CrowdStrike annonce qu'il poursuivit ses efforts visant à éviter que ses équipes déploient à nouveau un logiciel défectueux et paralysent l'économie mondiale. La société de cybersécurité affirme avoir réorganisé ses procédures de test, de validation et de déploiement de mises à jour logicielles afin d'éviter que ne se reproduise la panne du 19 juillet 2024 qui a provoqué une perturbation généralisée des systèmes Windows dans le monde entier. L'absence de contrôle qualité chez CrowdStrike a occasionné un désastre qui a mis hors service 8,5 millions de systèmes Windows et a causé des dommages financiers évalués à environ 10 milliards de dollars.CrowdStrike apporte des changements dans ses procédures de tests et déploiement
Le vice-président sénior de CrowdStrike, Adam Meyers, a été appelé à témoigner devant le Congrès Des États-Unis, plus précisément devant la sous-commission de la Chambre des représentants sur la cybersécurité. Lors de son témoignage, Adam Meyers a déclaré que CrowdStrike était sur la bonne voie pour réajuster le fonctionnement de ses équipes. Il a notamment présenté un nouvel ensemble de protocoles comprenant des mises à jour logicielles soigneusement contrôlées, une meilleure validation des entrées de code et de nouvelles procédures de test pour couvrir un plus large éventail de scénarios problématiques.
Adam Meyers a déclaré que CrowdStrike a introduit de nouveaux contrôles de validation pour s'assurer que le nombre d'entrées attendues par le capteur et ses règles prédéfinies correspond au même nombre de configurations de détection des menaces fournies. « Cette mesure est conçue pour éviter que des erreurs similaires ne se produisent à l'avenir », a-t-il souligné. Lors de son audition, Adam Meyers a présenté aux législateurs les améliorations suivantes :
Envoyé par Adam Meyers
Depuis le 19 juillet 2024, nous avons apporté de nombreuses améliorations à nos processus de déploiement afin de les rendre plus robustes et d'éviter qu'un tel incident ne se reproduise, sans pour autant compromettre notre capacité à protéger nos clients contre des menaces cybernétiques en constante évolution :
1. Validation : nous avons introduit de nouveaux contrôles de validation pour nous assurer que le nombre d'entrées attendues par le capteur et ses règles prédéfinies correspond au même nombre de configurations de détection des menaces fournies. Cette mesure a pour but d'éviter que des disparités similaires ne se produisent à l'avenir ;
2. Tests : nous avons amélioré les procédures de test existantes pour couvrir un plus large éventail de scénarios. Il s'agit notamment de tester tous les champs de saisie dans diverses conditions afin de détecter les failles potentielles avant que les informations relatives à la configuration de détection des menaces ne soient envoyées rapidement au capteur.
3. Contrôle par le client : nous avons fourni aux clients des contrôles supplémentaires sur le déploiement des mises à jour de configuration sur leurs systèmes.
4. Déploiements : nos informations sur la configuration de la détection des menaces, connues sous le nom de « Rapid Response Content », sont désormais diffusées progressivement dans le cadre d'anneaux de déploiement de plus en plus nombreux. Cela nous permet de surveiller les problèmes dans un environnement contrôlé et d'annuler de manière proactive les changements si des problèmes sont détectés avant qu'ils n'affectent une population plus large.
5. Sauvegardes : nous avons ajouté au système des contrôles d'exécution supplémentaires, conçus pour garantir que les données fournies correspondent aux attentes du système avant tout traitement. Nous nous efforçons également de renforcer nos garanties en matière de validation et d'assurance qualité, notamment en mettant en œuvre des contrôles plus granulaires.
6. Examens par des tiers : nous avons engagé deux fournisseurs indépendants de sécurité logicielle pour effectuer des examens supplémentaires du code des capteurs Falcon et du contrôle de qualité de bout en bout, ainsi que des processus de validation.
Ainsi, l'Office fédéral de la sécurité de l'information (BSI) veut que Microsoft prenne des mesures appropriées pour réduire le risque d'une panne technique mondiale à l'avenir. Le régulateur vise à limiter l'accès des entreprises tierces au noyau Windows, un élément clé du système d'exploitation de Microsoft. Il souhaite que des changements fondamentaux soient apportés à la manière dont les entreprises de cybersécurité conçoivent leurs outils afin de limiter cet accès.
CrowdStrike assume l'entière responsabilité de la panne mondiale du 19 juillet 2024
Le 19 juillet 2024, le monde a été brutalement réveillé. CrowdStrike, une société américaine de cybersécurité, a diffusé une mise à jour défectueuse de son logiciel Falcon Sensor, provoquant le plantage d'environ 8,5 millions de systèmes Microsoft Windows. Il ne s'agissait pas d'un simple incident, mais de la plus grande panne de l'histoire des technologies de l'information. Les avions étaient cloués au sol, les banques gelées et les hôpitaux plongés dans le chaos. Le prix à payer ? Les analystes estiment les dommages financiers à au moins 10 milliards de dollars. CrowdStrike pourrait également être poursuivi en justice.
Adam Meyers, qui chargé des opérations de lutte contre les adversaires, a été entendu le 24 septembre 2024 par les législateurs de la sous-commission de la Chambre des représentants sur la cybersécurité. Lors de son audition, il a réitéré les excuses de son entreprise aujourd'hui lors d'une audition de la sous-commission de la Chambre des représentants et a ajouté que l'entreprise avait lancé une mise à jour de la configuration de son système logiciel Falcon Sensor.
Adam Meyers a déclaré : « nous sommes profondément désolés de ce qui s'est passé et nous sommes déterminés à éviter que cela ne se reproduise. Nous avons entrepris un examen complet de nos systèmes et commencé à mettre en œuvre des plans visant à renforcer nos procédures de mise à jour des contenus, afin de sortir renforcés de cette expérience ». Ils essaient toujours de regagner la confiance des clients après la panne mondiale du 19 juillet 2024.
Au cours de la séance d'interrogatoire, qui était dirigée par le représentant républicain Mark Green du Tennessee, Adam Meyers a noté que « CrowdStrike assume l'entière responsabilité » de la panne mondiale du 19 juillet 2024. Il a assuré que les problèmes n'étaient pas le résultat d'une cyberattaque et n'ont pas été induits par l'IA. Dans son rapport final sur les causes de l'incident, la société a attribué la panne à un bogue qui n'avait pas été détecté lors des tests.
« L'incident du 19 juillet est le résultat d'une confluence de facteurs qui ont finalement conduit le capteur Falcon à tenter de suivre une configuration de détection de menace pour laquelle il n'y avait pas de définition correspondante de ce qu'il fallait faire », a déclaré Adam Meyers. Après l'incident informatique, CrowdStrike a perdu environ 60 millions de dollars en ventes de contrats, l'incident ayant effrayé les clients qui cherchaient à conclure des contrats.
Lors de l'audition d'Adam Meyers, le représentant républicain Mark Green a déclaré : « des erreurs peuvent se produire. Cependant, nous ne pouvons pas permettre qu'une erreur de cette ampleur se reproduise. Une panne informatique mondiale qui touche tous les secteurs de l'économie est une catastrophe que l'on s'attendrait à voir dans un film. Nous nous attendons à ce qu'elle soit soigneusement exécutée par un acteur étatique malveillant et sophistiqué ».
CrowdStrike très critiqué pour ses pratiques laxistes en matière de cybersécurité
Le PDG de Delta a qualifié Microsoft de « plateforme probablement la plus fragile de l'écosystème informatique ». Burt Podbere a déclaré : « nous ne savons pas comment tout cela va se terminer. Tout ce que nous faisons et essayons de faire, c'est d'éloigner la discussion juridique de notre interaction avec les clients et de la déplacer vers la discussion commerciale. Et avec le temps, cela devient plus facile, car nous nous éloignons de plus en plus du soleil, n'est-ce pas ? C'est ainsi que nous voyons les choses ». Malheureusement pour Burt Podbere, les retombées de la panne ne sont pas près de s'estomper.
Les législateurs et les régulateurs américains veulent comprendre pourquoi la panne s'est produite. Un vice-président de la société a été appelé à témoigner devant la commission de la sécurité intérieure de la Chambre des représentants des États-Unis dans le courant du mois. Les actionnaires de CrowdStrike sont également mécontents et ont poursuivi le fournisseur de services de cybersécurité « pour sa technologie matériellement fausse et trompeuse ».
Au début de l'année, PodBurt Podbere a indiqué lors d'une conférence téléphonique avec des analystes que les accords avec les clients de l'entreprise contenaient des limitations de responsabilité et que l'entreprise détenait des polices d'assurance et maintenait des réserves de liquidités pour atténuer les effets d'éventuelles réclamations juridiques. Cependant, les investisseurs ont continué à faire baisser le cours de l'action de CrowdStrike en réaction à la panne.
Selon l'Office fédéral allemand de la sécurité de l'information, la panne a causé des interruptions de service pour de nombreuses entreprises, près de 48 % des organisations touchées ayant dû suspendre temporairement leurs opérations. L'interruption a duré en moyenne dix heures, affectant non seulement la continuité des affaires, mais aussi la collaboration avec les clients. Environ 40 % des entreprises ont signalé des dommages dans leurs relations avec les clients.
Face à cette situation, 4 % des organisations ont déjà abandonné leurs solutions de sécurité actuelles, et 6 % supplémentaires prévoient de le faire prochainement. Il n'a pas été précisé si cela concernait spécifiquement le produit Falcon de CrowdStrike ou s'il s'agissait d'une réaction spontanée à l'égard des fournisseurs de solutions de sécurité en général. De plus, 20 % des entreprises envisagent de revoir leurs critères de sélection pour les fournisseurs de sécurité.
Source : témoignage d'Adam Meyers devant la Chambre des représentants des États-Unis (PDF)
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous des changements apportés par CrowdStrike dans ces procédures de tests, de validation et de déploiement ? Cela permettra-t-il à CrowdStrike d'avoir un contrôle qualité plus fiable qu'auparavant ? Doit-il encore apporter des ajustements ?Voir aussi
L'agence allemande de cybersécurité demande des changements dans les produits de Microsoft et de CrowdStrike après la panne technique, elle vise à limiter l'accès des entreprises tierces au noyau Windows CrowdStrike accuse un bogue dans le logiciel de test d'avoir mis hors service 8,5 millions de machines Windows, car il n'a pas validé correctement la mise à jour du contenu qui a été diffusée sur les machines Panne majeure de CrowdStrike : une organisation sur dix envisage de changer de fournisseur de sécurité, selon une étude récente de l'Office fédéral allemand de la sécurité des technologies de l'information 
C'est le ba-ba niveau sécurité. C'est bien des bonnes pratiques, mais ça ne résoud pas le problème de fond. L'accès au noyau doit-être "sécurisé", point. Et le meilleur moyen, c'est d'en interdire l'accès. Au minimum, les sociétés ayant besoin de cet accès doivent travailler en "trés" étroite collaboration avec une équipe de Microsoft. Equipe dont ce serait la spécialité et l'unique but.
Et comment savoir si ce "partenaire" a ignoré les SDP ? Une fois une panne découverte ? Parce que compter sur la "transparence et la responsabilité", c'est bien beau, mais ça n'êmpéchera pas une nouvelle catastrophe de se produire. 
