Une récente défaillance chez CrowdStrike a eu des répercussions majeures sur divers secteurs, entraînant des interruptions importantes et des pertes financières considérables. L’entreprise a maintenant clarifié les raisons de cet incident ainsi que ses réponses pour éviter que cela ne se reproduise. L’analyse des conséquences juridiques s’avère également révélatrice.
La cause du désordre provoqué par CrowdStrike a été révélée par l’entreprise, ainsi que les mesures qu’elle a prises pour garantir qu’une telle situation ne puisse plus se reproduire.
L’entreprise est confrontée à un déluge de poursuites judiciaires concernant les pertes financières estimées à 5 milliards de dollars subies par ses clients, mais les petits caractères de son contrat peuvent la protéger…
Un bref résumé de la panne
Une énorme erreur commise le mois dernier par la société de cybersécurité CrowdStrike a provoqué une panne informatique mondiale de grande ampleur, affectant notamment les compagnies aériennes, les banques, les services de santé et bien d’autres encore, y compris certains centres 911.
Les compagnies aériennes ont été contraintes d’interrompre leurs vols, les diffuseurs ont été suspendus, les détaillants n’ont pas pu accepter les paiements, les hôpitaux n’ont pas pu prendre de rendez-vous, et bien plus encore.
- Une mise à jour défectueuse a été émise par la société
- Parce que CrowdStrike a accès au noyau de Windows, les machines ont planté
- Les machines ne pouvaient pas être redémarrées sans une mise à jour appliquée manuellement
- L’ampleur du désastre est due au fait que la plupart des grandes entreprises utilisent CrowdStrike
Cause de CrowdStrike
Ce qui n’était pas connu jusqu’à hier était la nature exacte de la mise à jour défectueuse et la façon dont elle a été publiée à l’échelle mondiale sans que le problème ne soit détecté lors des tests. CrowdStrike a maintenant expliqué les deux.
En bref, l’entreprise souhaitait faciliter la diffusion de nouvelles mises à jour de menaces sur les PC clients. Pour ce faire, elle a utilisé une nouvelle approche qui permettait une configuration dynamique de la détection des menaces. Les PC protégés surveillaient les mises à jour sur la base d’un modèle comprenant 21 éléments de données.
Le crash s’est produit lorsque CrowdStrike a émis une instance de modèle qui ne contenait que 20 éléments de données, soit un de moins que prévu.
Par conséquent, la tentative d’accès à la 21e valeur a produit une lecture de mémoire hors limites au-delà de la fin du tableau de données d’entrée et a entraîné un blocage du système.
Cela nous amène à la deuxième question : comment se fait-il que ce problème n’ait pas été détecté lors des tests ? En bref, parce que les tests n’ont pas été effectués avec des données réelles.
La sélection des données dans le fichier de canal a été effectuée manuellement et incluait un critère de correspondance générique regex dans le 21e champ pour toutes les instances de modèle, ce qui signifie que l’exécution de ces tests pendant les versions de développement et de publication n’a pas exposé la lecture hors limites latente dans l’interpréteur de contenu lorsqu’il était fourni avec 20 plutôt que 21 entrées.
CrowdStrike a annoncé avoir apporté des modifications pour garantir que les instances correspondent aux modèles et a ajouté des limites d’exécution pour garantir que même en cas de non-concordance, cela ne provoquera pas de plantage. Enfin, à l’avenir, il effectuera un déploiement par étapes, de sorte que tout problème qui surviendra n’affectera qu’un nombre limité de PC.
Les petits caractères peuvent le protéger des poursuites judiciaires
CrowdStrike fait également face à une série de poursuites judiciaires de la part de grandes entreprises, de petites entreprises et même de ses propres actionnaires. Wired rapporte :
Le 29 juillet, Delta a informé CrowdStrike et Microsoft de son intention de les poursuivre en justice pour les 500 millions de dollars qu’elle prétend avoir perdus à cause de la panne. Un recours collectif a été intenté par le cabinet d’avocats Labaton Keller Sucharow au nom des actionnaires de CrowdStrike, affirmant qu’ils ont été induits en erreur sur les pratiques de test de logiciels de l’entreprise. Un autre cabinet d’avocats, Gibbs Law Group, a annoncé qu’il envisageait d’intenter un recours collectif au nom des petites entreprises touchées par la panne.
Cependant, les conditions générales de CrowdStrike imposent des limites strictes en matière de responsabilité, et Jonathan Cardi, professeur de droit spécialisé dans les cas de responsabilité civile, affirme que nier cela peut s’avérer difficile.
Les personnes qui espèrent récupérer leurs pertes financières devront trouver des moyens créatifs pour présenter leurs arguments contre CrowdStrike, qui est en grande partie protégé par des clauses typiques des contrats de logiciels qui limitent sa responsabilité, explique Cardi. Bien qu’il puisse sembler intuitif que CrowdStrike soit responsable de son erreur, l’entreprise est probablement « plutôt bien protégée » par les clauses en petits caractères, ajoute-t-il.
Photo d’Ivan Vranić sur Unsplash