Discussion :

[Stéphane le calme]

CrowdStrike dénonce les attaques « louches » de ses concurrents visant à effrayer ses clients et voler des parts de marché,
après la panne informatique mondiale provoquée par une mise à jour défectueuse

Suite à la panne informatique, les rivaux de CrowdStrike ont détecté une faille dans son armure. Les dirigeants de SentinelOne, un concurrent direct, ont accusé la conception et les processus de test des produits de CrowdStrike pour se positionner comme une alternative plus sûre. Michael Sentonas, président de CrowdStrike, a critiqué les efforts « louches » de ses rivaux en cybersécurité pour effrayer leurs clients et « voler » des parts de marché depuis la mise à jour logicielle ratée de juillet qui a provoqué une panne informatique mondiale. Sentonas a souligné que personne ne pouvait “techniquement” garantir que son propre logiciel ne provoquerait jamais un incident similaire.

Le président de CrowdStrike a dénoncé les efforts « louches » déployés par ses rivaux en matière de cybersécurité pour effrayer ses clients et leur voler des parts de marché au cours du mois qui s'est écoulé depuis que la mise à jour bâclée de son logiciel a provoqué une panne informatique mondiale.

Michael Sentonas a déclaré au Financial Times que les tentatives des concurrents d'utiliser la panne du 19 juillet pour promouvoir leurs propres produits étaient « malavisées ». Après avoir essuyé les critiques de ses concurrents, dont SentinelOne et Trellix, le dirigeant de CrowdStrike a déclaré qu'aucun fournisseur ne pouvait « techniquement » garantir que son propre logiciel ne provoquerait jamais un incident similaire.

« Notre secteur est fondé sur la confiance », a déclaré Sentonas. Les rivaux qui profitent de l'effondrement pour promouvoir leurs propres produits « se déprécient eux-mêmes car, en fin de compte, les gens connaissent très rapidement les faits à partir de commentaires peut-être douteux ».

La société texane CrowdStrike avait la réputation d'être la première ligne de défense de nombreuses grandes entreprises contre les cyberattaques, mais la notoriété de ses clients a exacerbé l'impact de l'interruption mondiale de juillet qui a mis hors service 8,5 millions d'appareils Windows.

Les assureurs ont estimé que les pertes liées à cette perturbation, qui a entraîné l'immobilisation de vols et la fermeture de systèmes hospitaliers, pourraient se chiffrer en milliards de dollars. Delta Air Lines, qui a annulé plus de 6 000 vols, a estimé que les pannes lui coûteraient 500 millions de dollars et a menacé de porter plainte.

Les avocats de CrowdStrike ont nié toute responsabilité dans l'ampleur de la perturbation subie par Delta et ont fait valoir que la responsabilité de l'entreprise technologique était plafonnée « à un seul chiffre de millions » par ses contrats. Sentonas n'a pas commenté la menace juridique, que l'entreprise a qualifiée de « gesticulation publique sur la possibilité d'intenter un procès sans fondement ».

La concurrence s'active

Les dirigeants de SentinelOne, un concurrent direct, ont rejeté la faute sur la conception du produit de CrowdStrike et sur les processus de test afin de se présenter comme une alternative plus sûre. Selon le magazine CRN, Tomer Weingarten, directeur général de SentinelOne, a déclaré que la panne mondiale était le résultat de « mauvaises décisions de conception » et d'une « architecture risquée » chez CrowdStrike.

Alex Stamos, responsable de la sécurité de l'information chez SentinelOne, a averti dans un message sur LinkedIn qu'il était « dangereux » pour CrowdStrike « de prétendre qu'un produit de sécurité aurait pu causer ce type de panne mondiale ». Trellix, qui est une société privée, a également assuré à ses clients qu'ils n'avaient pas à craindre un événement similaire. « Trellix a une philosophie différente de celle de CrowdStrike », a déclaré Bryan Palma, directeur général, sur LinkedIn. « Chez Trellix, nous adoptons une approche conservatrice ».

Allie Mellen, analyste chez Forrester, a déclaré que de nombreux fournisseurs « utilisaient les pannes pour vendre leurs propres produits », ajoutant que l'industrie de la sécurité, généralement collaborative, « désapprouve vraiment le fait de tirer sur l'ambulance ».

Les investisseurs ont parié que les rivaux de CrowdStrike, cotés en bourse, seraient en mesure de prendre l'avantage sur le marché encombré de la sécurité des terminaux, qui consiste à scanner les PC, les téléphones et d'autres appareils à la recherche de cyberattaques.

Les actions de SentinelOne, qui vaut 7,4 milliards de dollars, ont augmenté de 19 % au cours du mois qui a suivi les pannes, tandis que celles de Palo Alto Networks, qui vaut 120 milliards de dollars, ont augmenté de 13 %. CrowdStrike, qui vaut aujourd'hui 65 milliards de dollars, a perdu près d'un quart de sa valeur marchande depuis l'incident.

Le cabinet d'études informatiques Gartner estime que la part de CrowdStrike dans le chiffre d'affaires du marché de la sécurité des terminaux d'entreprise l'année dernière était la deuxième plus importante après Microsoft, qui regroupe ses produits avec d'autres outils de sécurité, et plus du double de celle de son plus proche rival, Trellix.

Nikesh Arora, directeur général de Palo Alto Networks, a déclaré lors d'une conférence téléphonique sur les résultats cette semaine que l'incident avait déjà incité certaines entreprises à chercher d'autres options. « C'est passionnant parce que les clients sont prêts à nous prendre en considération », a-t-il déclaré.

Pour se différencier, les petits concurrents de CrowdStrike se sont concentrés sur la manière dont leurs produits accèdent au noyau d'un système d'exploitation, qui contrôle l'ensemble de l'ordinateur. Un logiciel défectueux dans le noyau peut faire planter un système entier, comme l'ont montré les milliers d'« écrans bleus de la mort » qui ont frappé les ordinateurs Windows dans le monde entier en juillet.

Weingarten, de SentinelOne, a expliqué à CRN que les pannes étaient dues à « l'omniprésence du code introduit dans le noyau » par CrowdStrike, suggérant que l'introduction d'un plus grand nombre de codes dans le noyau multiplie les possibilités d'erreurs. D'autres entreprises, a-t-il ajouté, offrent « une protection incroyable sans avoir à insérer tout le code dans le noyau ».

Bien que CrowdStrike ait promis d'introduire de nouvelles vérifications et des mises à jour échelonnées afin d'éviter une répétition de la perturbation massive, M. Sentonas a déclaré que la présence continue de l'entreprise au sein du noyau était essentielle pour fournir une protection maximale contre les cyber-menaces.

« La raison pour laquelle nous sommes dans le noyau est que cela nous permet d'avoir une visibilité sur tout ce qui se passe dans le système », a-t-il déclaré. « Cela signifie que nous pouvons protéger le produit de sécurité. Cela signifie que nous pouvons opérer très rapidement - et c'est une méthode de travail très répandue dans l'industrie.

Les dirigeants de CrowdStrike ont déjà attaqué Microsoft après qu'elle a été touchée par une série de cyberincidents et de violations très médiatisés au cours des dernières années.

Toutefois, depuis la panne, Sentonas a tenté de donner une tournure positive à la relation entre CrowdStrike et Microsoft, qui, selon lui, « a été constamment au téléphone avec nous ». Il a également fait l'éloge de son rival Palo Alto Networks pour avoir lancé « une conversation mature sur la résilience ».

CrowdStrike accepting the @PwnieAwards for “most epic fail” at @defcon. Class act. pic.twitter.com/e7IgYosHAE

— Dominic White 👾 (@singe) August 10, 2024

CrowdStrike accepte un Pwnie Award pour « l'échec le plus épique » lors de la conférence Defcon

Les Pwnie Awards récompensent à la fois l'excellence et l'incompétence dans le domaine de la sécurité de l'information. Les gagnants sont sélectionnés par un comité de professionnels de l'industrie de la sécurité parmi les nominations recueillies auprès de la communauté de la sécurité de l'information. Les nominations sont annoncées chaque année lors de la Summercon, et les prix eux-mêmes sont décernés lors de la conférence Black Hat sur la sécurité.

La décision d’accorder ce prix à CrowdStrike a été prise à la dernière minute, car comment CrowdStrike aurait-il pu ne pas gagner ? Lorsqu’un trophée comiquement grand a été apporté sur scène sous les applaudissements nourris, Sentonas a admis que ce n’était « certainement pas le prix dont on peut être fier de recevoir ». Il a ajouté : « Parce que nous avons complètement échoué, nous l’avons dit à plusieurs reprises, il est très important de se féliciter lorsque vous faites bien les choses, mais il est également très important d’assumer lorsque vous faites complètement fausse route ».

Sentonas a déclaré qu’il ramènerait le trophée au siège de CrowdStrike et le mettrait en évidence comme un rappel que « notre objectif est de protéger les gens, et nous avons échoué ici, et je veux m’assurer que tout le monde comprenne que ces choses ne peuvent pas arriver ».

« Je suis absolument certain que nous deviendrons une organisation beaucoup plus forte à la suite d'un événement qui n'aurait jamais dû se produire », a-t-il déclaré. Beaucoup de [clients] disent : « En fait, vous allez être le produit de sécurité le plus éprouvé de l'industrie ».

Sources : Financial Times, CRN

Et vous ?

Capitalisation sur l'échec de CrowdStrike : que pensez-vous de la stratégie des entreprises concurrentes qui vantent leurs produits au détriment d'un autre ? Comprenez-vous la réaction de CrowdStrike ?
La confiance envers les entreprises de cybersécurité : pensez-vous que la confiance envers les entreprises de cybersécurité a été ébranlée par la panne mondiale de CrowdStrike ? Comment cela pourrait-il affecter leurs clients et leur adoption de nouvelles technologies de sécurité ?
Responsabilité des entreprises technologiques : qui devrait être tenu responsable lorsqu’une entreprise technologique provoque une panne mondiale ? Devrions-nous considérer cela comme une simple erreur ou exiger des normes plus strictes en matière de conception et de test de logiciels ?
Alternatives à CrowdStrike : quelles autres entreprises de cybersécurité considérez-vous comme des alternatives fiables à CrowdStrike ? Quelles sont leurs approches en matière de conception et de test de produits ?
Impact économique : comment évaluez-vous l’impact économique de la panne de CrowdStrike ? Pensez-vous que les pertes financières subies par des entreprises comme Delta Air Lines sont justifiées ?

[OrthodoxWindows]

CrowdStrike découvre qu'il vaut mieux tester une mise à jour avant de la déployer, surtout sur un logiciel qui se place à un stade critique de l'OS, sur un ordi utilisé pour un usage critique.
CrowdStrike découvre qu'en cas de problème grave, la seul confiance avec le client ne fonctionne plus.
Désormais CrowdStrike découvre qu'il existe un système concurrentiel, où chaque concurrent attend qu'un concurrent fasse une connerie.

Bientôt CrowdStrike découvrira qu'il est une entreprise spécialisé dans le domaine de la cybersécurité, dans un contexte d'économie capitaliste libérale.

Ah moins que CrowdStrike se foute tout simplement de la g**** du monde.

[Stéphane le calme]

Comment la cybersécurité doit-elle évoluer après la panne de CrowdStrike ? Microsoft organise un sommet à l'intention des entreprises,
pour discuter de l'amélioration de la résilience des logiciels

En juillet dernier, une mise à jour défectueuse du logiciel CrowdStrike a entraîné la panne de millions d’ordinateurs Windows dans le monde entier. Cette situation a eu des conséquences majeures, notamment l’annulation de milliers de vols par les compagnies aériennes et des retards dans les rendez-vous médicaux dans les hôpitaux. Face à cet incident, Microsoft a décidé d’organiser un sommet sur la cybersécurité en septembre.

Microsoft intensifie ses projets visant à rendre Windows plus résistant aux logiciels bogués, après qu'une mise à jour CrowdStrike bâclée a mis hors service des millions d'ordinateurs et de serveurs lors d'une panne informatique mondiale.

Le mois dernier, la grande enseigne de la technologie a intensifié ses discussions avec ses partenaires pour adapter les procédures de sécurité de son système d'exploitation afin de mieux résister au type d'erreur logicielle qui a provoqué la panne de 8,5 millions d'appareils Windows le 19 juillet. Les critiques affirment que tout changement de la part de Microsoft équivaudrait à une concession sur les lacunes de Windows en matière de gestion des logiciels de sécurité tiers, lacunes qui auraient pu être corrigées plus tôt.

Cependant, ces changements seraient également controversés parmi les fournisseurs de logiciels de sécurité, qui devraient apporter des modifications radicales à leurs produits, et obligeraient de nombreux clients de Microsoft à adapter leurs logiciels.

Les pannes du mois dernier, qui auraient causé des milliards de dollars de dommages après avoir cloué au sol des milliers de vols et perturbé les rendez-vous dans les hôpitaux du monde entier, ont renforcé l'attention des autorités de régulation et des chefs d'entreprise sur l'étendue de l'accès des éditeurs de logiciels tiers au cœur, ou noyau, des systèmes d'exploitation Windows.

Microsoft organisera le mois prochain un sommet réunissant des représentants du gouvernement et des entreprises de cybersécurité, dont CrowdStrike, afin de « discuter des mesures concrètes que nous prendrons tous pour améliorer la sécurité et la résilience de nos clients communs », a déclaré Microsoft vendredi.

Tirer des leçons de l'échec

« Le 10 septembre 2024, Microsoft organisera un sommet de l'écosystème de sécurité des points finaux Windows à son siège de Redmond, Washington. Microsoft, CrowdStrike et des partenaires clés qui fournissent des technologies de sécurité des points finaux se réuniront pour discuter de l'amélioration de la résilience et de la protection de l'infrastructure critique des clients mutuels. Notre objectif est de discuter des mesures concrètes que nous prendrons tous pour améliorer la sécurité et la résilience de nos clients communs.

« La panne de CrowdStrike en juillet 2024 nous permet de tirer d'importants enseignements en tant qu'écosystème. Nos discussions porteront sur l'amélioration de la sécurité et des pratiques de déploiement sûres, la conception de systèmes pour la résilience et la collaboration en tant que communauté prospère de partenaires pour mieux servir les clients aujourd'hui et à l'avenir.

« Outre les partenaires de l'écosystème, Microsoft invitera des représentants du gouvernement afin d'assurer le plus haut niveau de transparence à la collaboration de la communauté en vue de fournir une technologie plus sûre et plus fiable pour tous. Le sommet de l'écosystème Windows Endpoint Security devrait déboucher sur des actions et des initiatives à court et à long terme, l'objectif collectif étant d'améliorer la sécurité et la résilience. Nous ferons le point sur ces discussions à l'issue de l'événement ».

Plusieurs options sont envisagées

Microsoft a déclaré envisager plusieurs options pour rendre ses systèmes plus stables et a souligné qu'il n'est pas exclu de bloquer complètement l'accès au noyau Windows (une option dont certains rivaux craignent qu'elle ne désavantage leurs logiciels par rapport au produit de sécurité interne de l'entreprise, Microsoft Defender). « Tous les concurrents craignent que [Microsoft] n'en profite pour préférer ses propres produits aux alternatives tierces », a déclaré Ryan Kalember, responsable de la stratégie de cybersécurité chez Proofpoint.

Exiger de nouvelles procédures de test

Microsoft pourrait également exiger de nouvelles procédures de test de la part des fournisseurs de cybersécurité plutôt que d'adapter le système Windows lui-même.

Apple, qui n'a pas été touché par les pannes, empêche tous les fournisseurs tiers d'accéder au noyau de son système d'exploitation MacOS, les obligeant à fonctionner en mode « utilisateur », plus limité. Microsoft a précédemment déclaré ne pas être en mesure de faire de même, après avoir conclu un accord avec la Commission européenne en 2009 selon lequel elle donnerait à des tiers le même accès à ses systèmes que celui de Microsoft Defender.

Certains experts ont toutefois déclaré que cet engagement volontaire envers l'UE n'avait pas lié les mains de Microsoft comme il le prétendait, arguant que l'entreprise avait toujours été libre d'apporter les changements envisagés. « Il s'agit de décisions techniques de Microsoft qui ne faisaient pas partie [de l'accord] », a déclaré Thomas Graf, un associé de Cleary Gottlieb à Bruxelles qui a participé à l'affaire.

Bloquer l'accès au noyau

« Le texte [de l'accord] ne les oblige pas à donner accès au noyau », a ajouté AJ Grotto, ancien directeur principal de la politique de cybersécurité à la Maison Blanche. Grotto a déclaré que Microsoft avait sa part de responsabilité dans les perturbations de juillet, car les pannes n'auraient pas été possibles sans sa décision d'autoriser l'accès au noyau.

Néanmoins, bien qu'il puisse renforcer la résilience d'un système, le blocage de l'accès au noyau pourrait également entraîner de « véritables compromis » pour la compatibilité avec d'autres logiciels qui a rendu Windows si populaire auprès des clients professionnels, a déclaré Allie Mellen, analyste chez Forrester. « Il s'agirait d'un changement fondamental pour la philosophie et le modèle commercial de Microsoft », a-t-elle ajouté.

Le fait d'opérer exclusivement en dehors du noyau peut réduire le risque de déclencher des pannes massives, mais cela est également « très contraignant » pour les fournisseurs de sécurité et pourrait rendre leurs produits « moins efficaces » contre les pirates informatiques, a ajouté Mellen. Le fait d'opérer au sein du noyau donne aux entreprises de sécurité plus d'informations sur les menaces potentielles et permet à leurs outils défensifs de s'activer avant que les logiciels malveillants ne s'installent, a-t-elle ajouté.

Reproduire le modèle utilisé par Linux

Une autre option consisterait à reproduire le modèle utilisé par le système d'exploitation libre Linux, qui utilise un mécanisme de filtrage créant un environnement séparé au sein du noyau dans lequel les logiciels, y compris les outils de cyberdéfense, peuvent être exécutés. Mais la complexité de la refonte de la manière dont les autres logiciels de sécurité fonctionnent avec Windows signifie que tout changement sera difficile à contrôler pour les régulateurs et que Microsoft sera fortement incité à favoriser ses propres produits, ont déclaré des rivaux.

Cela « semble bien sur le papier, mais le diable est dans les détails », a déclaré Matthew Prince, directeur général du groupe de services numériques Cloudflare.

Un changement qui ne résoudra qu'un « faible pourcentage du problème », selon un cadre de Microsoft

Ce dernier a requis l'anonymat parce qu'il n'est pas l'autorisation de discuter publiquement de questions internes. Il a déclaré que les participants au Windows Endpoint Security Ecosystem Summit étudieront la possibilité de faire en sorte que les applications s'appuient davantage sur une partie de Windows appelée mode utilisateur plutôt que sur le mode noyau, plus privilégié.

Les développeurs de logiciels de CrowdStrike, Check Point, SentinelOne et d'autres acteurs du marché de la protection des points finaux dépendent actuellement du mode noyau. Cet accès permet à SentinelOne de « surveiller et d'arrêter les mauvais comportements et d'empêcher les logiciels malveillants de désactiver les logiciels de sécurité », a déclaré un porte-parole.

Les applications en mode utilisateur sont isolées, ce qui signifie que si l'une d'entre elles tombe en panne, elle n'entraînera pas l'arrêt des autres. En revanche, une application en mode noyau qui tombe en panne peut entraîner le blocage de l'ensemble de Windows. Le 19 juillet, CrowdStrike a publié une mise à jour boguée de la configuration du contenu de son capteur Falcon pour les ordinateurs Windows, dans le but de recueillir des données sur les nouvelles attaques, ce qui a provoqué des pannes au niveau du système d'exploitation. Les administrateurs informatiques ont redémarré un à un les PC qui avaient reçu la mise à jour et qui affichaient un « écran bleu de la mort ».

Le cadre de Microsoft a déclaré que la suppression de l'accès au noyau de Windows ne résoudrait qu'un faible pourcentage des problèmes potentiels. Ces dernières années, Apple a limité l'accès au noyau dans macOS et l'entreprise décourage les développeurs d'utiliser des extensions du noyau.

Les participants à l'événement organisé par Microsoft le 10 septembre discuteront également de l'adoption de la technologie eBPF, qui vérifie que les programmes s'exécutent sans provoquer de pannes du système, et des langages de programmation à mémoire sécurisée tels que Rust, a déclaré le cadre. L'année dernière, Microsoft a fait don d'un million de dollars à la fondation à but non lucratif Rust, qui verse des allocations aux personnes travaillant sur ce langage.

Microsoft est en concurrence avec CrowdStrike avec son produit Defender for Endpoint. L'équipe de CrowdStrike participera à la conférence comme toute autre entreprise de cybersécurité et ne bénéficiera pas d'un traitement de faveur, a déclaré le cadre.

Conclusion

En définitive, ce sommet vise à tirer des leçons de la panne causée par CrowdStrike et à renforcer la sécurité des systèmes Windows pour éviter de tels incidents à l’avenir en rendant Windows plus résilient face aux erreurs logicielles. Apple, par exemple, bloque l’accès au noyau de son système d’exploitation MacOS pour les fournisseurs tiers, les obligeant à fonctionner en mode utilisateur plus limité. L'exercice est délicat : Microsoft devra trouver un équilibre entre la sécurité et la compatibilité avec les produits tiers, une situation que les régulateurs et l'industrie de la cybersécurité observent avec le plus grand intérêt.

Source : Microsoft

Et vous ?

Quelle est votre opinion sur l’accès au noyau (kernel) de Windows par les logiciels tiers ? Pensez-vous que Microsoft devrait bloquer complètement cet accès pour renforcer la stabilité du système, ou est-ce une mesure trop restrictive ?
Comment évaluez-vous la réaction de Microsoft face à la panne causée par CrowdStrike ? Trouvez-vous que l’organisation a agi de manière proactive en organisant ce sommet sur la cybersécurité, ou aurait-elle pu faire plus ?
Quelles sont les implications pour la sécurité des utilisateurs et des entreprises lorsque des mises à jour logicielles défectueuses se produisent ? Comment pouvons-nous mieux protéger nos systèmes contre de telles situations à l’avenir ?
Pensez-vous que les fournisseurs tiers de sécurité devraient avoir un accès privilégié au noyau de Windows ? Quels avantages et inconvénients cela pourrait-il entraîner ?
Quelles autres mesures de sécurité pourraient être mises en place pour éviter des incidents similaires à l’avenir ? Avez-vous des idées ou des suggestions ?

[floyer]

Même avec un système bien compartimenté (pas d’accès au noyau), un logiciel qui assurerait la validation de tout exécutable (contrôle antivirus…) avant exécution pourrait être SPOF.
L’idée de restreindre à des languages moins permissifs (Rust) me semble assez intéressant en revanche.

[NotABread]

Bon, alors il va falloir accepter qu'un logiciel peut planter, et si c'est au niveau du noyau, il entraine le système d'exploitation avec lui. C'est comme ça que ça marche, c'est un risque très connu et installer un programme s'exécutant au niveau du noyau, c'est accepter ce risque.
Le problème de cet histoire, c'est juste qu'il faut un fautif et que tout le monde va se renvoyer la balle en cherchant à grappiller du terrain:
- Les compagnies aériennes vont dire que c'est de la faute de Crowdstrike et Microsoft pour respectivement avoir pousser un logiciel qui plante et avoir un OS pas assez robuste
- Microsoft dira que c'est de la faute de l'EU de l'avoir empêcher de fermer l'accès au noyau
- Crowdstrike dira certainement qu'avec une meilleure politique de déploiement de MAJ, ces client auraient pu éviter une paralysie de leur système informatique

La pire solution pour moi est le blocage des accès noyau sauf ceux approuvé:
bien que ça va certainement rendre plus difficile l'exécution de malware au niveau noyau, ça va forcément réduire la concurrence puisque Microsoft fera payer l'accès et cela ne garantira pas la stabilité du programme

Passer à une API dans un langage garantissant la sécurité de la mémoire comme Rust ou implémenter un système similaire à celui de Linux va être un coût non anodin pour tous, mais à long terme pourrait grandement améliorer la stabilité de l'écosystème.

[floyer]

@NotABread plutôt d’accord, sauf que «*Crowdstrike dira certainement qu'avec une meilleure politique de déploiement de MAJ, ces client auraient pu éviter une paralysie de leur système informatique«*en effet, Crowdstrike vend un service «*cloud*»… comme cela est affiché dans leur publicité. Donc les clients sont à la merci d’effets de bord de mises à jour sans forcément les moyens de soumettre les mises à jours à des validations.

[NotABread]

C'est vrai ^^'
Mais ils n'admettront jamais que c'est de leur faute. Ils diront que untel aurait pu faire ceci pour éviter le problème pour laisser le doute sur la responsabilité jusqu'à qu'une action en justice tranche sur le sujet

[Choucas35]

En réalité, W est mal pensé dès DOS et maintenu dans cette précarité depuis.
Déjà, à l'époque, existait les Unix, Multics ... qui étaient "secure".
Mais il fallait faire du cash !!!
Vive les OS issus de cette racine dont LINUX et Ubuntu, même si les snap ne sont pas encore parfaits

[floyer]

N’importe quel OS qui permet des extensions en mode noyau s’expose à ce risque. Les différents OS type UNIX n’y échappent pas. (D’ailleurs une mise à jour de Crowdstrike a provoqué des kernel panic sur Linux).

L’architecture de Windows depuis NT n’a rien à voir avec DOS, contrairement à ce que tu sembles dire.

L’approche qui changera vraiment quelque chose est le micronoyau (Mach, QNX, SeL4…) et encore, si un module est un SPOF (typiquement un système de fichier), un défaut dans ce module compromet le fonctionnement du système. Cette approche pourrait rogner un peu les performances… mais pour des applications critiques, pourquoi pas. (Cela me rappelle l’arrivée d’OS/2 où la presse s’indignait oh là là, on perd 2% de performances par rapport à un OS non sécurisé)

Et le principe de mise à jour automatique est vraiment le cœur du problème. Imaginons Oracle « pousser » une nouvelle pile Java à l’insu des développeur et exploitant… même si elle ne tourne qu’en mode utilisateur, cela peut bloquer beaucoup d’applications potentiellement critiques.

[Jade Emy]

CrowdStrike estime que la panne mondiale a laissé un trou de 60 millions de dollars dans ses ventes, après que sa gestion bâclée d'une mise à jour logicielle a déclenché un effondrement technologique.

CrowdStrike estime que l'effondrement technologique provoqué par sa maladresse a laissé un trou de 60 millions de dollars dans ses ventes. Même si sa gestion bâclée d'une mise à jour logicielle a déclenché ces pertes, CrowdStrike se dit être encore en mesure de conclure ces contrats avant la fin de l'exercice fiscal en janvier 2025.

Le 19 juillet 2024, une panne informatique mondiale a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan. Les écrans bleus de la mort ont perturbé le fonctionnement normal des machines Windows.

L’entreprise de cybersécurité américaine CrowdStrike a reconnu être à l’origine de ces problèmes. Le directeur général de CrowdStrike, George Kurtz, a confirmé qu'un "défaut" dans une mise à jour de contenu pour les hôtes Windows était à l'origine de la panne, excluant une cyberattaque. L'etreprise avait essayé d'identifier et de résoudre rapidement le problème.

Les retombées de l'incident sont lourdes, notamment pour CrowdStrike. Le spécialiste de la cybersécurité CrowdStrike Holdings a estimé récemment qu'il avait absorbé une perte d'environ 60 millions de dollars dans son chiffre d'affaires le mois dernier, après que sa gestion bâclée d'une mise à jour logicielle a déclenché une panne technologique qui a bloqué des milliers de personnes dans les aéroports, en plus d'autres perturbations exaspérantes.

Bien que la panne massive ait effrayé les clients qui devaient conclure des contrats d'une valeur totale de 60 millions de dollars au cours des dernières semaines du deuxième trimestre fiscal de CrowdStrike, les dirigeants de l'entreprise d'Austin (Texas) ont prédit qu'ils seraient encore en mesure de conclure ces contrats avant la fin de l'exercice fiscal en janvier 2025 parce que les clients ont toujours confiance dans ses produits de cybersécurité malgré la gaffe du 19 juillet qui a gelé les machines fonctionnant avec le logiciel Windows.

"Notre mission est bien vivante et je sais que les meilleurs jours de CrowdStrike sont devant nous", a déclaré George Kurtz, PDG de CrowdStrike, aux analystes lors d'une conférence téléphonique couvrant la période d'avril à juillet. Il s'est également excusé pour le rôle joué par l'entreprise dans une panne qui, a-t-il dit, "ne sera jamais perdue pour moi, et mon engagement est de faire en sorte que cela ne se reproduise plus jamais. Les jours qui ont suivi l'incident ont été parmi les plus difficiles de ma carrière, car j'ai profondément ressenti ce que nos clients ont vécu."

Les commentaires rassurants de M. Kurtz, associés à des bénéfices trimestriels supérieurs aux prévisions des analystes, ont semblé rassurer les investisseurs qui ont racheté les actions de CrowdStrike ces dernières semaines, après les avoir initialement abandonnées à la suite des dégâts que l'entreprise a attribués à un bogue informatique.

Les actions ont légèrement augmenté dans les échanges prolongés du 28 août, laissant le prix de l'action 13% en dessous de son niveau avant la panne technologique - une perte d'environ 10 milliards de dollars en valeur de marché. Au début du mois, les actions de CrowdStrike ont plongé de près de 25 %, entraînant une perte de plus de 20 milliards de dollars en valeur de marché.

Même si les 60 millions de dollars de contrats que CrowdStrike espérait conclure avant la panne ne se concrétisent pas, ce sera un prix mineur à payer comparé aux factures colossales auxquelles sont confrontées les personnes touchées par la panne.

Source : CrowdStrike

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

CrowdStrike est poursuivie par des actionnaires suite à la panne mondiale, pour sa technologie matériellement fausse et trompeuse, après la chute de 32% de l'action, oblitérant 25 milliards $ de valorisation

Comment la cybersécurité doit-elle évoluer après la panne de CrowdStrike ? Microsoft organise un sommet à l'intention des entreprises pour discuter de l'amélioration de la résilience des logiciels

Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars, mais il est plus difficile de savoir qui paiera la facture

[Escapetiger]

L’approche qui changera vraiment quelque chose est le micronoyau (Mach, QNX, SeL4…) et encore, si un module est un SPOF (typiquement un système de fichier), un défaut dans ce module compromet le fonctionnement du système.

,

« Un système à micro-noyaux est un système d'exploitation dont la majeure partie des services sont placés dans l'espace utilisateur — donc à l'extérieur du noyau, devenu minimaliste —, ce dernier (le micronoyau) ne conservant qu'un petit nombre de fonctions fondamentales. »

Source: https://fr.wikipedia.org/wiki/Micronoyau#Informatique

Systèmes à micro-noyaux

Ce principe a de grands avantages théoriques : en éloignant les services « à risque » des parties critiques du système d’exploitation regroupées dans le noyau, il permet de gagner en robustesse et en fiabilité, tout en facilitant la maintenance et l’évolutivité. En revanche, les mécanismes de communication (IPC), qui deviennent fondamentaux pour assurer le passage de messages entre les serveurs, sont très lourds et peuvent limiter les performances...

&

Point de défaillance unique

Un point de défaillance unique (single point of failure ou SPOF en anglais) est un point d'un système informatique dont le reste du système est dépendant et dont une panne entraîne l'arrêt complet du système ...

[floyer]

Ceci dit on lit au sujet de L4 :

Les nombreuses améliorations apportées à ceux-ci et leurs successeurs ont depuis permis d'accroître considérablement la vitesse de ces anciens noyaux pour en arriver ensuite aux micronoyaux actuels.

Je serais curieux de connaître les performances comparée des différentes approches.

On a des éléments de réponse ici : https://citeseerx.ist.psu.edu/docume...afb5e38da9f6a7 (Mais L4Linux bien qu’il s’appuie sur un micro-noyau reste monolithique, MkLinux s’appuie sur Mach moins optimisé : on a logiquement de moins bonnes performances).

On a aussi https://www.phoronix.com/review/debian-hurd-2015 (Hurd est plus modulaire mais basé aussi sur Mach plus ancien que L4).

Dans le genre approche originale, il y a l’unikernel… un noyau spécialisé qui comprend tout ce dont il a besoin (y compris l’application à faire tourner), mais développé avec l’application dans un language ne permettant pas des kernel panic, corruption d’un module par un autre, etc. https://mirage.io/

[Jade Emy]

CrowdStrike, l'entreprise de cybersécurité, est confrontée à une vague de poursuites judiciaires à la suite de la panne mondiale, Delta réclame jusqu'à 500 millions de dollars.

CrowdStrike, l'entreprise de cybersécurité, est confrontée à une vague de poursuites judiciaires à la suite d'une défaillance majeure d'une mise à jour logicielle qui a eu des répercussions sur des entreprises du monde entier. L'affaire la plus médiatisée est celle de Delta, qui réclame à CrowdStrike jusqu'à 500 millions de dollars de dommages et intérêts. Les procès individuels pourraient se regrouper en une action collective contre CrowdStrike.

Le 19 juillet 2024, une panne informatique mondiale a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan.

Le PDG de Delta, Ed Bastien, a critiqué Microsoft pour cette panne, la qualifiant de "plateforme probablement la plus fragile", tout en louant la fiabilité d'Apple. Malgré ces propos sévères, M. Bastian a affirmé que Delta poursuivait son partenariat avec Microsoft, tout en soulignant la nécessité pour Microsoft de faire preuve d'une plus grande vigilance.

De son côté, l'entreprise de cybersécurité CrowdStrike est confrontée à une vague de poursuites judiciaires à la suite de la panne mondiale provoquée par une défaillance de sa mise à jour. L'affaire la plus médiatisée est celle de Delta, qui réclame à CrowdStrike jusqu'à 500 millions de dollars de dommages et intérêts. La compagnie aérienne a fait appel au célèbre avocat David Boies, connu pour son travail avec Theranos, Harvey Weinstein et Al Gore, pour mener sa bataille juridique.

La faille logicielle, qui affecte principalement les machines Windows, a donné lieu à de nombreuses actions en justice. Avant l'action en justice de Delta, des actionnaires avaient déjà intenté une action collective, accusant CrowdStrike de les avoir induits en erreur au sujet de ses procédures de mise à jour logicielle.

CrowdStrike a fait appel à Quinn Emanuel Urquhart & Sullivan pour se défendre contre ces actions en justice, ce qui témoigne de la gravité de la situation. Bien que Microsoft soit impliqué de manière indirecte en raison de l'impact de la mise à jour sur Windows, c'est CrowdStrike qui fait l'objet de la plus grande attention de la part de la justice.

Rob Wilkins de Jones Foster, qui copréside le département des litiges complexes et de la résolution des conflits du cabinet, note que les limites contractuelles des dommages-intérêts dans les accords sur les logiciels d'entreprise pourraient jouer un rôle crucial. Toutefois, le fait que Delta invoque une négligence grave ou une faute intentionnelle pourrait permettre de contourner ces limites. Delta a connu une interruption de service de cinq jours, contre trois jours pour United, mais CrowdStrike estime que les systèmes internes de Delta peuvent également avoir contribué à la panne.

Le défi pour Delta et les autres plaignants est de prouver qu'il y a eu négligence grave, une exigence élevée qui nécessite de démontrer une fausse déclaration intentionnelle ou des lacunes importantes dans les procédures de sécurité. Les actionnaires ont également du mal à démontrer que CrowdStrike les a trompés sur ses pratiques de test de logiciels.

Wilkins prévoit que les procès individuels se regrouperont probablement en une action collective en raison de la complexité et du coût des affaires séparées. Les recours collectifs débouchent souvent sur un procès de type "bellwether", où une affaire sert de test pour les autres, ce qui pourrait orienter les futurs règlements. Les compagnies d'assurance pourraient également jouer un rôle, en cherchant éventuellement à récupérer les coûts auprès de CrowdStrike.

Au-delà des implications financières, c'est la réputation de CrowdStrike qui est en jeu. La résolution rapide de ces questions juridiques par l'entreprise sera cruciale pour maintenir ses relations avec ses actionnaires et ses clients. Selon M. Wilkins, CrowdStrike se prépare à une défense vigoureuse, mais la résolution de la situation à l'amiable sera essentielle pour le succès futur de l'entreprise.

Source : Delta

Et vous ?

Pensez-vous que ces poursuites sont crédibles ou pertinentes ?
Quel est votre avis sur le sujet ?

Voir aussi :

Microsoft affirme que Delta a ignoré l'aide proposée par Satya Nadella concernant CrowdStrike et que les problèmes de Delta sont liés à son ancienne infrastructure informatique, et non à Windows

Delta Air Lines a engagé un cabinet d'avocats pour demander une indemnisation à Microsoft et CrowdStrike, à la suite d'une panne informatique mondiale et de l'annulation de plus de 6 000 vols

CrowdStrike estime que la panne mondiale a laissé un trou de 60 millions de dollars dans ses ventes, après que sa gestion bâclée d'une mise à jour logicielle ait déclenché un désastre

[floyer]

Un procès est jouable... d'autant que :

CrowdStrike warrants to you that it will perform all Services in a professional and workmanlike manner consistent with generally accepted industry standards.

Bon, "generally accepted standard" peut être imprécis, mais vu leur négligence.

Mais si c'est requalifié en produit :

8.2 Product Warranty. If Customer has purchased a Product, CrowdStrike warrants to Customer during the applicable Subscription/Order Term that: (i) the Product will operate without Error; and (ii) CrowdStrike has used industry standard techniques to prevent the Products at the time of delivery from injecting malicious software viruses into your Endpoints where the Products are installed. You must notify CrowdStrike of any warranty claim during the Subscription/Order Term. Your sole and exclusive remedy and the entire liability of CrowdStrike for its breach of this warranty will be for CrowdStrike, at its own expense to do at least one of the following: (a) use commercially reasonable efforts to provide a work-around or correct such Error; or (b) terminate your license to access and use the applicable non-conforming Product and refund the prepaid fee prorated for the unused period of the Subscription/Order Term.

La garantie est forte aussi (industry standard technique), mais l'engagement est juste limité à un effort raisonnable pour corriger l'erreur.