IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

CrowdStrike offre une maigre carte-cadeau de 10 $ pour s'excuser de la panne mondiale dont les dégâts sont évalués à 5,4 Mds $ pour les seules entreprises du Fortune 500,
Une compensation qui suscite un tollé

Le , par Mathis Lucas

17PARTAGES

6  0 
CrowdStrike tente de s'excuser auprès des victimes de la panne informatique mondiale provoquée par sa mise à jour bâclée avec une carte-cadeau de 10 $. Mais l'initiative a été accueillie avec dérision sur les médias sociaux, les victimes ayant trouvé le geste insuffisant, voire humoristique. De plus, certains bénéficiaires ont constaté que leurs cartes-cadeaux ont été annulées et n'étaient plus valables. La panne mondiale du 19 juillet 2024, décrite comme la plus grande panne informatique de l'histoire, a touché environ 8,5 millions d'appareils, pourrait coûter aux seules entreprises du Fortune 500 plus de 5 milliards de dollars en pertes directes.

CrowdStrike : une compensation dérisoire qui suscite tollé et indignation sur la toile

Bien que CrowdStrike ait présenté des excuses officielles, ses efforts pour atténuer la situation sont critiqués, ce qui démontre l'importance d'une réponse sincère et substantielle dans ce type d'incidents. Le géant de la cybersécurité a fait rire les médias sociaux en offrant une maigre carte-cadeau Uber Eats de 10 $ pour apaiser les nerfs des équipes informatiques et des partenaires embourbés dans la panne informatique catastrophique de vendredi dernier. La carte-cadeau indique que CrowdStrike reconnaît "le travail supplémentaire que l'incident du 19 juillet a causé", mais le message semble avoir manqué sa cible.

[tweet]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">lol Crowdstrike crashed millions of computers with a glitch and then sent an apology to partners in the form of a $10 Uber Eats gift card <a href="https://t.co/6ZaYdf1TS6">pic.twitter.com/6ZaYdf1TS6</a></p>&mdash; Sheel Mohnot (@pitdesi) <a href="https://twitter.com/pitdesi/status/1816142541089300536?ref_src=twsrc%5Etfw">July 24, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>[/tweet]

La carte-cadeau ajoute : « pour cela, nous leur adressons nos remerciements et nos excuses les plus sincères pour la gêne occasionnée. Pour exprimer notre gratitude, votre prochaine tasse de café ou votre prochain en-cas de fin de soirée est à notre charge ! ». Mais de nombreux bénéficiaires de la carte-cadeau y voient de l'humour.

Nombre des personnes l'ayant reçu ont partagé une capture d'écran du courriel de CrowdStrike sur les plateformes de médias sociaux tels que X et Reddit. Selon une capture d'écran partagé sur X, au Royaume-Uni, le bon d'achat valait 7,75 livres sterling, soit environ 10 dollars au taux de change actuel.

Le message comprend un code pour la promotion Uber Eats, ou les utilisateurs pouvaient accéder à un code QR. Certains utilisateurs ont indiqué que le message a été signé par Daniel Bernard, directeur commercial de la société. Un critique s'indigne : « c'est bien pire que l'absence de carte-cadeau. C'est une insulte. Une maxime générale : lorsque quelque chose est important, votre réponse doit être plus importante que les plaintes. CrowdStrike dit "nous ne pensons pas que cela ait de l'importance" ».

[tweet]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">Not even enough for a pizza party!</p>&mdash; $0.02timmy (@002timmyNFTs) <a href="https://twitter.com/002timmyNFTs/status/1816156348507123855?ref_src=twsrc%5Etfw">July 24, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>[/tweet]

Un autre a déclaré : « je suppose qu'Uber les a payés pour qu'ils envoient ce message afin de promouvoir Uber Eats. Ils essaient donc de tirer profit de leur échec ». Il est également difficile de savoir la cible réelle des cartes-cadeaux. « Est-ce que CrowdStrike envoie une seule carte-cadeau Uber Eats de 10 $ à "toute une entreprise" qui a vu ses activités disparaître ou est-ce que tous les employés des entreprises concernées reçoivent une carte-cadeau ? », s'est interrogé un utilisateur.

Par ailleurs, mercredi, certaines des personnes qui ont posté au sujet de la carte cadeau ont déclaré que lorsqu'elles ont voulu utiliser l'offre, elles ont reçu un message d'erreur indiquant que le bon avait été annulé. La page d'Uber Eats a affiché un message d'erreur indiquant que "la carte-cadeau a été annulée par la partie émettrice et n'est donc plus valide". Certaines personnes ont cru que la carte-cadeau était un canular de la part des pirates informatiques.

Cependant, un porte-parole de CrowdStrike, Kevin Benacci, a confirmé que l'entreprise a bien envoyé les cartes-cadeaux. « Nous les avons envoyées à nos coéquipiers et partenaires qui ont aidé les clients dans cette situation. Uber a signalé qu'il s'agissait d'une fraude en raison des taux d'utilisation élevés », a déclaré Benacci.

Le coût des dégâts causés par CrowdStrike est évalué à plus de 5 milliards de dollars

Le 19 juillet 2024, CrowdStrike a publié une mise à jour défectueuse qui a mis hors service environ 8,5 millions d'appareils Windows. Cette mise à jour a bloqué les ordinateurs concernés sur le fameux "écran bleu de la mort" (BSOD), un écran d'erreur bleu vif accompagné d'un message qui s'affiche lorsque Windows se bloque ou ne peut pas se charger en raison d'une défaillance logicielle critique. L'évaluation des dégâts liés à l'incident n'est toujours pas terminée à ce jour.


La panne mondiale a entraîné des retards dans les aéroports d'Amsterdam, de Berlin, de Dubaï et de Londres, ainsi qu'aux États-Unis. Elle a également conduit plusieurs hôpitaux à interrompre des opérations chirurgicales et a paralysé d'innombrables entreprises de nombreux secteurs dans le monde entier. Ce qui explique en partie pourquoi la compensation offerte par CrowdStrike a suscité un tel tollé et est largement considérée comme du mépris envers les victimes.

Les assureurs ont commencé à calculer les dommages financiers causés par la panne dévastatrice du logiciel CrowdStrike et le tableau n'est pas beau à voir. D'après une analyse de Parametrix, une société de surveillance et d'assurance du cloud computing, ce qui a été décrit comme la plus grande panne informatique de l'histoire coûtera aux seules entreprises du Fortune 500 plus de 5 milliards de dollars en pertes directes. En d'autres termes, CrowdStrike risque gros.

L'analyse de Parametrix a été publiée mercredi. Cette évaluation préliminaire indique que les secteurs de la santé et de la banque ont été les plus durement touchés par la mésaventure de CrowdStrike, avec des pertes estimées à 1,94 milliard de dollars et 1,15 milliard de dollars, respectivement. Les compagnies aériennes du classement Fortune 500, telles qu'American et United, ont été les plus touchées, avec une perte collective de 860 millions de dollars.

Selon Parametrix, au total, la panne pourrait avoir coûté aux entreprises Fortune 500 jusqu'à 5,4 milliards de dollars de revenus et de bénéfices bruts, sans compter les pertes secondaires qui peuvent être attribuées à la perte de productivité ou à l'atteinte à la réputation. Parametrix affirme que seule une petite partie, de l'ordre de 10 à 20 %, peut être couverte par des polices d'assurance en matière de cybersécurité. Ces chiffres pourraient être revus à la hausse prochainement.

Fitch Ratings, l'une des plus grandes agences de notation américaines, a déclaré lundi que les types d'assurance susceptibles de recevoir le plus grand nombre de demandes d'indemnisation à la suite de la panne comprennent l'assurance contre les pertes d'exploitation, l'assurance voyage et l'assurance annulation d'événements.

« Cet incident met en évidence le risque croissant de points de défaillance uniques », a déclaré Fitch dans un billet de blogue, avertissant que ces points de défaillance uniques sont susceptibles d'augmenter à mesure que les entreprises cherchent à se consolider pour tirer parti de l'échelle et de l'expertise, ce qui se traduit par un nombre réduit de fournisseurs détenant des parts de marché plus importantes. Selon les experts, il est important de tirer des leçons de cet incident.

Les estimations des dommages, qui sont impressionnantes, montrent à quel point une erreur évitable commise par l'une des entreprises de cybersécurité les plus importantes au monde a eu des effets en cascade sur l'économie mondiale, et pourraient susciter de nouvelles demandes pour que CrowdStrike soit tenue pour responsable.

Les excuses de CrowdStrike manquent leur cible et le coût de son action s'effondre

En attendant une évaluation définitive du coût financier de la panne mondiale, les investisseurs en ont déjà fait les frais. L'incident a fait chuter le cours de l'action CrowdStrike, qui s'échangeait à près de 338 $ jeudi dernier. Vendredi, les actions sont tombées à 294 $ et, depuis mardi matin, elles se négocient à environ 264 $. Cela représente une baisse d'environ 22 % et, depuis le début du mois, la capitalisation boursière a diminué d'un tiers. Cette baisse pourrait se poursuivre.


En plus de se faire taper sur les doigts par le marché, CrowdStrike pourrait se voir infliger des amendes et des pénalités par les régulateurs. Étant donné que la panne de CrowdStrike aurait pu, à un certain niveau, impliquer des violations ou des problèmes liés aux données personnelles, elle pourrait se retrouver dans le collimateur des régulateurs européens. Elles peuvent imposer des amendes allant jusqu'à 4 % du chiffre d'affaires annuel aux entreprises qui enfreignent le RGPD.

En outre, CrowdStrike pourrait voir ses clients partir vers des entreprises concurrentes. Là encore, il est difficile d'évaluer le nombre de clients que CrowdStrike pourrait perdre à ce stade, car beaucoup d'entre eux sont sous contrat et pourraient avoir du mal à couper immédiatement les ponts. Certains analystes estiment toutefois qu'environ 5 % de sa clientèle pourrait disparaître, et CrowdStrike devra également faire face à la perte de nouveaux clients potentiels.

Cerise sur le gâteau, CrowdStrike pourrait également avoir à rembourser les clients qui ont subi des pertes ou des interruptions d'activité. Si l'on fait le compte, la panne a déjà coûté des milliards à CrowdStrike et à ses investisseurs, y compris les pertes boursières. Mais avec les litiges et les nombreuses actions en justice qui se profilent à l'horizon, il faut probablement s'attendre à des milliards supplémentaires en amendes, en frais de justice et en pertes de chiffre d'affaires.

Depuis le début de la panne vendredi, CrowdStrike a régulièrement publié des mises à jour sur ses efforts pour comprendre la cause de la panne. Dans une mise à jour publiée mercredi, l'entreprise a indiqué qu'en raison d'un bogue intervenu au cours du processus de vérification de la fiabilité de la mise à jour, "le code défectueux a passé la validation malgré le fait qu'il contenait des données de contenu problématiques". Ce qui a ensuite occasionné un chaos mondial.

Le PDG de CrowdStrike, George Kurtz, s'est excusé, affirmant : « tout le monde chez CrowdStrike comprend la gravité et l'impact de la situation. Rien n'est plus important pour moi que la confiance que nos clients et partenaires ont placée en CrowdStrike. Alors que nous résolvons cet incident, je m'engage à vous fournir une transparence totale sur la façon dont cela s'est produit et sur les mesures que nous prenons pour éviter qu'une telle situation ne se reproduise ».

Le responsable de la sécurité Shawn Henry a déclaré : « cela fait près de 40 ans que je suis dans la vie professionnelle et mon étoile polaire a toujours été de protéger les bonnes personnes des mauvaises choses. Ces deux derniers jours ont été les 48 heures les plus difficiles pour moi en plus de 12 ans. La confiance que nous avons bâtie au compte-gouttes au fil des ans a été perdue par seaux en l'espace de quelques heures, et ce fut un coup de poing dans le dos ».

Source : Fitch Ratings, Parametrix

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la carte-cadeau de 10 $ offerte par CrowdStrike aux victimes de sa mise à jour défectueuse ?
Pourquoi CrowdStrike offre-t-elle une carte-cadeau d'un montant dérisoire par rapport aux énormes dégâts qu'il a causés ?
Partagez-vous l'avis selon lequel l'offre de CrowdStrike est une insulte envers les victimes de sa mise à jour bâclée ?
Que pensez-vous du coût financier de l'incident pour CrowdStrike ? L'entreprise pourrait-elle suivre aux agitations qui l'attendent ?

Voir aussi

Les coûts de la panne mondiale provoquée par CrowdStrike pourraient dépasser le milliard de dollars, mais il est plus difficile de savoir qui paiera la facture

Falcon Sensor de CrowdStrike a également causé des problèmes sur les machines Linux récemment, les professionnels estiment que la situation n'est pas comparable aux BSoD provoqués sur Windows

CrowdStrike accuse un bogue dans le logiciel de test d'avoir mis hors service 8,5 millions de machines Windows, car il n'a pas validé correctement la mise à jour du contenu qui a été diffusée sur les machines

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de floyer
Membre confirmé https://www.developpez.com
Le 29/08/2024 à 15:33
N’importe quel OS qui permet des extensions en mode noyau s’expose à ce risque. Les différents OS type UNIX n’y échappent pas. (D’ailleurs une mise à jour de Crowdstrike a provoqué des kernel panic sur Linux).

L’architecture de Windows depuis NT n’a rien à voir avec DOS, contrairement à ce que tu sembles dire.

L’approche qui changera vraiment quelque chose est le micronoyau (Mach, QNX, SeL4…) et encore, si un module est un SPOF (typiquement un système de fichier), un défaut dans ce module compromet le fonctionnement du système. Cette approche pourrait rogner un peu les performances… mais pour des applications critiques, pourquoi pas. (Cela me rappelle l’arrivée d’OS/2 où la presse s’indignait oh là là, on perd 2% de performances par rapport à un OS non sécurisé)

Et le principe de mise à jour automatique est vraiment le cœur du problème. Imaginons Oracle « pousser » une nouvelle pile Java à l’insu des développeur et exploitant… même si elle ne tourne qu’en mode utilisateur, cela peut bloquer beaucoup d’applications potentiellement critiques.
5  0 
Avatar de Fagus
Membre expert https://www.developpez.com
Le 29/07/2024 à 13:22
Mais le changement le plus important consisterait à verrouiller l'accès au noyau de Windows afin d'empêcher les pilotes tiers de faire planter un PC entier. Ironiquement, Microsoft a essayé de faire exactement cela avec Windows Vista, mais s'est heurté à la résistance des fournisseurs de cybersécurité et des régulateurs de l'UE.
ça ressemble à de la com' de mauvaise foi de microsoft.

J'ai vite fait balayé du regard cet accord. Je ne sais pas ce qu'en diraient les juristes, mais le législateur peut imposer des objectifs mais (en principe) pas des solutions techniques.
En gros l'accord dit que microsoft doit documenter ses API et les ouvrir aux concurrents comme à ses propres produits. Il n'est pas dit que microsoft doit donner les privilèges kernel à quiconque le demande, ni que le noyaux doit planter s'il n'arrive pas à charger un pilote.
3  0 
Avatar de Mat.M
Expert éminent sénior https://www.developpez.com
Le 15/08/2024 à 18:06
La vision des choses de Mr Sterone, rien à commenter tout est dit:

3  0 
Avatar de PomFritz
Membre confirmé https://www.developpez.com
Le 16/08/2024 à 21:42
Face à l'incompétence généralisée, ça panique chez les gratte-papier, zéro mise en perspective et Microsoft se frotte les mains. On dirait une communication du service marketing, pas d'experts.
3  0 
Avatar de OrthodoxWindows
Membre expert https://www.developpez.com
Le 25/08/2024 à 15:19
CrowdStrike découvre qu'il vaut mieux tester une mise à jour avant de la déployer, surtout sur un logiciel qui se place à un stade critique de l'OS, sur un ordi utilisé pour un usage critique.
CrowdStrike découvre qu'en cas de problème grave, la seul confiance avec le client ne fonctionne plus.
Désormais CrowdStrike découvre qu'il existe un système concurrentiel, où chaque concurrent attend qu'un concurrent fasse une connerie.

Bientôt CrowdStrike découvrira qu'il est une entreprise spécialisé dans le domaine de la cybersécurité, dans un contexte d'économie capitaliste libérale.

Ah moins que CrowdStrike se foute tout simplement de la g**** du monde.
3  0 
Avatar de bmayesky
Membre régulier https://www.developpez.com
Le 29/07/2024 à 22:43
Bla, bla, bla, nous n'avons rien testé parce que c'est trop cher et c'est long et ça demande de faire confiance à des gens, tout ce dont nous ne voulons pas dans notre société (ça coûte de l'argent et ça oblige à mettre des vraies personnes qui réfléchissent et risque de nous contredire), bla, bla, bla, c'est pas nous, c'est le logiciel de test, croyez-nous et achetez nos produits pareil qu'avant, bla, bla, bla, même Microsoft disent que c'est pas eux, c'est l'UE, alors croyez-les et achetez, bla, bla, bla,

Comme si une décision d'interopérabilité des années avant pouvait prédire un crash qui n'avait pas été ni écrit ni voulu par qui que ce soit à l'époque ou maintenant. Et qu'un logiciel de test empêche de faire le test de base que fait tout informaticien, même idiot: un test réel. Et il est clair qu'un PC sous windows n'est pas vraiment difficile et cher à trouver pour le faire (sans compter qu'on peut le réutiliser). Franchement on nous prend pour des c**s.

En fait c'est la défense classique en cas de crise lorsque vous vous êtes fait prendre la main dans le sac:
- Nier, nier même l'évidence, ça prendra pour un 50-50 ceux qui ne sont pas attentifs à votre cas au lieu d'un 100 à 0 en votre défaveur.
- Reporter la faute ailleurs, même si c'est capillotracté, c'est ce que fait Crowdstrike avec son logiciel de test et Microsoft avec l'UE; c'est de leur faute entière mais, là encore il y a une frange qui fera du 50-50 au lieu du 100-0 qui les desserts.
- Accepter, bien après la vague médiatique, que c'était peut-être éventuellement un peu de votre faute mais seulement pour montrer tout ce que vous avez fait (et prouver que vous avez fait) pour que cela ne puisse pas se reproduire. Mentir est une option possible si vous vous assurer que personne ne puisse vous contredire. Ça c'est que pour les fainéants qui voudrait reprendre affaire avec vous et vos commerciaux puissent balayer les suspicieux qui rappelleraient l'incident et continuer le business as usual.

En fait, tout ces articles avec de vrais ou de faux coupables masquent très bien quelque chose de plus important à mon avis: l'échec structurel des systèmes propriétaires à livrer du logiciel fiable.

Effectivement, l'utilisation de logiciels propriétaires demande à faire confiance au propriétaire et aucune garantie n'est possible que cela soit vrai et dure dans le temps. Et plus vous multipliez le nombre de logiciels propriétaires nécessaires à votre solution informatique, plus elle est fragile parce que vous multipliez les points de fragilités et ils se combinent et diminuent d'autant la fiabilité de votre solution.

Alors pourquoi prendre cet angle du logiciel propriétaire ? Parce que le logiciel libre fonctionne sur des principes différents qui augmentent la qualité de manière drastique. Le "c'est prêt quand c'est prêt" n'est pas très amis avec les projets de lancement et autres actions planifiées mais très fiable et d'une qualité logicielle très supérieure. Le fait que l'ensemble des couches logicielles soient connues évite radicalement les erreurs de conceptions qui font planter les autres couches logicielles proches. Et évidemment, les process de boot et autres n'ayant aucun besoin d'être cachés sont beaucoup plus souples et laissent beaucoup plus de moyens d'agir.

Cela m'étonne toujours que ce plantage mondial ne soit pas abordé par l'angle du process de construction du logiciel alors que c'est manifestement là qu'il y a eu un problème et qu'une analyse sur la façon de construire le logiciel avec un esprit ouvert permet de trouver une solution à ce type de problèmes.
2  0 
Avatar de bmayesky
Membre régulier https://www.developpez.com
Le 30/07/2024 à 0:04
Il n'y a pas de réduction des coûts: les banques prélèvent de l'argent sur chaque paiement fait en carte. Ce qui se retrouve directement dans la facture de tout ceux qui achètent parce que les commerçants doivent répercuter les frais bancaires sans compter les frais d'abonnement et d'entretien des terminaux. Le paiement par carte est tout sauf gratuit.
C'est à comparer avec le service de la monnaie de l'état qui ne produit aucun frais d'aucune sorte lors de transaction avec des commerçants pas plus qu'entre personnes. Comment allez vous faire pour donner de l'argent à vos enfants ? Ah oui, vous allez leur ouvrir un compte ... payant pour vous.

Il n'y a rien de gratuit dans le paiement par carte, même votre carte est soumise à abonnement et vous payez cet abonnement.

Imaginer un monde sans liquide c' est imaginer un monde où les banques auraient le monopole de l'argent et alors que nous payons déjà, ils auraient un intérêt de classe à faire encore augmenter les prix.

Mais contentons nous de constater les frais actuels pour demander une correction de l'article parce que le paiement par carte coûte à tout le monde et n'est en aucun cas gratuit !
2  0 
Avatar de chris_FR
Membre régulier https://www.developpez.com
Le 08/08/2024 à 19:17
Citation Envoyé par 23JFK Voir le message
Sauf que CrowdStrike a également fait planter des système Linux et MacOs de par le passé, la différence tient uniquement en l'hégémonie du système Windows sur le monde.
Pourrais tu fournir la source de ton information s'il te plaît ?
2  0 
Avatar de floyer
Membre confirmé https://www.developpez.com
Le 17/08/2024 à 11:10
Il y a beaucoup d’applications qui ont besoin d’un accès privilégié : pilotes (périphérique réels ou virtuel), antivirus, chiffrement de disque, firewall, probablement des éléments des machines virtuelles (virtual box).

Mais le problème concerne ici les mises à jour non testées. Mettre en place une sorte de sas où des machines représentatives essuient les plâtres des mises à jour, puis déploiement progressif aurait évité les problèmes. Alors bien sûr, il faut s’écarter du principe « installez le logiciel et on s’occupe de tout »
2  0 
Avatar de Aiigl59
Membre actif https://www.developpez.com
Le 04/10/2024 à 16:43
"Un cadre supérieur de la société de cybersécurité CrowdStrike s'est excusé devant la Chambre des représentants des États-Unis"
ça nous fait une belle jambe !
2  0