production, et là je parle pas des PC qui sont utilisés juste pour faire des PowerPoint !

Vous oubliez de préciser dans votre analyse qu'avec la dernière version de l'OS Win11, il n'est même plus possible à l'utilisateur de bloquer les mises à jour et cela pas seulement au niveau d'un service cloud mais au niveau de simple poste de travail!

[OrthodoxWindows]

Et bien non! Microsoft ne paiera pas un centime d'euro de dédommagement excepté aux USA!

Il n'y a qu'aux USA que la petite phrase magique dans les conditions générales que personne ne lit (Microsoft se libère de toute responsabilité dans l'usage des logiciels fournis par Microsoft) ne les protège pas!

On en a d'ailleurs déjà eu l'exemple avec le scandale des moteurs Volkwagen... En Europe, les propriétaires trompés ont reçu une poignée de main (et un bras d'honneur) de leur concessionnaire VW alors qu'aux USA à coup de "Class Action", Volkwagen a dû dédommager chaque propriétaire floué à hauteur de dizaines de milliers de dollars!

Sauf que la panne géante vient de CrowdStrike, pas de Microsoft. Il n'y a pas de raison à ce que Microsoft paye des dédommagements, conditions générales ou non.
On peu débattre de la responsabilité indirect de Microsoft dans cette panne, mais au niveau direct, Microsoft n'y est absolument pour rien. Et cela à déjà été évoqué en plus...

[OrthodoxWindows]

Pas cons, ils font les màj de nuit chez eux. Comme ça, au réveil, ils n'ont qu'à regarder si ça a passé ailleurs... bravo les gars! Du buisness à la Boeing...

Peu importe que ça soit, MS, Linux ou un autre. Mais bon, ça arrive quand même à LEUR système qui fait tourner des banques, des services, l'aviation... et le Xbox Game Bar. La dépendance à des systèmes globaux est court-termiste. S'ils travaillaient plus sur le coeur du système qu'emmerder les utilisateurs avec leurs fonctionnalités orientées marketing et leurs délires d'interfaces graphiques confuses et inutiles, on serait plus indulgents avec eux. En tous cas, ça donne une bonne leçon à tous ceux qui prennent la techno qui nous entoure pour un problème secondaire pour techniciens.

Je suis totalement d'accord. Tu as très bien résumé le problème actuel avec Windows.

[Pierre Louis Chevalier]

Peu importe que la faute vienne de CrowdStrike.

Quand Microsoft propose des services aux entreprises comme un OS qui fait tourner des applications professionnelles, du cloud Azure, Office 365, Github, etc, c'est Microsoft qui est responsable de la disponibilité du service.
Si c'est pas CrowdStrike la prochaine fois ça sera quoi ?

L'offre de Microsoft n'est pas fiable, les entreprises doivent utiliser leurs propres infrastructures, ou alors utiliser des services qui ne reposent pas sur Windows ou les services de Microsoft en général.

Même Microsoft utilise Linux pour une partie de ses serveurs pour Azure : Linux est le système d'exploitation le plus utilisé dans Microsoft Azure, plus de 50 % des cœurs de machine virtuelle tournent sous Linux.

Pour proposer des services fiables aux entreprises, Microsoft devrait migrer totalement ses services de windows vers Linux.

[sevyc64]

Cette discussion nous donne un bel exemple de débat stérile: Est-ce que Microsoft est ou n'est pas responsable???

En gros, l'histoire du fou qui veux montrer la lune et regarde le doigt qui la montre!!!

Entièrement d'accord.
On est censé être sur un forum de professionnels qui se comportent en tant que professionnels.
Mais on peut constater au quotidien, dans les différents sujets postés, qu'il y a un certain nombres de personnes qui volontairement ne veulent pas comprendre, qui, de toute façon, quelque soit la vérité, et peu importe la vérité même, profiteront de la moindre occasion pour taper sur Microsoft par pur plaisir, parce que de toute façon Microsoft c'est le grand vilain méchant loup et que tous les autres ne sont que d'innocents agneaux.

Avec de tels comportements qui se rependent dans la Société, il ne faut pas s'étonner que l'on obtienne la Société que l'on a, avec entre-autre comme conséquence des fous furieux aux portes des pouvoirs dans divers pays pourtant dits "démocratiques"

[micka132]

En parlant de responsabilité, faut pas oublier que c'est bien pratique d'avoir une société à blâmer, voire à attaquer, que de n'avoir personne vers qui se retourner.
Alors il y a bien du RedHat ou autre Canonical, mais faut aller chercher dans le détail de quoi il serait éventuellement responsable en cas de problème, et là c'est encore une autre aventure que beaucoup de décideurs préfèrent ne pas tenter.

[chris_FR]

Dans TOUT les cas Microsoft est responsable
Cela signifie tout simplement qu'il n'y a pas de test effectué sur les mises à jour, ce qui pour un éditeur en position dominante est la preuve flagrante que ses utilisateurs et clients sont des bêta testeurs,
ce qui est de toute évidence un grave manque de professionnalisme. d'ailleurs je ne connais pas beaucoup d'éditeur qui ont besoin de rajouter la mention "pro" sur un produit.

Dans certains cas, sous linux des MAJ sont faites continuellement et en automatiques, mais les tests aussi, la preuve ce forum tourne toujours, le Web aussi et beaucoup d'autres choses.
Et pourtant de nombreux sites sont tenus par des amateurs et pas des "professionnels".

Pourquoi ? Tout simplement parce que le bon sens veut que l'on teste des MAJ AVANT passage en prod même les plus minimes, de nombreuses personnes ici le disent même si on est plus sur un forum de dev que de sysadmin

Bref je comprends ton engouement pour défendre Microsoft, après c'est peut être ton job de le faire sur ce genre de forum, mais la, Microsoft vient de faire perdre beaucoup d'argent à beaucoup de monde alors que cela aurait pu être évité et ça cela va laisser des traces.

Quand il y a perte d'exploitation,un sysadmin qui aurait fait la même bêtise au niveau d'une entreprise pourrait être viré pour faute grave.

Normal évidemment que non, mais ce n'est pas pour autant la faute à Microsoft.

Il s'agit ici, apparemment d'un driver défectueux, d'un driver "bas-niveau" au même titre par exemple que le driver de la carte vidéo. Et dans Windows, un driver de ce type qui plante provoque les emblématiques BOSD sans lesquels Windows ne serait pas Windows.
Les BOSD sont devenus rares sur Windows depuis W7, mais surtout W10 et 11 car la gestion des drivers a évoluée. Mais certains drivers installés avec un niveau assez bas dans le système (au plus proche du matériel) restent encore critiques. C'est le cas des drivers de carte graphique, et aussi tous ces systèmes de sniffers sensors qui doivent être intercalés entre les interfaces qu'ils surveillent et le système lui-même pour agir avant que les données problématiques atteignent le système.



Dans ce cas précis, non, car Linux gère les drivers différemment. Je ne suis pas un pro de Linux donc je ne pourrais pas rentrer plus dans le détail, mais oui des plantages comme celà sont aussi possibles sur Linux même si, je pense, beaucoup plus rare.
Mais j'ai déjà vu au moins un cas où un driver faisait planter un système linux (un serveur core) et où la seule solution a été de réinstaller avec perte de données.


De ce problème de driver, et Microsoft n'y est pour rien.
La plateforme Falcon de CrowdStrike est faite pour les très grosses structures. Ce n'est pas un particulier qui installe ça sur son poste unique. Ceux sont de très grosses entreprises pour surveiller des centaines, des 10ènes de milliers de machines et notamment en premier lieu les serveurs.

Et donc si les serveurs redémarrent en boucles, les services qu'ils hébergent sont inaccessibles.
Là, j'ai pas les détails, mais ce n'est pas forcements les serveurs Azure, Office 365, ... qui ont été touchés, mais il suffit que ce soit un service commun dont ces serveurs ont besoin qui soit en carafe, pour que eux-mêmes soient indisponibles.

[OuftiBoy]

Microsoft ne fait les mises à jour que des produits Microsoft.

Oui, Microsoft ne fait les mises à jour que de leurs produits. Il n'en reste pas moins qu'elles sont forcées. Et presque tous font pareil, ce qui est désolant.

Et non un driver n'est pas intimement lié à l'OS, tout au moins comme tu l'entends dans ta phrase. Microsoft n'est pas responsable des drivers installés sur une machine, il ne les teste pas, ce n'est pas à lui de le faire. C'est chaque éditeur qui est responsable de ses propres drivers, qui doit les tester et les valider, etc ... Et ce n'est pas propre à Windows, ça marche exactement de la même manière sur Linux.

Dire qu'un driver n'est pas intimement liés à l'OS, tout en disant que 90% des plantages de l'OS le sont à cause de "mauvais" drivers, c'est un poil contradictoire me semble-t-il...

Evidemment le fabricant de pneu. Le fabricant de la voiture ne peut pas être tenu responsable de la qualité des pneus que tu vas toi-même monter sur la voiture après achat. Car l'analogie est bien là, CrowdStrike n'est pas un produit inclu et vendu avec Windows. C'est un produit que chaque utilisateur installe manuelle sur sa machine après achat.

C'est un peu de la mauvaise fois, je pense qu'à part toi, le premier réflexe sera évidemment de contacter le vendeur "final". Et je n'ai pas parler de pneu que j'installe moi-même (et dans ce cas, je serait responsable), mais d'une installation faite par le vendeur et/ou sous-traitant. Si je suis ton raisonnement, si ta machine a laver tombe en panne, tu vas t'adresser au sous-traitant qui fournit les vises utilisées ?

Désolé, ça fait maintenant 30 ans que je suis dans l’informatique et le logiciel, je n'ai jamais connu ce temps ni cette galaxie.

Effectivement, il semble que l'on n'a pas voyagé dans les mêmes galaxies.

Encore une fois Microsoft n'a rien à voir dans l'histoire, mais c'est tellement facile de lui taper dessus gratuitement.

Je ne tape pas sur Microsoft, je ne suis ni pro windows, ni pro linux, ni pro Apple, mais il semble que tu sois pro Miscrosoft. Moi, je ne suis qu'un développeur (spécialisé dans l'embarqué), où on est très très prudent lors de chaque changement, même de version de compilateur.

Je pense qu'une entreprise qui veut installer un "driver" dans un OS devrait avoir une relation avec le fournisseur de l'OS, et qu'il donne son approbation, et ou une certification, après une vérification que le dit driver ne vient pas flinguer son OS. Et de la part du fournisseur de l'OS, refuser l'installation de "driver" non certifié.

[OuftiBoy]

Cette discussion nous donne un bel exemple de débat stérile: Est-ce que Microsoft est ou n'est pas responsable???
En gros, l'histoire du fou qui veux montrer la lune et regarde le doigt qui la montre!!!
Est-ce qu'il vous aurait échappé que le vrai problème qui est démontré par cet évènement est... La dépendance et la fragilité extrême de notre civilisation numérique???

La dépendance et la fragilité de sur quoi repose notre civilisation numérique est bien sûr bien plus important que de savoir qui est responsable de quoi dans ce cas. C'est pourquoi je parlais plus avant de château de carte, qui peut s'écrouler pour un rien.

Il suffit que Microsoft fasse de manière involontaire (ou volontaire sur ordre d'un gouvernement américain voulant mettre au pas le reste du monde... Avec un Trump à la Maison blanche, tout peut être envisagé) un clic de souris et c'est le blocage de toutes les activités à l'échelle d'un continent!

Encore d'accord, c'est pourquoi je suis contre le "tout connecté", contre "le cloud", contre ce qu'est devenu le "web".

Pensée émue pour les politicards de tout poil qui n'ont que les mots "souveraineté et indépendance" à la bouche... En réalité, nos pays européens sont totalement dépendants d'une entreprise privée américaine!!!

Les politards sont les spécialistes pour parler de ce qu'ils ne connaissent pas, pour dire des paroles en l'air. En fait, seul leur petite personne comptent pour eux, il n'y a qu'à voir le "bordel" à l'Assemblée National de la France qui mériterait mieux que les "représentant" qu'ils ont pour le moment. Je ne parle même pas des magouilles en tout genre (limite anti-démocratique), mais du niveau moyen de vos députés. Et je vous rassure, c'est pareil ici en Belgique. L'Europe n'est qu'une institution non démocratique qui s'est vendue pour trois mars et un bounty.

BàV et Peace & Love.

[Leruas]

Sans doute que tu n'as jamais fais de suivi de mise en prod. Les remontées ne sont pas immédiates. De plus elles sont généralement exponentielles, les premières ne sont pas forcément significatives ou alarmantes car cela peut toujours rester un épiphénomène sur quelques cas particuliers.
La mise en jour en question ne serait restée moins de 2h en ligne, ce qui traduit, contrairement à ce que tu dis, une extreme réactivité de l'éditeur dès que le problème était confirmé.

Où avez-vous vu que ça a duré que 2 heures ?
Les informations que je vois montre que la mise à jour a commencé à 21h (heure de Paris) et j'ai des postes dans mon entreprise qui recevaient encore cette mise à jour foireuse à 6h30 du matin (heure de Paris). Soit 10h au total

[sevyc64]

Encore un qui ne veut pas comprendre

Dans TOUT les cas Microsoft est responsable
Cela signifie tout simplement qu'il n'y a pas de test effectué sur les mises à jour,

Non Microsoft n'est pas responsable et ce n'est pas à Microsoft à tester les mises à jours. Le logiciel concerné n'est pas de Microsoft. Comment faut-il le dire ? CrowdStrike est société totalement indépendante au même titre que Adobe, Oracle, Acronis, VMWare, et des milliers d'autres qui proposent leur logiciels fonctionnant sur Windows.

Et non mon rôle n'est pas de défendre Microsoft, je suis juste un utilisateur et développeur de logiciel pour Windows depuis plus de 30 ans. J'ai moi aussi, à l'occasion, beaucoup de critiques à faire sur windows, office, etc...
Mais je fais l'effort de faire la part des choses, de ne pas attribuer à Microsoft ce qui ne lui est pas attribuable, parce que ça serait facile de le faire, parce que ça m'éviterais d'avoir à réfléchir et à me poser les bonnes questions.

Dire qu'un driver n'est pas intimement liés à l'OS, tout en disant que 90% des plantages de l'OS le sont à cause de "mauvais" drivers, c'est un poil contradictoire me semble-t-il...

Il n'est pas intimement lié dans le sens où, Toi, tu employais cette formule dans ta phrase. Tu employais ce terme pour signifier que les drivers faisaient partie intégrante de l'os et que donc par conséquent c'était donc à Microsoft de les développer, tester, déployer et d'en assumer la responsabilité.

Non, dans ce sens là, les drivers ne font pas partie de l'os, et c'est bien à chaque éditeur de les développer pour leur produits respectifs, les tester et les déployer, mais aussi derrière en assumer la responsabilité. CrowdStrike dans le cas présent , et certainement pas Microsoft.

C'est un peu de la mauvaise fois, je pense qu'à part toi, le premier réflexe sera évidemment de contacter le vendeur "final". Et je n'ai pas parler de pneu que j'installe moi-même (et dans ce cas, je serait responsable), mais d'une installation faite par le vendeur et/ou sous-traitant. Si je suis ton raisonnement, si ta machine a laver tombe en panne, tu vas t'adresser au sous-traitant qui fournit les vises utilisées ?

Désolé, la mauvaise fois est plutôt de ton coté. Tu tente de faire une analogie avec une voiture, mais analogie volontairement foireuse, puisque tu considère (parce que ça t'arrange) que le logiciel Falcon de CrowdStrike fait partie intégrante de Windows et est livré avec, tout ça pour en rendre Microsoft responsable.
Le logiciel Falcon n'est pas livré avec Windows, il ne fait pas partie intégrante du système. C'est un logiciel qui est installé par l'utilisateur après achat de l'ordinateur et de Windows, tout comme tout logiciel, ou jeux que tu vas toi-même installer sur ta machine.
Donc oui, si tu veux faire l'analogie, il faut bien la faire avec les pneus que tu vas toi-même acheter et installer toi-même sur ta voiture, et non pas ceux qui y étaient présent au moment de l'achat de celle-ci.

Et si tu voulais que ton analogie marche, il fallait parler de Microsoft Defender, l'antivirus intégré à Windows, mais pas de Falcon (qui n'est pas vraiment un antivirus, mais c'est le raccourcis fait par les médias pour que les Mme Michu comprennent)

Je ne tape pas sur Microsoft, je ne suis ni pro windows, ni pro linux, ni pro Apple, mais il semble que tu sois pro Miscrosoft.

Non, je ne suis pas pro Microsoft, j'ai même de plus en plus de critiques à faire au fils des années et des versions. Mais je n'essaye pas de les enfoncer gratuitement à la moindre occasion, même quand ils ne sont pas responsable.
Justement, en tant que développeur responsable des logiciels et mises à jour que je produis, je ne me décharge pas sur Microsoft au moindre problème qui survient.
D'ailleurs il est à noté CrowdStrike n'a pas non plus chercher à le faire, ils assument leur pleine responsabilité. Mais visiblement ici, ça ne vous suffit pas, c'est toujours et encore Microsoft le coupable.

Moi, je ne suis qu'un développeur (spécialisé dans l'embarqué), où on est très très prudent lors de chaque changement, même de version de compilateur.

Et malgré tout ton professionnalisme, et toute ta bonne volonté, tu n'es pas à l'abri de provoquer toi-même une situation similaire. Mais tu vas dire, comme tout le monde, et je peux m'y inclure dedans, que ce n'est pas possible. Jusqu'au jour ou ça arrivera.

Je pense qu'une entreprise qui veut installer un "driver" dans un OS devrait avoir une relation avec le fournisseur de l'OS, et qu'il donne son approbation, et ou une certification, après une vérification que le dit driver ne vient pas flinguer son OS. Et de la part du fournisseur de l'OS, refuser l'installation de "driver" non certifié.

Et certainement que le driver était certifié car Windows ne l'aurait laissé s'installer autrement. La certification ne protège pas des bugs, ce n'est pas sa vocation. Et Microsoft ne peux tester et valider les centaines de milliers de drivers divers et variés qui existent.
Toi-même (ou une autre équipe de ta structure), faisant de l'embarqué, tu en développe peut-être pour tes produits, s'ils communiquent avec un logiciel sous Windows. Tu ne les fait pas vérifier par Microsoft à chaque mise à jour.

[sevyc64]

Où avez-vous vu que ça a duré que 2 heures ?
Les informations que je vois montre que la mise à jour a commencé à 21h (heure de Paris) et j'ai des postes dans mon entreprise qui recevaient encore cette mise à jour foireuse à 6h30 du matin (heure de Paris). Soit 10h au total

https://www.crowdstrike.com/blog/fal...nical-details/

La mise à jour en question a commencé à être diffusée à 4h09 UTC, soit 6h09, heure de Paris. Elle a été stoppée à 5h27 UTC, soit 7h27, heure de Paris.
Elle a donc été disponible 78 min au total, moins de 2h.

CrowdStrike indique aussi que ce genre de mise à jour intervient plusieurs fois chaque jour. Donc tu peux peut-être en voir plusieurs dans tes logs mais qui n'ont pas poser de problèmes particuliers.

[OuftiBoy]

Il n'est pas intimement lié dans le sens où, Toi, tu employais cette formule dans ta phrase. Tu employais ce terme pour signifier que les drivers faisaient partie intégrante de l'os et que donc par conséquent c'était donc à Microsoft de les développer, tester, déployer et d'en assumer la responsabilité. Non, dans ce sens là, les drivers ne font pas partie de l'os, et c'est bien à chaque éditeur de les développer pour leur produits respectifs, les tester et les déployer, mais aussi derrière en assumer la responsabilité. CrowdStrike dans le cas présent , et certainement pas Microsoft.

C'est ton avis, je le respecte, mais je n'adhère pas, désolé. Que Microsoft laisse s'installer des "drivers" non vérifié/audité/certifié, je ne trouve pas que c'est une bonne pratique.

Désolé, la mauvaise fois est plutôt de ton coté. Tu tente de faire une analogie avec une voiture, mais analogie volontairement foireuse, puisque tu considère (parce que ça t'arrange) que le logiciel Falcon de CrowdStrike fait partie intégrante de Windows et est livré avec, tout ça pour en rendre Microsoft responsable.

Non, je n'ai pas dis que le "driver" était livré avec l'OS. Par contre, il a été autorisé par l'OS a être installé. C'est là le "reproche" que je fais à Microsoft. Tout comme les mises à jour forcées.

Donc oui, si tu veux faire l'analogie, il faut bien la faire avec les pneus que tu vas toi-même acheter et installer toi-même sur ta voiture, et non pas ceux qui y étaient présent au moment de l'achat de celle-ci.

J'ai pris les pneu au pif, ce n'était peut-être pas le meilleur exemple, je te le concède volontiers. Aller, pour que ça soit plus claire, imagine un client d'une voiture autonome qui est content de sa voiture. Mais un beau jour, à cause d'une mise à jour non demandée (mise a jour faite par tesla ou un de leur sous-traitant, ou pire, de quelqu'un qu'ils ne connaissent même pas), ta voiture ne démarre plus. Tu vas te tourner vers qui ? Ben vers tesla, c'est lui qui t'a vendu la voiture. Parce que si n'importe qui peut installer n'importe quoi, merci pour la sécurité. On en a la preuve avec ce qui arrive en ce moment.

Non, je ne suis pas pro Microsoft, j'ai même de plus en plus de critiques à faire au fils des années et des versions. Mais je n'essaye pas de les enfoncer gratuitement à la moindre occasion, même quand ils ne sont pas responsable. Justement, en tant que développeur responsable des logiciels et mises à jour que je produis, je ne me décharge pas sur Microsoft au moindre problème qui survient. D'ailleurs il est à noté CrowdStrike n'a pas non plus chercher à le faire, ils assument leur pleine responsabilité. Mais visiblement ici, ça ne vous suffit pas, c'est toujours et encore Microsoft le coupable.

Encore une fois, je n'ai rien contre Microsoft ni personne d'ailleurs. Mais je considère qu'ils sont co-responsable.

Et malgré tout ton professionnalisme, et toute ta bonne volonté, tu n'es pas à l'abri de provoquer toi-même une situation similaire. Mais tu vas dire, comme tout le monde, et je peux m'y inclure dedans, que ce n'est pas possible. Jusqu'au jour ou ça arrivera.

L'erreur est humaine, on est bien d'accord. Même en faisant du mieux que l'on peut, on peut tous laisser passer quelque chose. C'est pourquoi il faut mettre en place des procédures à respecter, et les mettre à jour quant même en les suivant, une faille est passée. Il faut tirer d'un échec une leçon, et s'adapter. Que Microsoft laisse installer des logiciel "tiers", dont il n'a pas connaissance, et dont il n'est pas responsable, je suis d'accord. Tu peux installer un autre logiciel que ceux vendus par l'éditeur de l'OS, et c'est très bien comme ça.

Mais ici, on ne parle pas d'une mise à jour d'un autre lecteur vidéo ou traitement de texte. On parle d'un "driver" (un "plugin" si tu n'adhère pas à l'idée qu'un driver est fortement lié à l'OS), qui à cause d'une mise à jour foireuse, va faire perdre des milliards au niveau planétaire. Moi, je ne trouve pas ça normale. Mais chacun est libre de penser ce qu'il veut.

Dans mon cas, on ne se permet même pas de changer de versions de compilateurs durant toute la vie d'un produit. Parce qu'on a vérifié qu'il ne posait pas de soucis. C'est juste un exemple. J'en ai pleins d'autres. Et (dans un autre domaine) on ne fait pas de mise à jour forcée pour changer "l'interface" et ajouter trois smiley, pour une meilleur "Expérience Utilisateur". Désolé, mais je sais ce que je veux, et je n'adhère pas à l'idée qu'un "designer" à l'autre bout de la planète sache mieux que moi ce qui est bon pour moi.

Et certainement que le driver était certifié car Windows ne l'aurait laissé s'installer autrement. La certification ne protège pas des bugs, ce n'est pas sa vocation. Et Microsoft ne peux tester et valider les centaines de milliers de drivers divers et variés qui existent.
Toi-même (ou une autre équipe de ta structure), faisant de l'embarqué, tu en développe peut-être pour tes produits, s'ils communiquent avec un logiciel sous Windows. Tu ne les fait pas vérifier par Microsoft à chaque mise à jour.

Si le driver en question a été certifié par Microsoft, ils sont encore plus co-coupable. Et s'ils laissent s'installer des drivers pour n'importe quoi et par n'importe qui, qui peuvent mettre en péril la stabilité de leur OS, ils sont également co-coupables. Sans compter qu'à chaque mise à jour de Windows, ils tentent de te réimposer Edge, rechangent des settings de ta machine dans ton dos, continuent de faire de la télémétrie même si tu as su trouver dans un obscure menu comment les désactiver ? Tout cela ne me semble pas de bonnes pratiques... Là, ils sont même en train d'essayer de mettre de la PUB. De la BUP dans un OS, quelqu'un trouve ça normal ?

La certification ne protège pas des bugs, c'est évident, mais ça aide à être forcer à mettre en place des bonnes pratiques. Et la pratique de laisser mettre à jour un driver sur l'OS au niveau mondial en même temps sur des millions de machines, cela me semble une mauvaise pratique. Mais si d'autres trouvent ça normal, c'est leur droit.

Mais dans ce cas, que faut-il faire ? Attendre un nouveau désastre "parce que l'on ne pourrait rien faire" pour améliorer la situation ? Si on ne tire aucune leçon de ce désastre, les mêmes causes produiront les même effets.

BàT et Peace & Love.

[foetus]

Panne informatique mondiale : 8,5 millions d’ordinateurs ont été affectés, selon Microsoft, brève 20 minutes

Alors que ce samedi la situation revenait progressivement à la normale, le géant a annoncé combien de personnes avaient été touchées

8.5 millions. C’est le nombre d’ordinateurs sous Windows touchés vendredi par la panne informatique mondiale qui a bouleversé des aéroports, des banques et de nombreux autres services. « Nous estimons actuellement que la mise à jour de CrowdStrike a affecté 8,5 millions d’appareils Windows, soit moins d’1 % de toutes les machines Windows », a indiqué le Microsoft samedi dans un billet de blog.

La panne a été causée par la mise à jour d’un logiciel de cybersécurité de CrowdStrike, qui s’est révélée incompatible avec le système d’exploitation Windows, le plus répandu dans le monde. « Bien que le pourcentage soit faible, les impacts économiques et sociétaux importants observés reflètent l’utilisation de CrowdStrike par des entreprises qui gèrent de nombreux services critiques », a continué Microsoft.

« Pas du ressort de Microsoft »
Plusieurs milliers de vols ont été annulés, tandis que le fonctionnement de nombreux hôpitaux, administrations, usines et chaînes de télévision, entre autres, a été perturbé. David Weston, un vice-président du groupe informatique, insiste dans le billet de blog sur le fait que l’incident n’est « pas du ressort de Microsoft ». Il détaille les mesures prises par son entreprise, comme le déploiement de centaines d’ingénieurs et d’experts pour aider les organisations affectées par la panne.

Microsoft, numéro deux mondial du cloud derrière Amazon et devant Google, dit en outre avoir collaboré avec ses deux principaux concurrents pour partager des informations sur l’impact du problème pour leur industrie. « Cet incident démontre la nature interconnectée de notre vaste écosystème – fournisseurs mondiaux de cloud, logiciels, entreprises de cybersécurité et autres fournisseurs de logiciels, et clients », note encore David Weston.

De nombreux experts ont souligné dès vendredi que l’ampleur de la panne révélait les risques associés à la consolidation dans les secteurs de la cybersécurité et du cloud : en cas de bug, des millions d’ordinateurs sont instantanément touchés.