La question qui revient souvent est de savoir si CrowdStrike sera responsable des dommages subis. Un professionnel de l’informatique a fait le parallle avec la situation d’OVH en France pour conclure par la positive, en tout cas en France.
Les dtails de lincident
- Origine du problme : La panne a t cause par un dfaut dans le logiciel de test de CrowdStrike. Malgr des donnes problmatiques, une mise jour a t valide et dploye sur des millions dordinateurs Windows. Le rsultat ? Une catastrophe mondiale.
- Raction de CrowdStrike : Face la crise, CrowdStrike a fourni des explications. Lentreprise a annonc quelle dploierait dsormais les mises jour progressivement pour dtecter les problmes avant quils ne se propagent grande chelle. Cependant, cette rponse est-elle suffisante pour attnuer les consquences de lincident ?
- Responsabilit et prcdent OVH : Malgr les pertes subies par les entreprises touches, CrowdStrike a t considre comme minimement responsable des dommages causs. Cela soulve des questions importantes sur la responsabilit des entreprises de cyberscurit lorsquune mise jour provoque une panne mondiale. Le prcdent OVH, o lhbergeur franais a t tenu partiellement responsable dun incendie majeur dans son datacenter, pourrait-il influencer la dcision concernant CrowdStrike ? Un professionnel rpond par l’affirmative.
Les arguments avancs
OVH est un fournisseur franais de centres de donnes et de cloud, prtendument le plus grand fournisseur d’hbergement en Europe. Il est surtout connu pour fournir des serveurs physiques et des machines virtuelles, ainsi qu’une varit de services en nuage. Le 10 mars 2021, un incendie s’est dclar dans les locaux de la SGB. Il a brl deux centres de donnes SGB1 SGB2 avec peu ou pas de rcupration et a rendu deux autres centres de donnes SGB3 SGB4 inoprants pendant un certain temps.
Ce qui est intressant, c’est la suite des vnements. Plusieurs sites ont t dtruits, entranant une perte irrmdiable de services et de donnes pour leurs clients. Plusieurs clients les ont poursuivis en justice pour obtenir des dommages et intrts et ils ont gagn.
J’ai trouv qu’il y avait quelques points intressants soulevs et discuts par la cour :
- Il y a eu une perte totale de service pendant et aprs l’vnement.
- Il y a eu une perte totale et irrmdiable de donnes aprs l’vnement.
- OVH fournissait un service de sauvegarde pour ses machines et ses services.
- Perte totale et irrvocable des sauvegardes aprs l’vnement.
- Il y avait plusieurs centres de donnes dans des endroits proches, comme c’est la pratique courante pour assurer une certaine rsilience : SGB1 SGB2 SGB3 SGB4
- Plusieurs centres de donnes ont brl en mme temps.
- Les multiples centres de donnes se trouvaient en fait au mme endroit, quelques pas l’un de l’autre. Cette situation a t juge inattendue et non raisonnable par le tribunal.
- Les sauvegardes taient stockes dans le mme centre de donnes ou dans l’autre centre de donnes qui pouvait se trouver au mme endroit. Cela n’a pas t considr comme raisonnable par le tribunal.
- OVH a tent de faire valoir que les clients auraient d suivre la bonne pratique consistant disposer de plusieurs sauvegardes dans des lieux distincts. Le tribunal a reconnu qu’il s’agissait d’une bonne pratique.
- Le tribunal a dtermin qu’OVH tait le fournisseur de sauvegardes et qu’il lui incombait de fournir des sauvegardes d’un niveau raisonnable et de respecter les bonnes pratiques. Cela inclut le stockage d’une copie de la sauvegarde ailleurs, comme le veut la bonne pratique.
- Le tribunal a jug que le service de sauvegarde d’OVH n’tait pas exploit selon des normes raisonnables et qu’il n’avait pas atteint son objectif.
Je trouve cela intressant pour les techniciens, la cour jugera votre technologie et ce qui peut vraiment tre considr comme les meilleures pratiques. C’est comme l’ultime examen du code.
Pour rsumer comment les choses fonctionnent : prjudice caus + intention de causer un prjudice ou ngligence = possibilit de dommages-intrts.
Un prjudice important a t caus aux clients, car des entreprises entires ont t fermes, souvent pour une dure indtermine, avec une perte totale de donnes et sans possibilit de rcupration. Il existe de nombreuses occurrences de ngligence, d’erreurs ou de pratiques douteuses dans la manire dont OVH exploitait le service, ce qui a conduit au problme. Il s’agit d’un dossier solide. De nombreux clients ont ouvert un dossier contre OVH et ont obtenu gain de cause. Il est possible que d’autres dossiers soient encore en cours de traitement.
Cela nous amne CrowdStrike. Les similitudes sont frappantes !
propos de CrowdStrike
CrowdStrike est un logiciel antivirus install sur les ordinateurs. Il est parfois appel EDR (Endpoint Detection and Response) de nos jours. Il est principalement install sur les appareils des grandes entreprises, qui sont tenues de disposer d’une solution de scurit.
CrowdStrike s’excute au dmarrage de l’ordinateur. Il s’intgre profondment dans le systme d’exploitation (Windows ou Linux) au niveau du noyau, pour s’excuter ds que possible et avant que d’autres choses ne dmarrent. Il surveille ce qui s’excute, il peut bloquer et signaler tout ce qu’il juge suspect.
Le 19 juillet 2024, CrowdStrike a publi une mise jour de son logiciel. La mise jour tait bogue et faisait planter tous les ordinateurs sur lesquels elle tait dploye. Des millions d’ordinateurs ont reu simultanment la mise jour travers le monde et ont t rendus non fonctionnels.
Les clients subissent un prjudice important. Des entreprises ont t partiellement ou totalement fermes, pendant des jours ou des semaines. Il y a eu plusieurs cas de ngligence, d’erreurs et de pratiques douteuses dans la manire dont CrowdStrike exploitait le service, ce qui a conduit au problme. Il ne s’agit pas d’un incident isol, puisque des personnes ont signal que la mme chose s’tait produite quelques semaines auparavant, une moindre chelle.
La responsabilit de CrowdStrike devrait donc tre engage et donner lieu d’innombrables demandes de dommages-intrts.
Les points saillants qu’il a utilis pour parvenir cette conclusion
Voici quelques lments qu’il a voqu :
- D’aprs les discussions en ligne, les clients des hpitaux se sont dj plaints de ce problme et ont demand CrowdStrike de permettre un certain contrle sur les mises jour. Un client a indiqu qu’il avait reu un mmo de 50 pages de CrowdStrike disant qu’il refusait de mettre en place quoi que ce soit.
- La mise jour a fait planter tous les ordinateurs sur lesquels elle a t dploye (BSOD).
- Il ne s’agit pas d’un incident isol. La mme chose s’est produite quelques semaines plus tt avec l’agent CrowdStrike sur Linux, dtruisant le systme, et il y a peut-tre eu d’autres incidents auparavant.
- Tous les ordinateurs ont t rendus inoprants par CrowdStrike, incapables de dmarrer.
- Pour les entreprises concernes, cela signifiait que tous leurs employs se retrouvaient avec un ordinateur mort, incapable de faire quoi que ce soit.
- Les utilisateurs ne pouvaient pas accder l’ordinateur pour dposer un ticket ou le dpanner.
- Il s’agissait d’une perte totale de service, sans possibilit de rcupration.
- L’un des moyens de rparer l’ordinateur consistait confier l’ordinateur l’quipe informatique et le rinstaller compltement (rimage).
- Un autre moyen, dcouvert plus tard dans la journe, consistait pour un administrateur accder physiquement l’ordinateur ET essayer de dmarrer en mode sans chec ou en mode de rcupration, puis supprimer le fichier du pilote de CrowdStrike.
- Cette correction ne peut tre effectue qu’avec un accs physique l’ordinateur concern ET par un administrateur disposant d’un mot de passe spcial (ou d’une cl USB contenant le mot de passe) pour dmarrer un ordinateur portable en mode de rcupration.
- Il faudra des semaines aux entreprises concernes pour mettre la main sur chaque appareil, ordinateur portable, ordinateur de bureau et serveur. Il peut s’agir de milliers, voire de centaines de milliers d’appareils.
- Cela prendra plus de temps pour les appareils qui sont enferms ou difficiles d’accs, comme les terminaux d’cran dans un aroport, les appareils mdicaux et les machines dans un hpital, les panneaux d’ascenseurs.
- Il peut tre impossible de restaurer l’appareil s’il est verrouill d’une manire ou d’une autre (blocage physique ou mot de passe de rcupration inconnu).
- Les employs qui ont besoin d’un ordinateur pour travailler ne peuvent pas travailler pendant tout ce temps.
- Il n’est pas possible de fournir un ordinateur de rechange aux utilisateurs concerns, car les ordinateurs de rechange ont galement t touchs par le problme.
Les limites de son raisonnement
Cet avis ne fait pas l’unanimit.
Un autre professionnel souligne que la responsabilit d’OVH a t engage en raison de la perte de donnes et non de l’interruption du service. La perte de donnes est quelque chose d’irrmdiable, de permanent, de dfinitif. Certaines entreprises ont t pratiquement ruines par cet incident parce qu’elles n’avaient plus de donnes pour fonctionner. Pour ne rien arranger, elles ont vendu des sauvegardes hors site dans le centre de donnes situ littralement quelques mtres de l. Une interruption de service, eh bien, a arrive, et c’est gr par des contrats de niveau de service (SLA) que les deux parties acceptent. On ne ruine pas une entreprise (lire : on ne ferme pas une entreprise) pour quelques jours de panne.
Je doute que CrowdStrike soit tenu responsable de beaucoup de choses, du moins de la part des entreprises. Ils ne peuvent pas rembourser les dommages causs, autrement ils seraient pousss fermer boutique. Le secteur des soins de sant est une autre paire de manche, mais je pense qu’il y aura davantage de rglementations pour les entits critiques.
Source : The HFT Guy
Et vous ?
Analyse de l’opinion : Partagez-vous ce point de vue ? CrowdStrike devrait-il / pourrait-il tre tenu pour responsable des dommages subis dans votre pays ? Dans quelle mesure ? Si oui, quelle hauteur (totalement ou partiellement) ?
Responsabilit des entreprises de cyberscurit : Devrions-nous exiger davantage des entreprises comme CrowdStrike lorsquelles introduisent des mises jour ? Comment pouvons-nous quilibrer linnovation avec la scurit ?
Amlioration des processus de test : Comment les entreprises peuvent-elles amliorer leurs processus de test et de validation des mises jour pour viter de tels incidents lavenir ?
Consquences pour les utilisateurs et les entreprises : Quelles sont les consquences relles pour les utilisateurs et les entreprises touchs par une panne informatique mondiale ? Comment pouvons-nous mieux nous prparer de telles situations ?
thique de lintelligence artificielle : Lincident de CrowdStrike soulve galement des questions plus larges sur limpact de lIA sur notre socit. Comment pouvons-nous garantir que les avances technologiques ne nuisent pas aux utilisateurs ?