Discussion :

[Stéphane le calme]

CrowdStrike dénonce les attaques « louches » de ses concurrents visant à effrayer ses clients et voler des parts de marché,
après la panne informatique mondiale provoquée par une mise à jour défectueuse

Suite à la panne informatique, les rivaux de CrowdStrike ont détecté une faille dans son armure. Les dirigeants de SentinelOne, un concurrent direct, ont accusé la conception et les processus de test des produits de CrowdStrike pour se positionner comme une alternative plus sûre. Michael Sentonas, président de CrowdStrike, a critiqué les efforts « louches » de ses rivaux en cybersécurité pour effrayer leurs clients et « voler » des parts de marché depuis la mise à jour logicielle ratée de juillet qui a provoqué une panne informatique mondiale. Sentonas a souligné que personne ne pouvait “techniquement” garantir que son propre logiciel ne provoquerait jamais un incident similaire.

Le président de CrowdStrike a dénoncé les efforts « louches » déployés par ses rivaux en matière de cybersécurité pour effrayer ses clients et leur voler des parts de marché au cours du mois qui s'est écoulé depuis que la mise à jour bâclée de son logiciel a provoqué une panne informatique mondiale.

Michael Sentonas a déclaré au Financial Times que les tentatives des concurrents d'utiliser la panne du 19 juillet pour promouvoir leurs propres produits étaient « malavisées ». Après avoir essuyé les critiques de ses concurrents, dont SentinelOne et Trellix, le dirigeant de CrowdStrike a déclaré qu'aucun fournisseur ne pouvait « techniquement » garantir que son propre logiciel ne provoquerait jamais un incident similaire.

« Notre secteur est fondé sur la confiance », a déclaré Sentonas. Les rivaux qui profitent de l'effondrement pour promouvoir leurs propres produits « se déprécient eux-mêmes car, en fin de compte, les gens connaissent très rapidement les faits à partir de commentaires peut-être douteux ».

La société texane CrowdStrike avait la réputation d'être la première ligne de défense de nombreuses grandes entreprises contre les cyberattaques, mais la notoriété de ses clients a exacerbé l'impact de l'interruption mondiale de juillet qui a mis hors service 8,5 millions d'appareils Windows.

Les assureurs ont estimé que les pertes liées à cette perturbation, qui a entraîné l'immobilisation de vols et la fermeture de systèmes hospitaliers, pourraient se chiffrer en milliards de dollars. Delta Air Lines, qui a annulé plus de 6 000 vols, a estimé que les pannes lui coûteraient 500 millions de dollars et a menacé de porter plainte.

Les avocats de CrowdStrike ont nié toute responsabilité dans l'ampleur de la perturbation subie par Delta et ont fait valoir que la responsabilité de l'entreprise technologique était plafonnée « à un seul chiffre de millions » par ses contrats. Sentonas n'a pas commenté la menace juridique, que l'entreprise a qualifiée de « gesticulation publique sur la possibilité d'intenter un procès sans fondement ».

La concurrence s'active

Les dirigeants de SentinelOne, un concurrent direct, ont rejeté la faute sur la conception du produit de CrowdStrike et sur les processus de test afin de se présenter comme une alternative plus sûre. Selon le magazine CRN, Tomer Weingarten, directeur général de SentinelOne, a déclaré que la panne mondiale était le résultat de « mauvaises décisions de conception » et d'une « architecture risquée » chez CrowdStrike.

Alex Stamos, responsable de la sécurité de l'information chez SentinelOne, a averti dans un message sur LinkedIn qu'il était « dangereux » pour CrowdStrike « de prétendre qu'un produit de sécurité aurait pu causer ce type de panne mondiale ». Trellix, qui est une société privée, a également assuré à ses clients qu'ils n'avaient pas à craindre un événement similaire. « Trellix a une philosophie différente de celle de CrowdStrike », a déclaré Bryan Palma, directeur général, sur LinkedIn. « Chez Trellix, nous adoptons une approche conservatrice ».

Allie Mellen, analyste chez Forrester, a déclaré que de nombreux fournisseurs « utilisaient les pannes pour vendre leurs propres produits », ajoutant que l'industrie de la sécurité, généralement collaborative, « désapprouve vraiment le fait de tirer sur l'ambulance ».

Les investisseurs ont parié que les rivaux de CrowdStrike, cotés en bourse, seraient en mesure de prendre l'avantage sur le marché encombré de la sécurité des terminaux, qui consiste à scanner les PC, les téléphones et d'autres appareils à la recherche de cyberattaques.

Les actions de SentinelOne, qui vaut 7,4 milliards de dollars, ont augmenté de 19 % au cours du mois qui a suivi les pannes, tandis que celles de Palo Alto Networks, qui vaut 120 milliards de dollars, ont augmenté de 13 %. CrowdStrike, qui vaut aujourd'hui 65 milliards de dollars, a perdu près d'un quart de sa valeur marchande depuis l'incident.

Le cabinet d'études informatiques Gartner estime que la part de CrowdStrike dans le chiffre d'affaires du marché de la sécurité des terminaux d'entreprise l'année dernière était la deuxième plus importante après Microsoft, qui regroupe ses produits avec d'autres outils de sécurité, et plus du double de celle de son plus proche rival, Trellix.

Nikesh Arora, directeur général de Palo Alto Networks, a déclaré lors d'une conférence téléphonique sur les résultats cette semaine que l'incident avait déjà incité certaines entreprises à chercher d'autres options. « C'est passionnant parce que les clients sont prêts à nous prendre en considération », a-t-il déclaré.

Pour se différencier, les petits concurrents de CrowdStrike se sont concentrés sur la manière dont leurs produits accèdent au noyau d'un système d'exploitation, qui contrôle l'ensemble de l'ordinateur. Un logiciel défectueux dans le noyau peut faire planter un système entier, comme l'ont montré les milliers d'« écrans bleus de la mort » qui ont frappé les ordinateurs Windows dans le monde entier en juillet.

Weingarten, de SentinelOne, a expliqué à CRN que les pannes étaient dues à « l'omniprésence du code introduit dans le noyau » par CrowdStrike, suggérant que l'introduction d'un plus grand nombre de codes dans le noyau multiplie les possibilités d'erreurs. D'autres entreprises, a-t-il ajouté, offrent « une protection incroyable sans avoir à insérer tout le code dans le noyau ».

Bien que CrowdStrike ait promis d'introduire de nouvelles vérifications et des mises à jour échelonnées afin d'éviter une répétition de la perturbation massive, M. Sentonas a déclaré que la présence continue de l'entreprise au sein du noyau était essentielle pour fournir une protection maximale contre les cyber-menaces.

« La raison pour laquelle nous sommes dans le noyau est que cela nous permet d'avoir une visibilité sur tout ce qui se passe dans le système », a-t-il déclaré. « Cela signifie que nous pouvons protéger le produit de sécurité. Cela signifie que nous pouvons opérer très rapidement - et c'est une méthode de travail très répandue dans l'industrie.

Les dirigeants de CrowdStrike ont déjà attaqué Microsoft après qu'elle a été touchée par une série de cyberincidents et de violations très médiatisés au cours des dernières années.

Toutefois, depuis la panne, Sentonas a tenté de donner une tournure positive à la relation entre CrowdStrike et Microsoft, qui, selon lui, « a été constamment au téléphone avec nous ». Il a également fait l'éloge de son rival Palo Alto Networks pour avoir lancé « une conversation mature sur la résilience ».

CrowdStrike accepting the @PwnieAwards for “most epic fail” at @defcon. Class act. pic.twitter.com/e7IgYosHAE

— Dominic White 👾 (@singe) August 10, 2024

CrowdStrike accepte un Pwnie Award pour « l'échec le plus épique » lors de la conférence Defcon

Les Pwnie Awards récompensent à la fois l'excellence et l'incompétence dans le domaine de la sécurité de l'information. Les gagnants sont sélectionnés par un comité de professionnels de l'industrie de la sécurité parmi les nominations recueillies auprès de la communauté de la sécurité de l'information. Les nominations sont annoncées chaque année lors de la Summercon, et les prix eux-mêmes sont décernés lors de la conférence Black Hat sur la sécurité.

La décision d’accorder ce prix à CrowdStrike a été prise à la dernière minute, car comment CrowdStrike aurait-il pu ne pas gagner ? Lorsqu’un trophée comiquement grand a été apporté sur scène sous les applaudissements nourris, Sentonas a admis que ce n’était « certainement pas le prix dont on peut être fier de recevoir ». Il a ajouté : « Parce que nous avons complètement échoué, nous l’avons dit à plusieurs reprises, il est très important de se féliciter lorsque vous faites bien les choses, mais il est également très important d’assumer lorsque vous faites complètement fausse route ».

Sentonas a déclaré qu’il ramènerait le trophée au siège de CrowdStrike et le mettrait en évidence comme un rappel que « notre objectif est de protéger les gens, et nous avons échoué ici, et je veux m’assurer que tout le monde comprenne que ces choses ne peuvent pas arriver ».

« Je suis absolument certain que nous deviendrons une organisation beaucoup plus forte à la suite d'un événement qui n'aurait jamais dû se produire », a-t-il déclaré. Beaucoup de [clients] disent : « En fait, vous allez être le produit de sécurité le plus éprouvé de l'industrie ».

Sources : Financial Times, CRN

Et vous ?

Capitalisation sur l'échec de CrowdStrike : que pensez-vous de la stratégie des entreprises concurrentes qui vantent leurs produits au détriment d'un autre ? Comprenez-vous la réaction de CrowdStrike ?
La confiance envers les entreprises de cybersécurité : pensez-vous que la confiance envers les entreprises de cybersécurité a été ébranlée par la panne mondiale de CrowdStrike ? Comment cela pourrait-il affecter leurs clients et leur adoption de nouvelles technologies de sécurité ?
Responsabilité des entreprises technologiques : qui devrait être tenu responsable lorsqu’une entreprise technologique provoque une panne mondiale ? Devrions-nous considérer cela comme une simple erreur ou exiger des normes plus strictes en matière de conception et de test de logiciels ?
Alternatives à CrowdStrike : quelles autres entreprises de cybersécurité considérez-vous comme des alternatives fiables à CrowdStrike ? Quelles sont leurs approches en matière de conception et de test de produits ?
Impact économique : comment évaluez-vous l’impact économique de la panne de CrowdStrike ? Pensez-vous que les pertes financières subies par des entreprises comme Delta Air Lines sont justifiées ?

[OrthodoxWindows]

CrowdStrike découvre qu'il vaut mieux tester une mise à jour avant de la déployer, surtout sur un logiciel qui se place à un stade critique de l'OS, sur un ordi utilisé pour un usage critique.
CrowdStrike découvre qu'en cas de problème grave, la seul confiance avec le client ne fonctionne plus.
Désormais CrowdStrike découvre qu'il existe un système concurrentiel, où chaque concurrent attend qu'un concurrent fasse une connerie.

Bientôt CrowdStrike découvrira qu'il est une entreprise spécialisé dans le domaine de la cybersécurité, dans un contexte d'économie capitaliste libérale.

Ah moins que CrowdStrike se foute tout simplement de la g**** du monde.

[Stéphane le calme]

Comment la cybersécurité doit-elle évoluer après la panne de CrowdStrike ? Microsoft organise un sommet à l'intention des entreprises,
pour discuter de l'amélioration de la résilience des logiciels

En juillet dernier, une mise à jour défectueuse du logiciel CrowdStrike a entraîné la panne de millions d’ordinateurs Windows dans le monde entier. Cette situation a eu des conséquences majeures, notamment l’annulation de milliers de vols par les compagnies aériennes et des retards dans les rendez-vous médicaux dans les hôpitaux. Face à cet incident, Microsoft a décidé d’organiser un sommet sur la cybersécurité en septembre.

Microsoft intensifie ses projets visant à rendre Windows plus résistant aux logiciels bogués, après qu'une mise à jour CrowdStrike bâclée a mis hors service des millions d'ordinateurs et de serveurs lors d'une panne informatique mondiale.

Le mois dernier, la grande enseigne de la technologie a intensifié ses discussions avec ses partenaires pour adapter les procédures de sécurité de son système d'exploitation afin de mieux résister au type d'erreur logicielle qui a provoqué la panne de 8,5 millions d'appareils Windows le 19 juillet. Les critiques affirment que tout changement de la part de Microsoft équivaudrait à une concession sur les lacunes de Windows en matière de gestion des logiciels de sécurité tiers, lacunes qui auraient pu être corrigées plus tôt.

Cependant, ces changements seraient également controversés parmi les fournisseurs de logiciels de sécurité, qui devraient apporter des modifications radicales à leurs produits, et obligeraient de nombreux clients de Microsoft à adapter leurs logiciels.

Les pannes du mois dernier, qui auraient causé des milliards de dollars de dommages après avoir cloué au sol des milliers de vols et perturbé les rendez-vous dans les hôpitaux du monde entier, ont renforcé l'attention des autorités de régulation et des chefs d'entreprise sur l'étendue de l'accès des éditeurs de logiciels tiers au cœur, ou noyau, des systèmes d'exploitation Windows.

Microsoft organisera le mois prochain un sommet réunissant des représentants du gouvernement et des entreprises de cybersécurité, dont CrowdStrike, afin de « discuter des mesures concrètes que nous prendrons tous pour améliorer la sécurité et la résilience de nos clients communs », a déclaré Microsoft vendredi.

Tirer des leçons de l'échec

« Le 10 septembre 2024, Microsoft organisera un sommet de l'écosystème de sécurité des points finaux Windows à son siège de Redmond, Washington. Microsoft, CrowdStrike et des partenaires clés qui fournissent des technologies de sécurité des points finaux se réuniront pour discuter de l'amélioration de la résilience et de la protection de l'infrastructure critique des clients mutuels. Notre objectif est de discuter des mesures concrètes que nous prendrons tous pour améliorer la sécurité et la résilience de nos clients communs.

« La panne de CrowdStrike en juillet 2024 nous permet de tirer d'importants enseignements en tant qu'écosystème. Nos discussions porteront sur l'amélioration de la sécurité et des pratiques de déploiement sûres, la conception de systèmes pour la résilience et la collaboration en tant que communauté prospère de partenaires pour mieux servir les clients aujourd'hui et à l'avenir.

« Outre les partenaires de l'écosystème, Microsoft invitera des représentants du gouvernement afin d'assurer le plus haut niveau de transparence à la collaboration de la communauté en vue de fournir une technologie plus sûre et plus fiable pour tous. Le sommet de l'écosystème Windows Endpoint Security devrait déboucher sur des actions et des initiatives à court et à long terme, l'objectif collectif étant d'améliorer la sécurité et la résilience. Nous ferons le point sur ces discussions à l'issue de l'événement ».

Plusieurs options sont envisagées

Microsoft a déclaré envisager plusieurs options pour rendre ses systèmes plus stables et a souligné qu'il n'est pas exclu de bloquer complètement l'accès au noyau Windows (une option dont certains rivaux craignent qu'elle ne désavantage leurs logiciels par rapport au produit de sécurité interne de l'entreprise, Microsoft Defender). « Tous les concurrents craignent que [Microsoft] n'en profite pour préférer ses propres produits aux alternatives tierces », a déclaré Ryan Kalember, responsable de la stratégie de cybersécurité chez Proofpoint.

Exiger de nouvelles procédures de test

Microsoft pourrait également exiger de nouvelles procédures de test de la part des fournisseurs de cybersécurité plutôt que d'adapter le système Windows lui-même.

Apple, qui n'a pas été touché par les pannes, empêche tous les fournisseurs tiers d'accéder au noyau de son système d'exploitation MacOS, les obligeant à fonctionner en mode « utilisateur », plus limité. Microsoft a précédemment déclaré ne pas être en mesure de faire de même, après avoir conclu un accord avec la Commission européenne en 2009 selon lequel elle donnerait à des tiers le même accès à ses systèmes que celui de Microsoft Defender.

Certains experts ont toutefois déclaré que cet engagement volontaire envers l'UE n'avait pas lié les mains de Microsoft comme il le prétendait, arguant que l'entreprise avait toujours été libre d'apporter les changements envisagés. « Il s'agit de décisions techniques de Microsoft qui ne faisaient pas partie [de l'accord] », a déclaré Thomas Graf, un associé de Cleary Gottlieb à Bruxelles qui a participé à l'affaire.

Bloquer l'accès au noyau

« Le texte [de l'accord] ne les oblige pas à donner accès au noyau », a ajouté AJ Grotto, ancien directeur principal de la politique de cybersécurité à la Maison Blanche. Grotto a déclaré que Microsoft avait sa part de responsabilité dans les perturbations de juillet, car les pannes n'auraient pas été possibles sans sa décision d'autoriser l'accès au noyau.

Néanmoins, bien qu'il puisse renforcer la résilience d'un système, le blocage de l'accès au noyau pourrait également entraîner de « véritables compromis » pour la compatibilité avec d'autres logiciels qui a rendu Windows si populaire auprès des clients professionnels, a déclaré Allie Mellen, analyste chez Forrester. « Il s'agirait d'un changement fondamental pour la philosophie et le modèle commercial de Microsoft », a-t-elle ajouté.

Le fait d'opérer exclusivement en dehors du noyau peut réduire le risque de déclencher des pannes massives, mais cela est également « très contraignant » pour les fournisseurs de sécurité et pourrait rendre leurs produits « moins efficaces » contre les pirates informatiques, a ajouté Mellen. Le fait d'opérer au sein du noyau donne aux entreprises de sécurité plus d'informations sur les menaces potentielles et permet à leurs outils défensifs de s'activer avant que les logiciels malveillants ne s'installent, a-t-elle ajouté.

Reproduire le modèle utilisé par Linux

Une autre option consisterait à reproduire le modèle utilisé par le système d'exploitation libre Linux, qui utilise un mécanisme de filtrage créant un environnement séparé au sein du noyau dans lequel les logiciels, y compris les outils de cyberdéfense, peuvent être exécutés. Mais la complexité de la refonte de la manière dont les autres logiciels de sécurité fonctionnent avec Windows signifie que tout changement sera difficile à contrôler pour les régulateurs et que Microsoft sera fortement incité à favoriser ses propres produits, ont déclaré des rivaux.

Cela « semble bien sur le papier, mais le diable est dans les détails », a déclaré Matthew Prince, directeur général du groupe de services numériques Cloudflare.

Un changement qui ne résoudra qu'un « faible pourcentage du problème », selon un cadre de Microsoft

Ce dernier a requis l'anonymat parce qu'il n'est pas l'autorisation de discuter publiquement de questions internes. Il a déclaré que les participants au Windows Endpoint Security Ecosystem Summit étudieront la possibilité de faire en sorte que les applications s'appuient davantage sur une partie de Windows appelée mode utilisateur plutôt que sur le mode noyau, plus privilégié.

Les développeurs de logiciels de CrowdStrike, Check Point, SentinelOne et d'autres acteurs du marché de la protection des points finaux dépendent actuellement du mode noyau. Cet accès permet à SentinelOne de « surveiller et d'arrêter les mauvais comportements et d'empêcher les logiciels malveillants de désactiver les logiciels de sécurité », a déclaré un porte-parole.

Les applications en mode utilisateur sont isolées, ce qui signifie que si l'une d'entre elles tombe en panne, elle n'entraînera pas l'arrêt des autres. En revanche, une application en mode noyau qui tombe en panne peut entraîner le blocage de l'ensemble de Windows. Le 19 juillet, CrowdStrike a publié une mise à jour boguée de la configuration du contenu de son capteur Falcon pour les ordinateurs Windows, dans le but de recueillir des données sur les nouvelles attaques, ce qui a provoqué des pannes au niveau du système d'exploitation. Les administrateurs informatiques ont redémarré un à un les PC qui avaient reçu la mise à jour et qui affichaient un « écran bleu de la mort ».

Le cadre de Microsoft a déclaré que la suppression de l'accès au noyau de Windows ne résoudrait qu'un faible pourcentage des problèmes potentiels. Ces dernières années, Apple a limité l'accès au noyau dans macOS et l'entreprise décourage les développeurs d'utiliser des extensions du noyau.

Les participants à l'événement organisé par Microsoft le 10 septembre discuteront également de l'adoption de la technologie eBPF, qui vérifie que les programmes s'exécutent sans provoquer de pannes du système, et des langages de programmation à mémoire sécurisée tels que Rust, a déclaré le cadre. L'année dernière, Microsoft a fait don d'un million de dollars à la fondation à but non lucratif Rust, qui verse des allocations aux personnes travaillant sur ce langage.

Microsoft est en concurrence avec CrowdStrike avec son produit Defender for Endpoint. L'équipe de CrowdStrike participera à la conférence comme toute autre entreprise de cybersécurité et ne bénéficiera pas d'un traitement de faveur, a déclaré le cadre.

Conclusion

En définitive, ce sommet vise à tirer des leçons de la panne causée par CrowdStrike et à renforcer la sécurité des systèmes Windows pour éviter de tels incidents à l’avenir en rendant Windows plus résilient face aux erreurs logicielles. Apple, par exemple, bloque l’accès au noyau de son système d’exploitation MacOS pour les fournisseurs tiers, les obligeant à fonctionner en mode utilisateur plus limité. L'exercice est délicat : Microsoft devra trouver un équilibre entre la sécurité et la compatibilité avec les produits tiers, une situation que les régulateurs et l'industrie de la cybersécurité observent avec le plus grand intérêt.

Source : Microsoft

Et vous ?

Quelle est votre opinion sur l’accès au noyau (kernel) de Windows par les logiciels tiers ? Pensez-vous que Microsoft devrait bloquer complètement cet accès pour renforcer la stabilité du système, ou est-ce une mesure trop restrictive ?
Comment évaluez-vous la réaction de Microsoft face à la panne causée par CrowdStrike ? Trouvez-vous que l’organisation a agi de manière proactive en organisant ce sommet sur la cybersécurité, ou aurait-elle pu faire plus ?
Quelles sont les implications pour la sécurité des utilisateurs et des entreprises lorsque des mises à jour logicielles défectueuses se produisent ? Comment pouvons-nous mieux protéger nos systèmes contre de telles situations à l’avenir ?
Pensez-vous que les fournisseurs tiers de sécurité devraient avoir un accès privilégié au noyau de Windows ? Quels avantages et inconvénients cela pourrait-il entraîner ?
Quelles autres mesures de sécurité pourraient être mises en place pour éviter des incidents similaires à l’avenir ? Avez-vous des idées ou des suggestions ?

[floyer]

Même avec un système bien compartimenté (pas d’accès au noyau), un logiciel qui assurerait la validation de tout exécutable (contrôle antivirus…) avant exécution pourrait être SPOF.
L’idée de restreindre à des languages moins permissifs (Rust) me semble assez intéressant en revanche.

[NotABread]

Bon, alors il va falloir accepter qu'un logiciel peut planter, et si c'est au niveau du noyau, il entraine le système d'exploitation avec lui. C'est comme ça que ça marche, c'est un risque très connu et installer un programme s'exécutant au niveau du noyau, c'est accepter ce risque.
Le problème de cet histoire, c'est juste qu'il faut un fautif et que tout le monde va se renvoyer la balle en cherchant à grappiller du terrain:
- Les compagnies aériennes vont dire que c'est de la faute de Crowdstrike et Microsoft pour respectivement avoir pousser un logiciel qui plante et avoir un OS pas assez robuste
- Microsoft dira que c'est de la faute de l'EU de l'avoir empêcher de fermer l'accès au noyau
- Crowdstrike dira certainement qu'avec une meilleure politique de déploiement de MAJ, ces client auraient pu éviter une paralysie de leur système informatique

La pire solution pour moi est le blocage des accès noyau sauf ceux approuvé:
bien que ça va certainement rendre plus difficile l'exécution de malware au niveau noyau, ça va forcément réduire la concurrence puisque Microsoft fera payer l'accès et cela ne garantira pas la stabilité du programme

Passer à une API dans un langage garantissant la sécurité de la mémoire comme Rust ou implémenter un système similaire à celui de Linux va être un coût non anodin pour tous, mais à long terme pourrait grandement améliorer la stabilité de l'écosystème.

[floyer]

@NotABread plutôt d’accord, sauf que «*Crowdstrike dira certainement qu'avec une meilleure politique de déploiement de MAJ, ces client auraient pu éviter une paralysie de leur système informatique«*en effet, Crowdstrike vend un service «*cloud*»… comme cela est affiché dans leur publicité. Donc les clients sont à la merci d’effets de bord de mises à jour sans forcément les moyens de soumettre les mises à jours à des validations.

[NotABread]

C'est vrai ^^'
Mais ils n'admettront jamais que c'est de leur faute. Ils diront que untel aurait pu faire ceci pour éviter le problème pour laisser le doute sur la responsabilité jusqu'à qu'une action en justice tranche sur le sujet

[Choucas35]

En réalité, W est mal pensé dès DOS et maintenu dans cette précarité depuis.
Déjà, à l'époque, existait les Unix, Multics ... qui étaient "secure".
Mais il fallait faire du cash !!!
Vive les OS issus de cette racine dont LINUX et Ubuntu, même si les snap ne sont pas encore parfaits

[floyer]

N’importe quel OS qui permet des extensions en mode noyau s’expose à ce risque. Les différents OS type UNIX n’y échappent pas. (D’ailleurs une mise à jour de Crowdstrike a provoqué des kernel panic sur Linux).

L’architecture de Windows depuis NT n’a rien à voir avec DOS, contrairement à ce que tu sembles dire.

L’approche qui changera vraiment quelque chose est le micronoyau (Mach, QNX, SeL4…) et encore, si un module est un SPOF (typiquement un système de fichier), un défaut dans ce module compromet le fonctionnement du système. Cette approche pourrait rogner un peu les performances… mais pour des applications critiques, pourquoi pas. (Cela me rappelle l’arrivée d’OS/2 où la presse s’indignait oh là là, on perd 2% de performances par rapport à un OS non sécurisé)

Et le principe de mise à jour automatique est vraiment le cœur du problème. Imaginons Oracle « pousser » une nouvelle pile Java à l’insu des développeur et exploitant… même si elle ne tourne qu’en mode utilisateur, cela peut bloquer beaucoup d’applications potentiellement critiques.

[Jade Emy]

CrowdStrike estime que la panne mondiale a laissé un trou de 60 millions de dollars dans ses ventes, après que sa gestion bâclée d'une mise à jour logicielle a déclenché un effondrement technologique.

CrowdStrike estime que l'effondrement technologique provoqué par sa maladresse a laissé un trou de 60 millions de dollars dans ses ventes. Même si sa gestion bâclée d'une mise à jour logicielle a déclenché ces pertes, CrowdStrike se dit être encore en mesure de conclure ces contrats avant la fin de l'exercice fiscal en janvier 2025.

Le 19 juillet 2024, une panne informatique mondiale a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan. Les écrans bleus de la mort ont perturbé le fonctionnement normal des machines Windows.

L’entreprise de cybersécurité américaine CrowdStrike a reconnu être à l’origine de ces problèmes. Le directeur général de CrowdStrike, George Kurtz, a confirmé qu'un "défaut" dans une mise à jour de contenu pour les hôtes Windows était à l'origine de la panne, excluant une cyberattaque. L'etreprise avait essayé d'identifier et de résoudre rapidement le problème.

Les retombées de l'incident sont lourdes, notamment pour CrowdStrike. Le spécialiste de la cybersécurité CrowdStrike Holdings a estimé récemment qu'il avait absorbé une perte d'environ 60 millions de dollars dans son chiffre d'affaires le mois dernier, après que sa gestion bâclée d'une mise à jour logicielle a déclenché une panne technologique qui a bloqué des milliers de personnes dans les aéroports, en plus d'autres perturbations exaspérantes.

Bien que la panne massive ait effrayé les clients qui devaient conclure des contrats d'une valeur totale de 60 millions de dollars au cours des dernières semaines du deuxième trimestre fiscal de CrowdStrike, les dirigeants de l'entreprise d'Austin (Texas) ont prédit qu'ils seraient encore en mesure de conclure ces contrats avant la fin de l'exercice fiscal en janvier 2025 parce que les clients ont toujours confiance dans ses produits de cybersécurité malgré la gaffe du 19 juillet qui a gelé les machines fonctionnant avec le logiciel Windows.

"Notre mission est bien vivante et je sais que les meilleurs jours de CrowdStrike sont devant nous", a déclaré George Kurtz, PDG de CrowdStrike, aux analystes lors d'une conférence téléphonique couvrant la période d'avril à juillet. Il s'est également excusé pour le rôle joué par l'entreprise dans une panne qui, a-t-il dit, "ne sera jamais perdue pour moi, et mon engagement est de faire en sorte que cela ne se reproduise plus jamais. Les jours qui ont suivi l'incident ont été parmi les plus difficiles de ma carrière, car j'ai profondément ressenti ce que nos clients ont vécu."

Les commentaires rassurants de M. Kurtz, associés à des bénéfices trimestriels supérieurs aux prévisions des analystes, ont semblé rassurer les investisseurs qui ont racheté les actions de CrowdStrike ces dernières semaines, après les avoir initialement abandonnées à la suite des dégâts que l'entreprise a attribués à un bogue informatique.

Les actions ont légèrement augmenté dans les échanges prolongés du 28 août, laissant le prix de l'action 13% en dessous de son niveau avant la panne technologique - une perte d'environ 10 milliards de dollars en valeur de marché. Au début du mois, les actions de CrowdStrike ont plongé de près de 25 %, entraînant une perte de plus de 20 milliards de dollars en valeur de marché.

Même si les 60 millions de dollars de contrats que CrowdStrike espérait conclure avant la panne ne se concrétisent pas, ce sera un prix mineur à payer comparé aux factures colossales auxquelles sont confrontées les personnes touchées par la panne.

Source : CrowdStrike

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

CrowdStrike est poursuivie par des actionnaires suite à la panne mondiale, pour sa technologie matériellement fausse et trompeuse, après la chute de 32% de l'action, oblitérant 25 milliards $ de valorisation

Comment la cybersécurité doit-elle évoluer après la panne de CrowdStrike ? Microsoft organise un sommet à l'intention des entreprises pour discuter de l'amélioration de la résilience des logiciels

Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars, mais il est plus difficile de savoir qui paiera la facture

[Escapetiger]

L’approche qui changera vraiment quelque chose est le micronoyau (Mach, QNX, SeL4…) et encore, si un module est un SPOF (typiquement un système de fichier), un défaut dans ce module compromet le fonctionnement du système.

,

« Un système à micro-noyaux est un système d'exploitation dont la majeure partie des services sont placés dans l'espace utilisateur — donc à l'extérieur du noyau, devenu minimaliste —, ce dernier (le micronoyau) ne conservant qu'un petit nombre de fonctions fondamentales. »

Source: https://fr.wikipedia.org/wiki/Micronoyau#Informatique

Systèmes à micro-noyaux

Ce principe a de grands avantages théoriques : en éloignant les services « à risque » des parties critiques du système d’exploitation regroupées dans le noyau, il permet de gagner en robustesse et en fiabilité, tout en facilitant la maintenance et l’évolutivité. En revanche, les mécanismes de communication (IPC), qui deviennent fondamentaux pour assurer le passage de messages entre les serveurs, sont très lourds et peuvent limiter les performances...

&

Point de défaillance unique

Un point de défaillance unique (single point of failure ou SPOF en anglais) est un point d'un système informatique dont le reste du système est dépendant et dont une panne entraîne l'arrêt complet du système ...

[floyer]

Ceci dit on lit au sujet de L4 :

Les nombreuses améliorations apportées à ceux-ci et leurs successeurs ont depuis permis d'accroître considérablement la vitesse de ces anciens noyaux pour en arriver ensuite aux micronoyaux actuels.

Je serais curieux de connaître les performances comparée des différentes approches.

On a des éléments de réponse ici : https://citeseerx.ist.psu.edu/docume...afb5e38da9f6a7 (Mais L4Linux bien qu’il s’appuie sur un micro-noyau reste monolithique, MkLinux s’appuie sur Mach moins optimisé : on a logiquement de moins bonnes performances).

On a aussi https://www.phoronix.com/review/debian-hurd-2015 (Hurd est plus modulaire mais basé aussi sur Mach plus ancien que L4).

Dans le genre approche originale, il y a l’unikernel… un noyau spécialisé qui comprend tout ce dont il a besoin (y compris l’application à faire tourner), mais développé avec l’application dans un language ne permettant pas des kernel panic, corruption d’un module par un autre, etc. https://mirage.io/

[Jade Emy]

CrowdStrike, l'entreprise de cybersécurité, est confrontée à une vague de poursuites judiciaires à la suite de la panne mondiale, Delta réclame jusqu'à 500 millions de dollars.

CrowdStrike, l'entreprise de cybersécurité, est confrontée à une vague de poursuites judiciaires à la suite d'une défaillance majeure d'une mise à jour logicielle qui a eu des répercussions sur des entreprises du monde entier. L'affaire la plus médiatisée est celle de Delta, qui réclame à CrowdStrike jusqu'à 500 millions de dollars de dommages et intérêts. Les procès individuels pourraient se regrouper en une action collective contre CrowdStrike.

Le 19 juillet 2024, une panne informatique mondiale a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan.

Le PDG de Delta, Ed Bastien, a critiqué Microsoft pour cette panne, la qualifiant de "plateforme probablement la plus fragile", tout en louant la fiabilité d'Apple. Malgré ces propos sévères, M. Bastian a affirmé que Delta poursuivait son partenariat avec Microsoft, tout en soulignant la nécessité pour Microsoft de faire preuve d'une plus grande vigilance.

De son côté, l'entreprise de cybersécurité CrowdStrike est confrontée à une vague de poursuites judiciaires à la suite de la panne mondiale provoquée par une défaillance de sa mise à jour. L'affaire la plus médiatisée est celle de Delta, qui réclame à CrowdStrike jusqu'à 500 millions de dollars de dommages et intérêts. La compagnie aérienne a fait appel au célèbre avocat David Boies, connu pour son travail avec Theranos, Harvey Weinstein et Al Gore, pour mener sa bataille juridique.

La faille logicielle, qui affecte principalement les machines Windows, a donné lieu à de nombreuses actions en justice. Avant l'action en justice de Delta, des actionnaires avaient déjà intenté une action collective, accusant CrowdStrike de les avoir induits en erreur au sujet de ses procédures de mise à jour logicielle.

CrowdStrike a fait appel à Quinn Emanuel Urquhart & Sullivan pour se défendre contre ces actions en justice, ce qui témoigne de la gravité de la situation. Bien que Microsoft soit impliqué de manière indirecte en raison de l'impact de la mise à jour sur Windows, c'est CrowdStrike qui fait l'objet de la plus grande attention de la part de la justice.

Rob Wilkins de Jones Foster, qui copréside le département des litiges complexes et de la résolution des conflits du cabinet, note que les limites contractuelles des dommages-intérêts dans les accords sur les logiciels d'entreprise pourraient jouer un rôle crucial. Toutefois, le fait que Delta invoque une négligence grave ou une faute intentionnelle pourrait permettre de contourner ces limites. Delta a connu une interruption de service de cinq jours, contre trois jours pour United, mais CrowdStrike estime que les systèmes internes de Delta peuvent également avoir contribué à la panne.

Le défi pour Delta et les autres plaignants est de prouver qu'il y a eu négligence grave, une exigence élevée qui nécessite de démontrer une fausse déclaration intentionnelle ou des lacunes importantes dans les procédures de sécurité. Les actionnaires ont également du mal à démontrer que CrowdStrike les a trompés sur ses pratiques de test de logiciels.

Wilkins prévoit que les procès individuels se regrouperont probablement en une action collective en raison de la complexité et du coût des affaires séparées. Les recours collectifs débouchent souvent sur un procès de type "bellwether", où une affaire sert de test pour les autres, ce qui pourrait orienter les futurs règlements. Les compagnies d'assurance pourraient également jouer un rôle, en cherchant éventuellement à récupérer les coûts auprès de CrowdStrike.

Au-delà des implications financières, c'est la réputation de CrowdStrike qui est en jeu. La résolution rapide de ces questions juridiques par l'entreprise sera cruciale pour maintenir ses relations avec ses actionnaires et ses clients. Selon M. Wilkins, CrowdStrike se prépare à une défense vigoureuse, mais la résolution de la situation à l'amiable sera essentielle pour le succès futur de l'entreprise.

Source : Delta

Et vous ?

Pensez-vous que ces poursuites sont crédibles ou pertinentes ?
Quel est votre avis sur le sujet ?

Voir aussi :

Microsoft affirme que Delta a ignoré l'aide proposée par Satya Nadella concernant CrowdStrike et que les problèmes de Delta sont liés à son ancienne infrastructure informatique, et non à Windows

Delta Air Lines a engagé un cabinet d'avocats pour demander une indemnisation à Microsoft et CrowdStrike, à la suite d'une panne informatique mondiale et de l'annulation de plus de 6 000 vols

CrowdStrike estime que la panne mondiale a laissé un trou de 60 millions de dollars dans ses ventes, après que sa gestion bâclée d'une mise à jour logicielle ait déclenché un désastre

[floyer]

Un procès est jouable... d'autant que :

CrowdStrike warrants to you that it will perform all Services in a professional and workmanlike manner consistent with generally accepted industry standards.

Bon, "generally accepted standard" peut être imprécis, mais vu leur négligence.

Mais si c'est requalifié en produit :

8.2 Product Warranty. If Customer has purchased a Product, CrowdStrike warrants to Customer during the applicable Subscription/Order Term that: (i) the Product will operate without Error; and (ii) CrowdStrike has used industry standard techniques to prevent the Products at the time of delivery from injecting malicious software viruses into your Endpoints where the Products are installed. You must notify CrowdStrike of any warranty claim during the Subscription/Order Term. Your sole and exclusive remedy and the entire liability of CrowdStrike for its breach of this warranty will be for CrowdStrike, at its own expense to do at least one of the following: (a) use commercially reasonable efforts to provide a work-around or correct such Error; or (b) terminate your license to access and use the applicable non-conforming Product and refund the prepaid fee prorated for the unused period of the Subscription/Order Term.

La garantie est forte aussi (industry standard technique), mais l'engagement est juste limité à un effort raisonnable pour corriger l'erreur.

[Mathis Lucas]

CrowdStrike déclare qu'aucun client n'a encore poursuivi l'entreprise et espère que les menaces juridiques s'estomperont avec le temps
après la panne mondiale provoquée par sa mise à jour défectueuse

Le directeur financier de CrowdStrike, Burt Podbere, a révélé que les retombées de la panne informatique majeure du 19 juillet sont loin d'être terminées. Il a reconnu que les clients ont été frustrés au lendemain de la panne, mais ont ensuite apprécié la transparence et la rapidité de résolution de CrowdStrike. Il a déclaré que CrowdStrike n'a pas encore fait l'objet de poursuites judiciaires malgré les pertes financières causées aux clients et les annulations massives de vols. Il espère également que les menaces juridiques s'estomperont avec le temps. Mais CrowdStrike pourrait être poursuivi par les clients tels que Delta Air Lines et les régulateurs de divers pays.

CrowdStrike espère qu'il ne sera pas poursuivi en justice après la panne de juillet

Des entreprises du monde entier ont été confrontées le 19 juillet au redoutable écran bleu de la mort (BSOD) de Windows après une mise à jour défectueuse lancée par CrowdStrike. L'incident a perturbé les services Internet, affecté 8,5 millions d'appareils Microsoft Windows et provoqué des annulations massives de vols, paralysant de nombreuses entreprises de nombreux secteurs. Certaines entreprises ont subi des pertes financières importantes. Depuis, CrowdStrike est confronté à une pression croissante en raison de l'effondrement du système informatique mondial et des menaces juridiques qui pèsent sur lui.

Lors d'une récente conférence technologique organisée par Citi, le directeur financier de CrowdStrike a déclaré que la société essaie d'entamer un dialogue avec les clients mécontents à la suite de la panne de juillet. « À court terme, les gens ont été contrariés », a-t-il déclaré. Podbere a ajouté que « les clients se sont repris et ont apprécié les efforts de CrowdStrike pour expliquer les perturbations liées à sa mise à jour défectueuse et les remettre en marche ».

Cependant, il a semblé éluder les questions sur les récents changements apportés aux prévisions de l'entreprise, notamment la réduction de ses prévisions pour l'ensemble de l'année en raison des mesures d'incitation liées à un programme d'engagement des clients. Podbere n'a pas non plus mentionné le tollé provoqué par les cartes-cadeaux UberEats de 10 $, qui ont été distribués aux partenaires et aux coéquipiers au moment où le chaos s'est installé.

Podbere a également déclaré : « à ma connaissance, aucun client n'a intenté de procès contre nous à la suite de cet incident ». Le spectre de poursuites judiciaires imminentes plane toutefois sur l'entreprise et il est difficile de ne pas imaginer que les avocats aiguisent leurs griffes. Le mois dernier, par exemple, Delta Air Lines a fait entendre de sombres rumeurs, menaçant d'intenter une action en justice contre CrowdStrike pour négligence grave présumée.

Ed Bastian, PDG de Delta Air Lines, a demandé à CrowdStrike et à Microsoft de dédommager la compagnie pour les 500 millions de dollars qu'elle a perdus à cause de la panne informatique. À l'époque, la direction de CrowdStrike a réitéré ses excuses en déclarant : « la prise de position publique sur la possibilité d'intenter un procès sans fondement contre CrowdStrike en tant que partenaire de longue date n'est constructive pour aucune des parties ».

Microsoft, quant à lui, a révélé que Delta a refusé son aide gratuite à plusieurs reprises et a même ignoré un courriel du PDG Satya Nadella à la direction de la compagnie. Delta affirme que la panne lui a coûté 500 millions de dollars à la suite de l'annulation de plus de 6 000 vols, mais Microsoft réfute ces allégations. Microsoft a également suggéré que les problèmes rencontrés de Delta pourraient être liés à l'infrastructure vieillissante de la compagnie.

CrowdStrike très critiqué pour ses pratiques laxistes en matière de cybersécurité

Le PDG de Delta a qualifié Microsoft de "plateforme probablement la plus fragile" de l'écosystème informatique. Lors de la conférence, Podbere a déclaré : « nous ne savons pas comment tout cela va se terminer. Tout ce que nous faisons et essayons de faire, c'est d'éloigner la discussion juridique de notre interaction avec les clients et de la déplacer vers la discussion commerciale. Et avec le temps, cela devient plus facile, car nous nous éloignons de plus en plus du soleil, n'est-ce pas ? C'est ainsi que nous voyons les choses ». Malheureusement pour Podbere, les retombées de la panne ne sont pas près de s'estomper.

Les législateurs et les régulateurs américains veulent comprendre pourquoi la panne s'est produite. Un vice-président de la société a été appelé à témoigner devant la commission de la sécurité intérieure de la Chambre des représentants des États-Unis dans le courant du mois. Les actionnaires de CrowdStrike sont également mécontents et ont poursuivi le fournisseur de services de cybersécurité « pour sa technologie matériellement fausse et trompeuse ».

Au début de l'année, Podbere a indiqué lors d'une conférence téléphonique avec des analystes que les accords avec les clients de l'entreprise contenaient des limitations de responsabilité et que l'entreprise détenait des polices d'assurance et maintenait des réserves de liquidités pour atténuer les effets d'éventuelles réclamations juridiques. Cependant, les investisseurs ont continué à faire baisser le cours de l'action de CrowdStrike en réaction à la panne.

Parallèlement, Crowdstrike devrait participer à un sommet organisé par Microsoft le mois prochain afin de discuter des mesures concrètes à prendre pour améliorer la sécurité et la résilience de leurs clients communs. Le géant de la technologie intensifie ses projets visant à rendre Windows plus résistant aux logiciels bogués. Microsoft pourrait de nouveau envisager de réformer l'accès au noyau Windows et limiter l'accès des entreprises tierces telles que CrowdStrike.

Selon un rapport publié le mois dernier par le Wall Street Journal, pour l'agence allemande de cybersécurité, il est important de tirer des leçons de cet incident et saisir l'occasion pour redéfinir l'interaction entre les produits de sécurité et les systèmes d'exploitation. L'agence allemande de cybersécurité vise spécifiquement l'accès que Microsoft accorde aux prestataires de services de sécurité à son noyau Windows, une partie critique de son système d'exploitation.

Malgré cela, à la fin du mois d'août, l'entreprise a déclaré que son chiffre d'affaires avait augmenté de 32 % par rapport à la même période de l'année dernière. Podbere affirme que la réaction de CrowdStrike à la panne majeure de juillet avait en fait encouragé les clients à rester fidèles. Il a déclaré : « ils ont vu une entreprise qui a tendu la main à ses clients, qui n'a pas essayé de se cacher, qui s'est montrée à la hauteur. Ils ont donc apprécié cette attitude ».

CrowdStrike aurait commis une erreur qu'un débutant en programmation apprend à éviter

CrowdStrike a publié son analyse des causes racines (RCA) de la mise à jour logicielle défectueuse à l'origine de la panne informatique la plus importante de l'histoire. Selon les experts, CrowdStrike doit se sentir "très embarrassé" après avoir publié son analyse, car il s'agit d'une erreur que les étudiants en programmation de première année apprennent à éviter. Le rapport de 12 pages confirme l'origine du problème : un seul capteur non détecté.

L'accès privilégié de Falcon

CrowdStrike propose des produits de sécurité pour Internet et contre les ransomwares et les maliciels, presque exclusivement aux entreprises et aux grandes organisations. La panne géante a été déclenchée par son logiciel de détection Falcon, qui est installé pour détecter les menaces et aider à les bloquer. Sigi Goode, professeur de systèmes d'information à l'Australian National University, a déclaré que le logiciel de sécurité Falcon disposait d'un accès très privilégié.

Il se situe au niveau de ce que l'on appelle le noyau de Windows. « Il est aussi proche que possible du moteur qui alimente le système d'exploitation. Le mode kernel observe en permanence ce que vous faites et écoute les requêtes des applications que vous utilisez, et les traite de manière transparente », note Goode. Il décrit le mode kernel comme la police de la circulation à côté de laquelle Falcon est assis, en disant : « je n'aime pas l'aspect de ce véhicule, nous devrions y jeter un coup d'œil ».

Le capteur 21 coupable

CrowdStrike met constamment Falcon à jour. Le 19 juillet, il a envoyé une mise à jour "Rapid Response Content" à certains hôtes Windows. Dans la RCA, CrowdStrike a évoqué "un incident du canal 291", au cours duquel une nouvelle capacité a été introduite dans les capteurs de Falcon. Les capteurs sont comme une voie d'accès aux preuves, qui indique le type d'activité suspecte à rechercher. Falcon examine une série de capteurs (indicateurs) pour voir si quelque chose ne va pas. Lorsque des mises à jour sont envoyées, il modifie l'emplacement ou le nombre de capteurs pour vérifier s'il y a une attaque potentielle.

Dans le cas présent, Falcon s'attendait à ce que la mise à jour comporte 20 champs de saisie, mais elle en comportait 21. C'est cette "discordance de comptage" qui a provoqué la panne géante. « L'interpréteur de contenu ne s'attendait qu'à 20 valeurs. Par conséquent, la tentative d'accès à la 21e valeur a produit une lecture de la mémoire hors limites au-delà de la fin du tableau de données d'entrée et a entraîné un plantage du système », indique le rapport.

Falcon étant étroitement intégré au cœur de Windows, sa défaillance a entraîné l'arrêt de l'ensemble du système et la survenue d'une panne de système (BSOD). Le professeur Goode a déclaré que l'une des façons les plus courantes de compromettre un système consistait à inonder la mémoire. Il s'agit essentiellement de dire à l'ordinateur de chercher quelque chose "hors limites". « Il cherchait quelque chose qui n'existait pas », a déclaré le professeur Goode.

Cette panne mondiale souligne l’importance de la vigilance en matière de cybersécurité et de la nécessité de mettre en place des protocoles de gestion des mises à jour. Les entreprises doivent investir dans des solutions de sécurité robustes et communiquer efficacement avec leurs clients pour réduire les perturbations en cas de défaillance du système. Elle met également en exergue la vulnérabilité des solutions basées sur le cloud, qui peuvent entraîner un effet boule de neige.

Source : Burt Podbere, directeur financier de CrowdStrike

Et vous ?

Quel est votre avis sur le sujet ?
Selon vous, quelle est la responsabilité de CrowdStrike dans la panne majeure du 19 juillet ?
Que pensez-vous de la gestion de la crise par CrowdStrike ? Pourquoi l'entreprise semble-t-elle échapper aux poursuites ?
Pensez-vous que Crowdstrike ne fera finalement pas l'objet de poursuites de la part des clients impactés par la panne ?

Voir aussi

Le PDG de Delta qualifie Microsoft de "plateforme probablement la plus fragile" tout en louant Apple, la panne CrowdStrike a coûté environ 500 millions $ à Delta, qui va donc poursuivre Microsoft et CrowdStrike

CrowdStrike est poursuivie par des actionnaires suite à la panne mondiale, pour sa technologie matériellement fausse et trompeuse, après la chute de 32% de l'action, oblitérant 25 milliards $ de valorisation

CrowdStrike accuse un bogue dans le logiciel de test d'avoir mis hors service 8,5 millions de machines Windows, car il n'a pas validé correctement la mise à jour du contenu qui a été diffusée sur les machines

[Stéphane le calme]

Le sommet de la sécurité de Microsoft après l'incident de CrowdStrike : beaucoup de paroles, peu d'actions.
L'entreprise fait un récapitulatif de son évènement tenu loin de la presse et du public

En juillet dernier, une mise à jour défectueuse du logiciel CrowdStrike a entraîné la panne de millions d’ordinateurs Windows dans le monde entier. Cette situation a eu des conséquences majeures, notamment l’annulation de milliers de vols par les compagnies aériennes et des retards dans les rendez-vous médicaux dans les hôpitaux. Face à cet incident, Microsoft a décidé d’organiser un sommet sur la cybersécurité le 10 septembre.

Le Windows Endpoint Security Ecosystem Summit, récemment tenu, a suscité de nombreuses discussions mais peu de mesures concrètes. Cet événement, qui a réuni des acteurs majeurs de la cybersécurité tels que CrowdStrike, ESET, et Trend Micro, visait à renforcer la résilience et la sécurité des clients de Windows. Notons que la presse et le public n’étaient pas invités, soulevant des questions sur la transparence de l’événement.

En annonçant le sommet de l'écosystème Windows Endpoint Security, Aidan Marcuss, vice-président de la société, a déclaré que les participants discuteraient des mesures que les fournisseurs peuvent prendre pour « améliorer la sécurité et la résilience pour nos clients communs ».

Marcuss a cité le fiasco de CrowdStrike en juillet et les « leçons importantes » tirées de ce désastre. « Nos discussions porteront sur l'amélioration de la sécurité et des pratiques de déploiement sûres, la conception de systèmes pour la résilience et la collaboration en tant que communauté prospère de partenaires pour servir au mieux les clients d'aujourd'hui et de demain ».

Bien qu'il n'ait pas précisé ce que ces mesures pourraient impliquer, certains ont parié que l'exclusion des fournisseurs de sécurité du noyau Windows est l'une d'entre elles, et il est probable qu'elle sera accueillie avec beaucoup de réticence par les fournisseurs.

En plus de ses collègues fabricants de logiciels, Microsoft a également invité « des représentants du gouvernement pour garantir le plus haut niveau de transparence dans la collaboration de la communauté afin de fournir une technologie plus sûre et plus fiable pour tous ».

Un sommet à huis clos

Microsoft a justifié cette décision en affirmant que les discussions porteraient sur des mesures pour améliorer la sécurité et la résilience des systèmes pour leurs clients communs. Les sujets abordés incluaient les leçons tirées de la récente panne causée par CrowdStrike, qui a affecté des millions de machines Windows. Malgré l’importance de ces discussions, l’absence de la presse et du public a été perçue comme une tentative de limiter la transparence.

Cette décision a suscité des critiques, notamment de la part de figures politiques comme le sénateur Ron Wyden, connu pour son franc-parler sur les questions de sécurité. Wyden n’a pas été invité, ce qui a alimenté les spéculations sur la véritable intention de Microsoft de maintenir une transparence totale

Certes, ce dernier fiasco est une erreur de CrowdStrike, et non de Microsoft. Mais le géant de Windows est confronté à des critiques de plus en plus vives concernant ses propres pratiques de sécurité, après des années de violations commises aussi bien par des pirates chinois et russes que par des voyous adolescents de Lapsus$.

Au début de l'été, le président de Microsoft, Brad Smith, a témoigné devant le Congrès des manquements répétés de son entreprise en matière de sécurité. Il répondait ainsi à un rapport de la Sécurité intérieure qui reprochait au géant de l'informatique d'avoir permis à des cyberespions soutenus par Pékin de voler des dizaines de milliers d'e-mails sensibles dans les boîtes de réception Exchange Online hébergées par Microsoft de hauts fonctionnaires du gouvernement américain.

Dans la plupart des cas, Microsoft lance une nouvelle initiative de sécurité, comme son initiative Secure Future, après la dernière attaque de Cozy Bear.

Peu de mesures concrètes

Microsoft a organisé cette semaine son très médiatisé Windows Endpoint Security Ecosystem Summit avec Crowdstrike et d'autres fournisseurs de solutions de sécurité. Aujourd'hui, le géant du logiciel s'est exprimé sur ce qui s'est passé, mais il ne semble pas qu'il en ressortira grand-chose, car il y a très peu de détails sur la marche à suivre.

« Nous tenons à remercier chacun des participants à notre sommet d'avoir consacré du temps à participer à ces discussions importantes », écrit David Weston, vice-président de Microsoft. « L'incident de CrowdStrike en juillet a mis en évidence la responsabilité des fournisseurs de sécurité dans la résilience et la protection agile et adaptative. L'engagement des participants tout au long du programme et des activités de l'événement a été une source d'inspiration. »

Il aurait été encore plus stimulant de voir cet événement déboucher sur un accord interprofessionnel et des améliorations concrètes. Mais cela ne semble pas être le cas. Au lieu de cela, les participants ont simplement convenu que leurs clients mutuels bénéficient d'un choix de solutions de sécurité et qu'il est important de partager des informations sur la manière dont leurs produits fonctionnent les uns avec les autres.

Ils ont discuté de « plusieurs possibilités » d'améliorer la sûreté et la sécurité de ces clients communs

À court terme, Microsoft a expliqué aux autres comment elle utilise des pratiques de déploiement sûres (SDP pour Safe Deployment Practices) en interne et comment cela pourrait conduire à un ensemble partagé de meilleures pratiques. Ils ont également discuté de la manière dont ils pourraient « augmenter les tests des composants critiques, améliorer les tests de compatibilité conjoints entre diverses configurations, favoriser un meilleur partage des informations sur la santé des produits en cours de développement et sur le marché, et accroître l'efficacité de la réponse aux incidents grâce à une coordination plus étroite et à des procédures de récupération ».

À plus long terme, Microsoft prévoit de nouvelles capacités de plate-forme et de nouvelles normes de sécurité pour Windows 11. Les partenaires ont demandé à l'entreprise de rendre plus de capacités de sécurité disponibles en dehors du noyau. Cela pose des problèmes de performance et de lutte contre la falsification, a fait remarquer Weston, mais Microsoft s'est engagé à concevoir et à développer une capacité de plate-forme sécurisée dès la conception, avec la contribution et la collaboration de ses partenaires. Quel que soit le temps que cela prendra.

« Nous sommes des concurrents, mais pas des adversaires », a-t-il déclaré à propos de Microsoft et des fournisseurs de sécurité présents au sommet, qui comprenait des représentants de Broadcom, Crowdstrike, ESET, SentinelOne, Sophos, Trellix et Trend Micro. « Les adversaires sont ceux contre lesquels nous devons protéger le monde. Nous sommes reconnaissants du soutien et des contributions de cette communauté et nous sommes enthousiastes quant aux conversations en cours et au travail qui nous attend. »

Pas de blocage d'accès au noyau

Certains avaient évoqué la possibilité pour Microsoft de bloquer l'accès au noyau.

Apple, qui n'a pas été touché par les pannes de juillet relatives à CrowdStrike, empêche tous les fournisseurs tiers d'accéder au noyau de son système d'exploitation MacOS, les obligeant à fonctionner en mode « utilisateur », plus limité. Microsoft a précédemment déclaré ne pas être en mesure de faire de même, après avoir conclu un accord avec la Commission européenne en 2009 selon lequel elle donnerait à des tiers le même accès à ses systèmes que celui de Microsoft Defender.

Certains experts ont toutefois déclaré que cet engagement volontaire envers l'UE n'avait pas lié les mains de Microsoft comme il le prétendait, arguant que l'entreprise avait toujours été libre d'apporter les changements envisagés. « Il s'agit de décisions techniques de Microsoft qui ne faisaient pas partie [de l'accord] », a déclaré Thomas Graf, un associé de Cleary Gottlieb à Bruxelles qui a participé à l'affaire.

« Le texte [de l'accord] ne les oblige pas à donner accès au noyau », a ajouté AJ Grotto, ancien directeur principal de la politique de cybersécurité à la Maison Blanche. Grotto a déclaré que Microsoft avait sa part de responsabilité dans les perturbations de juillet, car les pannes n'auraient pas été possibles sans sa décision d'autoriser l'accès au noyau.

Néanmoins, bien qu'il puisse renforcer la résilience d'un système, le blocage de l'accès au noyau pourrait également entraîner de « véritables compromis » pour la compatibilité avec d'autres logiciels qui a rendu Windows si populaire auprès des clients professionnels, a déclaré Allie Mellen, analyste chez Forrester. « Il s'agirait d'un changement fondamental pour la philosophie et le modèle commercial de Microsoft », a-t-elle ajouté.

Le fait d'opérer exclusivement en dehors du noyau peut réduire le risque de déclencher des pannes massives, mais cela est également « très contraignant » pour les fournisseurs de sécurité et pourrait rendre leurs produits « moins efficaces » contre les pirates informatiques, a ajouté Mellen. Le fait d'opérer au sein du noyau donne aux entreprises de sécurité plus d'informations sur les menaces potentielles et permet à leurs outils défensifs de s'activer avant que les logiciels malveillants ne s'installent, a-t-elle ajouté.

Microsoft semble ne pas aller dans cette direction.

D'après l'article de Microsoft, il pourrait s'avérer impossible de retirer entièrement les protections de sécurité du noyau Windows. Cette citation résume clairement le problème :

« ESET soutient les modifications de l'écosystème Windows qui démontrent des améliorations mesurables de la stabilité, à condition que tout changement n'affaiblisse pas la sécurité, n'affecte pas les performances ou ne limite pas le choix des solutions de cybersécurité », explique un communiqué de l'entreprise de sécurité. « Il est impératif que l'accès au noyau reste une option pour les produits de cybersécurité afin de permettre la poursuite de l'innovation et la capacité de détecter et de bloquer les cybermenaces futures. Nous nous réjouissons de poursuivre notre collaboration dans le cadre de cette importante initiative ».

Conclusion

Le sommet a mis en lumière la complexité du paysage de la sécurité moderne et la nécessité d’une collaboration continue. Cependant, pour que ces discussions se traduisent par des actions concrètes, il faudra plus que des paroles. Les clients de Windows attendent des mesures tangibles pour renforcer leur sécurité et leur résilience.

Sources : Microsoft, Sophos

Et vous ?

Pensez-vous que les discussions lors de tels sommets peuvent réellement conduire à des améliorations concrètes en matière de sécurité ?
Quels sont, selon vous, les principaux défis auxquels Microsoft doit faire face pour améliorer la sécurité de Windows 11 ?
Comment évaluez-vous l’importance de la transparence et du partage d’informations entre les différents acteurs de la cybersécurité ?
Selon vous, est-il possible de concilier transparence totale et sécurité optimale dans les grandes entreprises technologiques ? Quels seraient les avantages et les inconvénients d’une transparence accrue dans ce type de sommets ?
Pensez-vous que la présence de représentants gouvernementaux est suffisante pour garantir la transparence des discussions ? Quel rôle les gouvernements devraient-ils jouer dans la surveillance des pratiques de sécurité des entreprises technologiques ?
Comment cette décision de Microsoft pourrait-elle affecter la confiance des utilisateurs envers l’entreprise ? Quelles mesures Microsoft pourrait-elle prendre pour renforcer la confiance des utilisateurs après un tel événement ?
Quel impact pensez-vous que ce type de sommet à huis clos pourrait avoir sur l’industrie de la sécurité informatique en général ? D’autres entreprises devraient-elles suivre l’exemple de Microsoft ou adopter une approche différente ?
Quelle est la responsabilité éthique des entreprises technologiques lorsqu’il s’agit de partager des informations sensibles sur la sécurité ? Comment les entreprises peuvent-elles équilibrer la nécessité de protéger des informations sensibles avec le besoin de transparence ?

[Stéphane le calme]

Panne mondiale CrowdStrike : Microsoft prévoit des changements majeurs dans l’architecture de sécurité de Windows,
l'entreprise va modifier l’accès au noyau de Windows pour réduire les risques de pannes similaires

En juillet dernier, une mise à jour défectueuse de CrowdStrike a provoqué une panne mondiale de Windows, affectant des millions d’appareils et paralysant de nombreuses entreprises. Pour éviter que ce type de catastrophe ne se reproduise, Microsoft a annoncé des changements majeurs dans l’architecture de sécurité de Windows.

Contexte de la catastrophe CrowdStrike

La panne a été causée par une mise à jour du logiciel de sécurité Falcon de CrowdStrike, qui a entraîné une erreur logique, provoquant un écran bleu de la mort (BSOD) sur environ 8,5 millions de PC. Cette mise à jour défectueuse a mis en lumière les risques associés à l’accès au noyau du système d’exploitation par les logiciels de sécurité.

Les changements prévus par Microsoft

Pour remédier à cette situation, Microsoft prévoit de modifier l’accès au noyau de Windows pour les solutions de sécurité. L’objectif est de permettre un accès « juste à temps » plutôt qu’un accès permanent, réduisant ainsi les risques de pannes similaires. Cette approche vise à équilibrer la sécurité et la performance, tout en maintenant une protection efficace contre les menaces.

Qu'est-ce que l'accès juste à temps ?

Grâce à la méthodologie d’accès « juste à temps », les organisations peuvent augmenter les privilèges des utilisateurs humains et machines en temps réel pour fournir un accès à privilèges élevé et granulaire à une application ou un système pour réaliser une tâche requise. Les analystes du secteur de la cybersécurité recommandent l’accès juste à temps en tant que méthode sécurisée de provisioning des accès à privilèges en réduisant les accès permanents.

L’accès juste à temps aide les organisations à provisionner l’accès de sorte que les utilisateurs disposent uniquement des privilèges permettant d’accéder aux comptes à privilèges et aux ressources dont ils ont besoin au moment où ils en ont besoin, et en aucune autres circonstances. Au lieu d’accorder un accès toujours disponible (ou permanent), les organisations peuvent utiliser l’accès juste à temps pour limiter l’accès à une ressource spécifiée à une période spécifique. Cette approche granulaire atténue le risque d’utilisation abusive des comptes à privilèges en réduisant considérablement le temps dont dispose un attaquant ou un acteur interne malveillant pour accéder à des comptes à privilèges avant de se déplacer latéralement dans un système et accéder sans autorisation à des données sensibles.

L’accès juste à temps peut être considéré comme un moyen d’appliquer le principe du moindre privilège afin de garantir que les utilisateurs et les identités machine bénéficie du niveau minimum de privilèges. L’accès juste à temps garantit également que les activités à privilèges sont menées conformément aux politiques de gestion des identités et des accès (IAM), de gestion des services informatiques (ITSM) et de gestion des accès à privilèges (PAM) de l’organisation, de même que ses droits et ses workflows.

Collaboration avec les partenaires de sécurité

Les programmes antivirus exploitent les privilèges du noyau pour surveiller les modifications malveillantes apportées aux parties les plus profondes du système d'exploitation. Mais cet accès est également une arme à double tranchant en cas de dysfonctionnement du logiciel antivirus. Dans le cas de CrowdStrike, une faille dans les processus de validation de l'entreprise a laissé passer une mise à jour boguée, ce qui a déclenché le plantage des machines Windows par son logiciel de sécurité.

Pour éviter un nouveau fiasco de la mise à jour de CrowdStrike, Microsoft envisage de créer une nouvelle plateforme au sein du système d'exploitation Windows, spécialement conçue pour la surveillance des antivirus.

Cette orientation a été indiqué lors d’un sommet de sécurité privé au cours duquel Microsoft a discuté avec des experts de l’industrie des défis et des exigences pour créer une nouvelle plateforme de sécurité. Cette plateforme permettra aux logiciels antivirus de fonctionner en dehors du noyau de Windows, offrant ainsi une protection sans compromettre la stabilité du système. Les discussions ont porté sur les besoins en performance, les mécanismes anti-sabotage et les exigences des capteurs de sécurité.

La panne a d'abord amené Microsoft à envisager de révoquer l'accès au noyau, ce qui pourrait transformer Windows en un système d'exploitation plus fermé, à l'instar de macOS d'Apple. Cependant, après avoir échangé avec des professionnels de la sécurité, l'entreprise ne s'est pas arrêtée à l'idée de restreindre le noyau Windows. Au lieu de cela, Microsoft a mentionné comment les clients et les partenaires ont demandé à l'entreprise de « fournir des capacités de sécurité supplémentaires en dehors du mode noyau », que les logiciels antivirus peuvent également exploiter pour fournir une protection.

« Lors du sommet, Microsoft et ses partenaires ont discuté des exigences et des principaux défis liés à la création d'une nouvelle plateforme capable de répondre aux besoins des fournisseurs de sécurité », a déclaré l'entreprise. Les domaines abordés comprennent les « besoins et défis en matière de performances en dehors du mode noyau », la fourniture d'un mécanisme anti-altération pour les programmes de sécurité et les « exigences en matière de capteurs de sécurité » pour la surveillance antivirus.

Redmond n'a pas donné plus de détails sur la couche de sécurité, qu'elle décrit comme un projet à long terme. Mais la société a ajouté : « Dans une prochaine étape, Microsoft continuera à concevoir et à développer cette nouvelle capacité de plate-forme avec la contribution et la collaboration des partenaires de l'écosystème afin d'atteindre l'objectif d'une fiabilité accrue sans sacrifier la sécurité ».

L'événement a été fermé aux journalistes, mais l'entreprise a décidé jeudi de partager certains des résultats, qui comprennent l'exploration de « nouvelles capacités de plate-forme que Microsoft prévoit de rendre disponibles dans Windows ».

« Bien qu'il ne s'agisse pas d'une réunion de prise de décision, nous croyons en l'importance de la transparence et de l'engagement de la communauté », a ajouté Redmond dans son billet de blog.

Les experts en sécurité qui ont participé au sommet semble plutôt satisfaits

Comme on pouvait s'y attendre, dans une salle remplie d'experts en sécurité informatique des fournisseurs qui discutaient tous du fonctionnement interne et des faiblesses de l'écosystème de la sécurité des points finaux, tout n'a pas été révélé dans le blog de Microsoft résumant l'événement, les cybercriminels entre autres étant toujours à l'affût.

Toutefois, ceux qui s'intéressent de près à la question semblent avoir bien accueilli le sommet et ses conclusions.

Joe Levy, PDG de Sophos, a déclaré dans un communiqué :

« Le sommet de l'écosystème Windows Endpoint Security de Microsoft a été un appel à l'action critique pour les fournisseurs de sécurité des points d'accès après la panne informatique mondiale de juillet. Ce sommet nous a donné l'occasion de nous réunir pour entamer un dialogue sur le comment et le pourquoi nous devons repenser des sujets importants, tels que les architectures de noyau, le risque de monocultures, les pratiques de déploiement sûres, la transparence des fournisseurs, et bien d'autres choses encore.

« Avant la panne, la plupart des gens ne se demandaient pas qui ou quoi avait accès au noyau, aux fonctions ELAM [Early Launch AntiMalware], aux mises à jour de données et à d'autres technologies qui permettent aux utilisateurs de bénéficier de protections, mais qui nécessitent une planification technique et architecturale précise. Il est alarmant de constater que certaines entreprises de sécurité n'ont pas suffisamment réfléchi à ces questions ».

Le sentiment de Levy a été largement partagé par d'autres personnes présentes, notamment des responsables de Broadcom, SentinelOne, Trellix et Trend Micro. Le point de vue d'ESET était le même, mais il a également déclaré qu'il était « impératif » de maintenir l'accès au noyau pour les produits de sécurité.

Microsoft a souligné les changements prévus pour Windows, qui ont été annoncés en mai - avant le désastre de CrowdStrike - et qui incluent l'intention de s'assurer que l'accès au noyau est disponible juste à temps, plutôt qu'en permanence.

Des changements à court et long terme

Microsoft a précédemment laissé entendre que l'UE l'avait contraint en 2009 à fournir aux fournisseurs de solutions de sécurité le même niveau d'accès à son système d'exploitation que celui accordé à ses propres produits de sécurité. Cela s'inscrivait dans le contexte d'une surveillance européenne de longue date de l'entreprise.

Quelles que soient les raisons, le changement à l'accès du noyau est imminent, a promis Microsoft, et ces modifications seront guidées par les commentaires de l'ensemble de l'industrie.

« Dans une prochaine étape, Microsoft continuera à concevoir et à développer cette nouvelle capacité de plate-forme avec la contribution et la collaboration des partenaires de l'écosystème afin d'atteindre l'objectif d'une fiabilité accrue sans sacrifier la sécurité », a déclaré la société dans son résumé du sommet.

L'autre projet à long terme que Microsoft et les fournisseurs de solutions de sécurité doivent faire progresser est l'élaboration de meilleures pratiques pour le déploiement en toute sécurité des mises à jour de la plateforme. L'idée serait de les adopter dans l'ensemble de l'écosystème des fournisseurs.

« Nous sommes confrontés à un ensemble commun de défis pour déployer en toute sécurité des mises à jour dans le vaste écosystème Windows, qu'il s'agisse de décider comment procéder à des déploiements mesurés avec un ensemble diversifié de points finaux ou de pouvoir interrompre ou revenir en arrière en cas de besoin », a déclaré Microsoft.

« L'un des principes fondamentaux des [Safe Deployment Practices (SDP)] est le déploiement progressif et échelonné des mises à jour envoyées aux clients. Microsoft Defender for Endpoint publie des SDP et de nombreux partenaires de notre écosystème, tels que Broadcom, Sophos et Trend Micro, ont également partagé leur approche des SDP. Cette discussion riche lors du sommet se poursuivra dans le cadre d'un effort de collaboration avec nos partenaires MVI afin de créer un ensemble commun de meilleures pratiques que nous utiliserons en tant qu'écosystème à l'avenir ».

À plus court terme, Microsoft a déclaré qu'elle s'engageait à faire des « progrès rapides » sur des questions telles que les tests de composants critiques, le partage d'informations sur l'état des produits, l'efficacité de la réponse aux incidents et les tests de compatibilité conjoints entre diverses configurations.

Source : Microsoft

Et vous ?

Quels sont les avantages et les inconvénients d’un accès “juste-à-temps” au noyau de Windows pour les logiciels de sécurité ?
Comment pensez-vous que les entreprises devraient équilibrer la sécurité et la performance dans leurs systèmes informatiques ?
Quels autres incidents de sécurité célèbres vous viennent à l’esprit, et comment ont-ils été gérés ?
Selon vous, quelles sont les meilleures pratiques pour tester les mises à jour de sécurité avant leur déploiement à grande échelle ?
Comment les utilisateurs finaux peuvent-ils se protéger contre les pannes causées par des mises à jour de logiciels de sécurité ?
Pensez-vous que les fournisseurs de sécurité devraient avoir plus ou moins de contrôle sur les systèmes d’exploitation ? Pourquoi ?
Quels rôles les utilisateurs et les administrateurs système devraient-ils jouer dans la gestion des mises à jour de sécurité ?
Comment les entreprises peuvent-elles améliorer leur résilience face aux pannes informatiques ?

[Stéphane le calme]

CrowdStrike : des anciens employés révèlent que « le contrôle qualité ne faisait pas partie de notre processus »,
les conséquences désastreuses sur la cybersécurité lorsque la rapidité prime sur la qualité

CrowdStrike, une entreprise de cybersécurité reconnue pour ses solutions innovantes, fait face à des critiques sévères de la part de ses anciens employés. Ces derniers affirment que le contrôle qualité n’était pas une priorité au sein de l’entreprise, ce qui a conduit à des problèmes techniques majeurs et à une perte de confiance de la part des clients.

Des témoignages accablants

Les ingénieurs logiciels de l'entreprise de cybersécurité CrowdStrike se sont plaints de délais trop courts, de charges de travail excessives et de problèmes techniques croissants auprès de leurs supérieurs pendant plus d'un an, avant qu'une panne catastrophique de son logiciel ne paralyse les compagnies aériennes et ne mette hors service les services bancaires et autres pendant des heures.

« La vitesse était la chose la plus importante », a déclaré Jeff Gardner, concepteur principal de l'expérience utilisateur chez CrowdStrike, qui a déclaré avoir été licencié en janvier 2023 après avoir travaillé deux ans dans l'entreprise. « Le contrôle de la qualité ne faisait pas vraiment partie de notre processus ou de nos conversations ».

Les problèmes ont été soulevés lors de réunions, dans des courriels et lors d'entretiens de fin d'emploi, ont expliqué d'anciens employés aux médias. 24 anciens ingénieurs en informatique, de cadres et d'autres membres du personnel ont décrit un lieu de travail où les dirigeants privilégiaient la rapidité au détriment de la qualité, où les travailleurs n'étaient pas toujours suffisamment formés et où les erreurs de codage et d'autres tâches se multipliaient. Un ancien cadre supérieur a déclaré avoir assisté à de nombreuses réunions au cours desquelles le personnel avertissait les dirigeants de l'entreprise que CrowdStrike « laisserait tomber » ses clients en mettant sur le marché des produits qui ne pourraient pas être pris en charge.

Sur les 24 anciens employés qui ont parlé à Semafor, 10 ont déclaré avoir été licenciés ou renvoyés et 14 ont dit être partis de leur propre chef. L'un d'entre eux travaillait encore dans l'entreprise cet été. Trois anciens employés ne sont pas d'accord avec les récits des autres. Joey Victorino, qui a passé un an dans l'entreprise avant de la quitter en 2023, a déclaré que CrowdStrike était « méticuleux dans tout ce qu'il faisait ».

Conséquences désastreuses

En juillet 2024, une mise à jour logicielle défectueuse a provoqué l’une des plus grandes pannes informatiques de l’histoire, mettant hors service 8,5 millions d'ordinateurs et coûtant aux entreprises du classement Fortune 500 pas moins de 5,4 milliards de dollars de dommages. Les voyageurs ont été bloqués dans les aéroports, les clients ont été privés de leurs comptes bancaires en ligne et les centres d'appel d'urgence ont été mis hors ligne.

L'incident a coûté à CrowdStrike environ 60 millions de dollars en contrats qu'elle avait prévu de conclure au cours du trimestre fiscal qui s'est achevé le 31 juillet, a déclaré le directeur financier Burt Podbere aux analystes lors de la conférence téléphonique sur les résultats du 28 août, au cours de laquelle la société a revu à la baisse ses prévisions de recettes et de bénéfices pour le reste de l'année. Adam Meyers, premier vice-président des opérations de lutte contre les adversaires, témoignera devant le Congrès à la fin du mois.

« Je ne perdrai jamais de vue l'ampleur de l'incident du 19 juillet et je m'engage à faire en sorte que cela ne se reproduise jamais », a déclaré le PDG George Kurtz aux analystes lors de la conférence téléphonique. « Au-delà des excuses, je veux que nos actions soient encore plus éloquentes que nos paroles. Nous nous efforçons de récupérer les clients rapidement, quel que soit l'endroit ou le besoin ».

En clair, cette panne a coûté des milliards de dollars en dommages et a gravement terni la réputation de CrowdStrike. Les clients, autrefois fidèles, ont commencé à remettre en question la fiabilité des produits de l’entreprise.

Réactions de l’entreprise

Face à ces accusations, CrowdStrike a réagi en déclarant que les informations provenaient « d'anciens employés mécontents, dont certains ont été licenciés pour des violations évidentes de la politique de l'entreprise ». L'entreprise a déclaré : « CrowdStrike s'engage à garantir la résilience de ses produits par des tests rigoureux et un contrôle de qualité, et rejette catégoriquement toute affirmation contraire ».

Fondée en 2011, CrowdStrike s'est rapidement hissée au rang de leader du secteur de la cybersécurité avec le lancement en 2013 de son antivirus Falcon. Elle est entrée en bourse en 2019, donnant le coup d'envoi d'une croissance massive, ajoutant des milliers de travailleurs et augmentant ses revenus de plus de mille pour cent à la fin de l'année fiscale 2024.

Cependant, la gravité de la panne de juillet a mis en lumière des failles importantes dans leurs processus internes. L’entreprise a depuis annoncé des mesures pour renforcer ses protocoles de contrôle qualité, mais la confiance des clients reste ébranlée.

Notons que, suite à cette panne, CrowdStrike a déclaré : « En raison d'un bogue dans le validateur de contenu, l'une des deux instances de modèle a été validée alors qu'elle contenait des données problématiques », faisant référence à la défaillance d'un mécanisme interne de contrôle de la qualité qui a permis aux données problématiques de passer à travers les propres contrôles de sécurité de l'entreprise.

Les anciens employés qui se sont entretenus avec Semafor ont décrit une série de problèmes qui ont précédé de longue date la panne de l'entreprise. Il n'a pas été établi que ces problèmes étaient liés à l'incident de juillet.

Certains anciens employés ont déclaré que les contrôles de qualité des logiciels étaient parfois bâclés pour que les produits soient lancés rapidement

« Il était parfois difficile de faire en sorte que les gens fassent suffisamment de tests », a déclaré Preston Sego, qui a travaillé chez CrowdStrike de 2019 à 2023. Son travail consistait à examiner les tests réalisés par les développeurs de l'expérience utilisateur qui alertaient les ingénieurs sur les bogues avant que les changements de codage proposés ne soient communiqués aux clients. Sego a déclaré avoir été licencié en février 2023 en tant que « menace d'initié » après avoir critiqué la politique de retour au travail de l'entreprise sur un canal Slack interne. C'est ainsi que l'entreprise désigne les employés qui présentent des risques pour la sécurité. CrowdStrike a refusé de commenter, déclarant qu'elle ne « discute pas des questions de personnel individuel ».

Il y a eu d'autres problèmes. Lors d'un incident survenu dans le département des services professionnels, un ancien employé a décrit comment les informations privées d'un client avaient été accidentellement téléchargées dans le dossier du mauvais client à trois reprises, évitant de justesse de partager des données privées avec le mauvais client à chaque fois. CrowdStrike a confirmé les incidents et a déclaré qu'ils s'étaient produits en raison d'une « erreur de saisie manuelle des données ». Il s'agissait d'informations de base telles que les noms d'hôte, les adresses IP et les noms de domaine, et des contrôles sont désormais effectués pour s'assurer que les données privées des clients ne sont pas envoyées au mauvais client.

Plusieurs personnes ont également cité des problèmes avec le service Falcon LogScale de CrowdStrike, qui découvre les problèmes de sécurité et de fiabilité dans les systèmes d'un client. L'une d'entre elles a rappelé au moins deux cas où de mauvaises mises à jour de LogScale ont brièvement désactivé ses alertes en temps réel qui avertissent les clients d'activités potentiellement malveillantes, ce que certains des ingénieurs qui ont élaboré les mises à jour ont reproché lors de réunions internes tenues dans des délais serrés. CrowdStrike a nié ces cas, affirmant qu'elle n'a pas connaissance d'une « mauvaise mise à jour » où les alertes ont été perdues et n'ont pas été reçues par les clients. L'entreprise a également déclaré que le service n'était pas conçu pour alerter les clients de violations potentielles de données en « temps réel ». Il est plutôt conçu pour « éliminer rapidement les menaces grâce à une détection en temps réel et à une recherche ultra-rapide », selon le site Web de l'entreprise.

Les ingénieurs n'ont disposé que de deux mois pour effectuer un travail qui aurait normalement pris un an

Un autre ex-employé a déclaré que CrowdStrike avait précipité le lancement en 2022 de son service de chasse aux menaces sur le cloud, appelé Falcon OverWatch Cloud Threat Hunting, dans le cadre duquel les professionnels de la sécurité de l'entreprise recherchent des comportements suspects qui pourraient indiquer une violation sur les installations cloud des clients, telles qu'Amazon Web Services. Les ingénieurs et les chasseurs de menaces n'ont disposé que de deux mois pour effectuer un travail qui aurait normalement pris un an, selon un ancien cadre supérieur qui a travaillé sur le projet. Lorsque le service a été lancé, il ne disposait pas des outils internes utilisés par les chasseurs de menaces pour surveiller de près les systèmes en nuage des clients ; les employés ont fini par répondre aux alertes des systèmes de sécurité existants au moins jusqu'à l'été dernier, soit environ une année entière après le lancement du service.

L'ancien cadre supérieur a déclaré que CrowdStrike a également utilisé du personnel qui avait été formé pour surveiller les systèmes informatiques des clients - comme les ordinateurs portables et les ordinateurs de bureau - et leur a demandé de rechercher des menaces dans les installations cloud sans exiger de nouvelle formation.

« AWS est une bête, et il faut un personnel très spécial pour pouvoir le faire », a-t-il déclaré. CrowdStrike « a pris des gens qui étaient comme des flics, cherchant des menaces au sol toute la journée, et leur a demandé de piloter un avion et de chercher des menaces dans le ciel ».

CrowdStrike a confirmé qu'il avait utilisé des ingénieurs existants au lieu d'embaucher une nouvelle équipe de « chasseurs de menaces dans le cloud ». Il s'agissait d'un nouveau service, a expliqué l'entreprise, « il n'y avait pas de “chasseurs de menaces dans le cloud” expérimentés, et il n'aurait pas été possible d'embaucher des personnes ayant une formation spécifique dans un domaine qui n'existait pas avant que CrowdStrike ne le développe ». Et pourtant, le SANS Institute donne des cours et des conférences sur la sécurité du cloud depuis au moins 2020, soit plus de deux ans avant le lancement du service de CrowdStrike.

« Toute déclaration impliquant que les employés de CrowdStrike n'ont pas été formés pour faire leur travail est fausse », a déclaré CrowdStrike. L'entreprise a confirmé qu'elle n'imposait pas de nouvelles formations, mais qu'elle les offrait à tous ceux qui le souhaitaient. « Les employés suivent régulièrement des formations adaptées à leur poste ».

L’importance du contrôle qualité

L’affaire CrowdStrike souligne l’importance cruciale du contrôle qualité dans le développement de logiciels, en particulier dans le domaine de la cybersécurité. Les entreprises doivent trouver un équilibre entre rapidité et qualité pour éviter des catastrophes similaires à l’avenir. Le contrôle qualité ne doit pas être perçu comme un obstacle à l’innovation, mais comme une garantie de la fiabilité et de la sécurité des produits.

Sources : Semafor, CrowdStrike

Et vous ?

Quels mécanismes de contrôle qualité pensez-vous que les entreprises de cybersécurité devraient mettre en place pour éviter des incidents similaires ?
Comment les entreprises peuvent-elles équilibrer la pression pour innover rapidement avec la nécessité de garantir des produits de haute qualité ?
Selon vous, quelles sont les responsabilités des entreprises de cybersécurité lorsqu’elles découvrent des failles dans leurs produits ?
Comment les clients peuvent-ils se protéger contre les risques potentiels liés aux mises à jour logicielles défectueuses ?
Pensez-vous que les régulateurs devraient imposer des normes de contrôle qualité plus strictes aux entreprises de cybersécurité ? Pourquoi ou pourquoi pas ?
Quels sont les impacts à long terme sur la réputation d’une entreprise après une panne informatique majeure ?
Comment les entreprises peuvent-elles regagner la confiance des clients après un incident de cette ampleur ?

[Stéphane le calme]

Panne majeure de CrowdStrike : une organisation sur dix envisage de changer de fournisseur de sécurité,
selon une étude récente de l’Office fédéral allemand de la sécurité des technologies de l’information

En juillet dernier, une panne majeure a frappé les clients de CrowdStrike, un spécialiste en cybersécurité. Des écrans bleus de la mort ont perturbé le fonctionnement normal de plus de 8,5 millions de machines Windows, affichant le message : “Recovery: It looks like Windows didn’t load correctly.” Des pannes ont été signalées dans le monde entier, touchant de nombreux secteurs d’activité. Cet incident a eu des répercussions significatives, notamment en Allemagne, où une étude récente de l’Office fédéral de la sécurité des technologies de l’information (BSI) révèle que 1 organisation sur 10 envisage de changer de fournisseur de sécurité.

Selon une étude de l'Office fédéral allemand de la sécurité de l'information (BSI), la panne a causé des interruptions de service pour de nombreuses entreprises, avec près de 48 % des organisations touchées ayant dû suspendre temporairement leurs opérations. Cette interruption a duré en moyenne dix heures, affectant non seulement la continuité des affaires mais aussi la collaboration avec les clients. Environ 40 % des entreprises ont signalé des dommages dans leurs relations avec les clients

Face à cette situation, 4 % des organisations ont déjà abandonné leurs solutions actuelles, et 6 % supplémentaires prévoient de le faire prochainement. Il n'a pas été précisé si cela concernait spécifiquement le produit Falcon de CrowdStrike ou s'il s'agissait d'une réaction spontanée à l'égard des fournisseurs de solutions de sécurité en général. De plus, 20 % des entreprises envisagent de revoir leurs critères de sélection pour les fournisseurs de sécurité

Ce fiasco ne semble toutefois pas avoir beaucoup nui à l'entreprise, du moins pas pour l'instant.

Ces conclusions sont tirées d'un rapport publié par la BSI et portant sur l'expérience de 311 organisations allemandes touchées par la crise. Parmi les organisations touchées d'une manière ou d'une autre, la plupart ont déclaré avoir entendu parler des problèmes par les médias sociaux (23 %) plutôt que par CrowdStrike lui-même (22 %).

Outre les conséquences évidentes sur la continuité des activités, cette situation a également entraîné divers problèmes avec les clients

40 % des répondants ont déclaré que leur collaboration avec les clients avait été compromise parce qu'ils ne pouvaient pas fournir leurs services habituels, tandis que plus d'une organisation sur dix n'a même pas voulu aborder le sujet.

La majorité des personnes interrogées (66 %) ont déclaré qu'elles allaient améliorer leurs plans de réponse aux incidents à la lumière de ce qui s'est passé, ou qu'elles l'avaient déjà fait, bien qu'elles considèrent en grande partie que de tels événements sont inévitables.

« Il n'y aura jamais de protection à 100 % contre les incidents de sécurité informatique à l'avenir. Néanmoins, notre objectif est de nous rapprocher le plus possible des 100 % », a déclaré Claudia Plattner, présidente de la BSI.

« Pour y parvenir, la BSI travaille en étroite collaboration avec CrowdStrike, Microsoft et d'autres fabricants de logiciels afin d'améliorer la qualité de leurs logiciels et de leurs mises à jour. En outre, les entreprises doivent et peuvent accroître leur résilience grâce à des mesures préventives, ce qui les rend plus résistantes aux incidents de sécurité informatique ».

« Il est important de donner aux utilisateurs le plus grand contrôle possible sur les processus de mise à jour. En outre, les résultats de l'enquête montrent également que des concepts d'urgence informatique bien rodés doivent constituer un élément important de toute préparation à une crise. »

Application des mises à jour

L'une des curiosités du rapport est l'accent mis sur l'attitude des clients de CrowdStrike à l'égard de l'application des mises à jour de sécurité après une panne.

Plus de la moitié d'entre eux ont déclaré vouloir installer les mises à jour plus régulièrement, bien que la vitesse à laquelle les mises à jour sont appliquées ne soit pas un facteur pertinent dans ce cas.

CrowdStrike a diffusé la mise à jour de son capteur Falcon défectueux via une mise à jour automatique sur le cloud. Même si la mise à jour avait été appliquée manuellement, le fait de le faire rapidement (avant de voir comment elle affectait les autres utilisateurs) aurait été pire pour l'organisation, et non meilleur.

Quoi qu'il en soit, compte tenu du nombre d'avertissements urgents concernant les correctifs que la communauté de l'infosécurité diffuse chaque semaine, il s'agit probablement d'un point positif net, même s'il est légèrement malavisé.

Une enquête qui n'est pas représentative de l'ensemble du pays

La BSI s'est empressé de préciser que cette enquête n'est pas représentative de l'ensemble du pays, compte tenu de la taille de l'échantillon, « mais elle fournit une image significative de l'état d'esprit des entreprises concernées en Allemagne » :

L'enquête n'est pas représentative, mais elle donne une image significative de l'opinion. 62 % des entreprises concernées à l'époque ont subi des conséquences directes, comme la panne de leurs propres ordinateurs ou serveurs. 48 % ont ressenti des conséquences indirectes, par exemple parce que des fournisseurs, des clients ou des partenaires commerciaux ont été touchés. Près de la moitié des entreprises directement ou indirectement touchées (48 %) ont dû interrompre temporairement leur activité - en moyenne pendant 10 heures. Rétrospectivement, près des trois quarts (73 %) qualifient les problèmes et les perturbations qui en ont résulté de graves pour l'économie allemande. En même temps, deux tiers (64 %) sont sûrs, en ce qui concerne leur propre entreprise, qu'un tel incident ne peut pas être complètement évité.

Ralf Wintergerst, président de Bitkom, qui a mené l'étude, a déclaré :

« Les pannes informatiques et leurs conséquences démontrent l'importance exceptionnelle des technologies numériques pour notre économie et notre société. Cette fois-ci, l'incident s'est terminé de manière relativement inoffensive, notamment grâce aux efforts conjoints des entreprises et des autorités, avec le soutien de CrowdStrike et de Microsoft. Cependant, elle doit nous servir d'avertissement.

« Il est urgent d'améliorer encore notre cybersécurité et d'exiger des entreprises et des autorités qu'elles disposent des compétences internes correspondantes. Ce n'est qu'ainsi que nous pourrons mieux nous protéger contre les pannes involontaires ou les attaques ciblées et devenir plus souverains sur le plan numérique ».

D'anciens employés de CrowdStrike révèlent que « le contrôle qualité ne faisait pas partie de notre processus »

Les ingénieurs logiciels de l'entreprise de cybersécurité CrowdStrike se sont plaints de délais trop courts, de charges de travail excessives et de problèmes techniques croissants auprès de leurs supérieurs pendant plus d'un an, avant qu'une panne catastrophique de son logiciel ne paralyse les compagnies aériennes et ne mette hors service les services bancaires et autres pendant des heures.

« La vitesse était la chose la plus importante », a déclaré Jeff Gardner, concepteur principal de l'expérience utilisateur chez CrowdStrike, qui a déclaré avoir été licencié en janvier 2023 après avoir travaillé deux ans dans l'entreprise. « Le contrôle de la qualité ne faisait pas vraiment partie de notre processus ou de nos conversations ».

Les problèmes ont été soulevés lors de réunions, dans des courriels et lors d'entretiens de fin d'emploi, ont expliqué d'anciens employés aux médias. 24 anciens ingénieurs en informatique, de cadres et d'autres membres du personnel ont décrit un lieu de travail où les dirigeants privilégiaient la rapidité au détriment de la qualité, où les travailleurs n'étaient pas toujours suffisamment formés et où les erreurs de codage et d'autres tâches se multipliaient. Un ancien cadre supérieur a déclaré avoir assisté à de nombreuses réunions au cours desquelles le personnel avertissait les dirigeants de l'entreprise que CrowdStrike « laisserait tomber » ses clients en mettant sur le marché des produits qui ne pourraient pas être pris en charge.

Sur les 24 anciens employés qui ont parlé à Semafor, 10 ont déclaré avoir été licenciés ou renvoyés et 14 ont dit être partis de leur propre chef. L'un d'entre eux travaillait encore dans l'entreprise cet été. Trois anciens employés ne sont pas d'accord avec les récits des autres. Joey Victorino, qui a passé un an dans l'entreprise avant de la quitter en 2023, a déclaré que CrowdStrike était « méticuleux dans tout ce qu'il faisait ».

Face à ces accusations, CrowdStrike a réagi en déclarant que les informations provenaient « d'anciens employés mécontents, dont certains ont été licenciés pour des violations évidentes de la politique de l'entreprise ». L'entreprise a déclaré : « CrowdStrike s'engage à garantir la résilience de ses produits par des tests rigoureux et un contrôle de qualité, et rejette catégoriquement toute affirmation contraire ».

Cependant, la gravité de la panne de juillet a mis en lumière des failles importantes dans leurs processus internes. L’entreprise a depuis annoncé des mesures pour renforcer ses protocoles de contrôle qualité, mais la confiance des clients reste ébranlée.

Notons que, suite à cette panne, CrowdStrike a déclaré : « En raison d'un bogue dans le validateur de contenu, l'une des deux instances de modèle a été validée alors qu'elle contenait des données problématiques », faisant référence à la défaillance d'un mécanisme interne de contrôle de la qualité qui a permis aux données problématiques de passer à travers les propres contrôles de sécurité de l'entreprise.

Les anciens employés qui se sont entretenus avec Semafor ont décrit une série de problèmes qui ont précédé de longue date la panne de l'entreprise. Il n'a pas été établi que ces problèmes étaient liés à l'incident de juillet.

Source : Office fédéral allemand de la sécurité de l'information

Et vous ?

Trouvez-vous cette étude crédible ou pertinente ?
Avez-vous déjà été confronté à une panne de sécurité similaire dans votre entreprise ? Comment avez-vous géré la situation ?
Pensez-vous que les entreprises devraient diversifier leurs fournisseurs de sécurité pour éviter ce type de problème ? Pourquoi ou pourquoi pas ?
Quels critères utilisez-vous pour choisir un fournisseur de sécurité informatique ?
Comment évaluez-vous la résilience de votre entreprise face aux incidents de sécurité ?
Quelles mesures préventives recommanderiez-vous pour minimiser l’impact des pannes de sécurité ?
Selon vous, quelles sont les responsabilités des fournisseurs de sécurité en cas de panne majeure ?
Comment pensez-vous que les incidents de sécurité affectent la confiance des clients envers une entreprise ?
Quels sont les avantages et les inconvénients de changer de fournisseur de sécurité après un incident ?
Comment les entreprises peuvent-elles améliorer leurs plans de réponse aux incidents de sécurité ?
Voyez-vous des tendances émergentes dans le domaine de la cybersécurité qui pourraient aider à prévenir de telles pannes à l’avenir ?

[Mathis Lucas]

CrowdStrike révise ses procédures de test et de déploiement de mises à jour pour éviter que ses logiciels provoquent des pannes
après la panne qui a mis hors service 8,5 millions de machines Windows

CrowdStrike annonce qu'il poursuivit ses efforts visant à éviter que ses équipes déploient à nouveau un logiciel défectueux et paralysent l'économie mondiale. La société de cybersécurité affirme avoir réorganisé ses procédures de test, de validation et de déploiement de mises à jour logicielles afin d'éviter que ne se reproduise la panne du 19 juillet 2024 qui a provoqué une perturbation généralisée des systèmes Windows dans le monde entier. L'absence de contrôle qualité chez CrowdStrike a occasionné un désastre qui a mis hors service 8,5 millions de systèmes Windows et a causé des dommages financiers évalués à environ 10 milliards de dollars.

CrowdStrike apporte des changements dans ses procédures de tests et déploiement

Le vice-président sénior de CrowdStrike, Adam Meyers, a été appelé à témoigner devant le Congrès Des États-Unis, plus précisément devant la sous-commission de la Chambre des représentants sur la cybersécurité. Lors de son témoignage, Adam Meyers a déclaré que CrowdStrike était sur la bonne voie pour réajuster le fonctionnement de ses équipes. Il a notamment présenté un nouvel ensemble de protocoles comprenant des mises à jour logicielles soigneusement contrôlées, une meilleure validation des entrées de code et de nouvelles procédures de test pour couvrir un plus large éventail de scénarios problématiques.

Adam Meyers a déclaré que CrowdStrike a introduit de nouveaux contrôles de validation pour s'assurer que le nombre d'entrées attendues par le capteur et ses règles prédéfinies correspond au même nombre de configurations de détection des menaces fournies. « Cette mesure est conçue pour éviter que des erreurs similaires ne se produisent à l'avenir », a-t-il souligné. Lors de son audition, Adam Meyers a présenté aux législateurs les améliorations suivantes :

Depuis le 19 juillet 2024, nous avons apporté de nombreuses améliorations à nos processus de déploiement afin de les rendre plus robustes et d'éviter qu'un tel incident ne se reproduise, sans pour autant compromettre notre capacité à protéger nos clients contre des menaces cybernétiques en constante évolution :

1. Validation : nous avons introduit de nouveaux contrôles de validation pour nous assurer que le nombre d'entrées attendues par le capteur et ses règles prédéfinies correspond au même nombre de configurations de détection des menaces fournies. Cette mesure a pour but d'éviter que des disparités similaires ne se produisent à l'avenir ;

2. Tests : nous avons amélioré les procédures de test existantes pour couvrir un plus large éventail de scénarios. Il s'agit notamment de tester tous les champs de saisie dans diverses conditions afin de détecter les failles potentielles avant que les informations relatives à la configuration de détection des menaces ne soient envoyées rapidement au capteur.

3. Contrôle par le client : nous avons fourni aux clients des contrôles supplémentaires sur le déploiement des mises à jour de configuration sur leurs systèmes.

4. Déploiements : nos informations sur la configuration de la détection des menaces, connues sous le nom de « Rapid Response Content », sont désormais diffusées progressivement dans le cadre d'anneaux de déploiement de plus en plus nombreux. Cela nous permet de surveiller les problèmes dans un environnement contrôlé et d'annuler de manière proactive les changements si des problèmes sont détectés avant qu'ils n'affectent une population plus large.

5. Sauvegardes : nous avons ajouté au système des contrôles d'exécution supplémentaires, conçus pour garantir que les données fournies correspondent aux attentes du système avant tout traitement. Nous nous efforçons également de renforcer nos garanties en matière de validation et d'assurance qualité, notamment en mettant en œuvre des contrôles plus granulaires.

6. Examens par des tiers : nous avons engagé deux fournisseurs indépendants de sécurité logicielle pour effectuer des examens supplémentaires du code des capteurs Falcon et du contrôle de qualité de bout en bout, ainsi que des processus de validation.

CrowdStrike n'est pas la seule entreprise qui tente d'apporter des améliorations dans ses procédures. La panne du 19 juillet 2024 a également conduit Microsoft à envisager de revoir la manière dont les produits antivirus interagissent avec le noyau Windows. Par le passé, Microsoft avait échoué à réformer l'accès au noyau des fournisseurs de logiciels antivirus, mais après la panne, des experts ont appelé Microsoft à reconsidérer la question le plus rapidement possible.

Ainsi, l'Office fédéral de la sécurité de l'information (BSI) veut que Microsoft prenne des mesures appropriées pour réduire le risque d'une panne technique mondiale à l'avenir. Le régulateur vise à limiter l'accès des entreprises tierces au noyau Windows, un élément clé du système d'exploitation de Microsoft. Il souhaite que des changements fondamentaux soient apportés à la manière dont les entreprises de cybersécurité conçoivent leurs outils afin de limiter cet accès.

CrowdStrike assume l'entière responsabilité de la panne mondiale du 19 juillet 2024

Le 19 juillet 2024, le monde a été brutalement réveillé. CrowdStrike, une société américaine de cybersécurité, a diffusé une mise à jour défectueuse de son logiciel Falcon Sensor, provoquant le plantage d'environ 8,5 millions de systèmes Microsoft Windows. Il ne s'agissait pas d'un simple incident, mais de la plus grande panne de l'histoire des technologies de l'information. Les avions étaient cloués au sol, les banques gelées et les hôpitaux plongés dans le chaos. Le prix à payer ? Les analystes estiment les dommages financiers à au moins 10 milliards de dollars. CrowdStrike pourrait également être poursuivi en justice.

Adam Meyers, qui chargé des opérations de lutte contre les adversaires, a été entendu le 24 septembre 2024 par les législateurs de la sous-commission de la Chambre des représentants sur la cybersécurité. Lors de son audition, il a réitéré les excuses de son entreprise aujourd'hui lors d'une audition de la sous-commission de la Chambre des représentants et a ajouté que l'entreprise avait lancé une mise à jour de la configuration de son système logiciel Falcon Sensor.

Adam Meyers a déclaré : « nous sommes profondément désolés de ce qui s'est passé et nous sommes déterminés à éviter que cela ne se reproduise. Nous avons entrepris un examen complet de nos systèmes et commencé à mettre en œuvre des plans visant à renforcer nos procédures de mise à jour des contenus, afin de sortir renforcés de cette expérience ». Ils essaient toujours de regagner la confiance des clients après la panne mondiale du 19 juillet 2024.

Au cours de la séance d'interrogatoire, qui était dirigée par le représentant républicain Mark Green du Tennessee, Adam Meyers a noté que « CrowdStrike assume l'entière responsabilité » de la panne mondiale du 19 juillet 2024. Il a assuré que les problèmes n'étaient pas le résultat d'une cyberattaque et n'ont pas été induits par l'IA. Dans son rapport final sur les causes de l'incident, la société a attribué la panne à un bogue qui n'avait pas été détecté lors des tests.

« L'incident du 19 juillet est le résultat d'une confluence de facteurs qui ont finalement conduit le capteur Falcon à tenter de suivre une configuration de détection de menace pour laquelle il n'y avait pas de définition correspondante de ce qu'il fallait faire », a déclaré Adam Meyers. Après l'incident informatique, CrowdStrike a perdu environ 60 millions de dollars en ventes de contrats, l'incident ayant effrayé les clients qui cherchaient à conclure des contrats.

Lors de l'audition d'Adam Meyers, le représentant républicain Mark Green a déclaré : « des erreurs peuvent se produire. Cependant, nous ne pouvons pas permettre qu'une erreur de cette ampleur se reproduise. Une panne informatique mondiale qui touche tous les secteurs de l'économie est une catastrophe que l'on s'attendrait à voir dans un film. Nous nous attendons à ce qu'elle soit soigneusement exécutée par un acteur étatique malveillant et sophistiqué ».

CrowdStrike très critiqué pour ses pratiques laxistes en matière de cybersécurité

Le PDG de Delta a qualifié Microsoft de « plateforme probablement la plus fragile de l'écosystème informatique ». Burt Podbere a déclaré : « nous ne savons pas comment tout cela va se terminer. Tout ce que nous faisons et essayons de faire, c'est d'éloigner la discussion juridique de notre interaction avec les clients et de la déplacer vers la discussion commerciale. Et avec le temps, cela devient plus facile, car nous nous éloignons de plus en plus du soleil, n'est-ce pas ? C'est ainsi que nous voyons les choses ». Malheureusement pour Burt Podbere, les retombées de la panne ne sont pas près de s'estomper.

Les législateurs et les régulateurs américains veulent comprendre pourquoi la panne s'est produite. Un vice-président de la société a été appelé à témoigner devant la commission de la sécurité intérieure de la Chambre des représentants des États-Unis dans le courant du mois. Les actionnaires de CrowdStrike sont également mécontents et ont poursuivi le fournisseur de services de cybersécurité « pour sa technologie matériellement fausse et trompeuse ».

Au début de l'année, PodBurt Podbere a indiqué lors d'une conférence téléphonique avec des analystes que les accords avec les clients de l'entreprise contenaient des limitations de responsabilité et que l'entreprise détenait des polices d'assurance et maintenait des réserves de liquidités pour atténuer les effets d'éventuelles réclamations juridiques. Cependant, les investisseurs ont continué à faire baisser le cours de l'action de CrowdStrike en réaction à la panne.

Selon l'Office fédéral allemand de la sécurité de l'information, la panne a causé des interruptions de service pour de nombreuses entreprises, près de 48 % des organisations touchées ayant dû suspendre temporairement leurs opérations. L'interruption a duré en moyenne dix heures, affectant non seulement la continuité des affaires, mais aussi la collaboration avec les clients. Environ 40 % des entreprises ont signalé des dommages dans leurs relations avec les clients.

Face à cette situation, 4 % des organisations ont déjà abandonné leurs solutions de sécurité actuelles, et 6 % supplémentaires prévoient de le faire prochainement. Il n'a pas été précisé si cela concernait spécifiquement le produit Falcon de CrowdStrike ou s'il s'agissait d'une réaction spontanée à l'égard des fournisseurs de solutions de sécurité en général. De plus, 20 % des entreprises envisagent de revoir leurs critères de sélection pour les fournisseurs de sécurité.

Source : témoignage d'Adam Meyers devant la Chambre des représentants des États-Unis (PDF)

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des changements apportés par CrowdStrike dans ces procédures de tests, de validation et de déploiement ?
Cela permettra-t-il à CrowdStrike d'avoir un contrôle qualité plus fiable qu'auparavant ? Doit-il encore apporter des ajustements ?

Voir aussi

L'agence allemande de cybersécurité demande des changements dans les produits de Microsoft et de CrowdStrike après la panne technique, elle vise à limiter l'accès des entreprises tierces au noyau Windows

CrowdStrike accuse un bogue dans le logiciel de test d'avoir mis hors service 8,5 millions de machines Windows, car il n'a pas validé correctement la mise à jour du contenu qui a été diffusée sur les machines

Panne majeure de CrowdStrike : une organisation sur dix envisage de changer de fournisseur de sécurité, selon une étude récente de l'Office fédéral allemand de la sécurité des technologies de l'information