Une panne chez Microsoft provoquée par une mise à jour logicielle de CrowdStrike a eu des répercussions mondiales. Suite à cet incident, la Free Software Foundation (FSF) affirme qu'il y a une meilleure façon d'avancer : les logiciels libres. Passer à des logiciels libres, qui fonctionnent sur l'ordinateur de l'utilisateur, permettrait d'éviter ce genre de cas à l'avenir. La FSF conclut que « Plus une institution est publique, plus il est vital qu'elle utilise des logiciels libres ».Le 19 juillet 2024, une panne informatique mondiale a touché des entreprises, des aéroports et des médias à travers le monde. Microsoft a confirmé qu'elle était consciente de ces problèmes, mais de nombreux experts en cybersécurité ont indiqué que la source potentielle du problème était l'entreprise de cybersécurité CrowdStrike, qui fournit une surveillance et une protection contre les cyberattaques à de nombreuses entreprises de premier plan. Les écrans bleus de la mort ont perturbé le fonctionnement normal des machines Windows, affichant le message : “Recovery: It looks like Windows didn’t load correctly.”
L’entreprise de cybersécurité américaine CrowdStrike a reconnu être à l’origine de ces problèmes. Le directeur général de CrowdStrike, George Kurtz, a confirmé qu'un "défaut" dans une mise à jour de contenu pour les hôtes Windows était à l'origine de la panne, et Kurtz a exclu une cyberattaque. Il a ajouté que l'entreprise était en train de déployer un correctif et que les hôtes Mac et Linux n'étaient pas affectés.
Cette panne mondiale des services informatiques souligne l’importance de la vigilance en matière de cybersécurité et de la nécessité de mettre en place des protocoles de gestion des mises à jour. Les entreprises doivent investir dans des solutions de sécurité robustes et communiquer efficacement avec leurs clients pour minimiser les perturbations en cas de défaillance du système. Elle met également en exergue la vulnérabilité des solutions basées sur le cloud, qui peuvent entraîner un effet boule de neige.
La Free Software Foundation (FSF) a réagi à l'incident CrowdStrike. Elle indique dans son message « qu'on peut se demander s'il est judicieux pour tant de services critiques dans le monde de miser sur une seule distribution d'un seul système d'exploitation monopolistique ». La FSF affirme qu'avec des logiciels libres, ce genre d'incident aurait pu être corriger rapidement, voire éviter la panne mondiale.
Pour rappel, la FSF est une organisation à but non lucratif pour soutenir le mouvement du logiciel libre. L'organisation préfère notamment que les logiciels soient distribués sous des conditions de copyleft (« partager de la même manière »), comme avec sa propre licence publique générale GNU. Conformément à ses objectifs, la FSF vise à n'utiliser que des logiciels libres sur ses propres ordinateurs.
Voici le message de la Free Software Foundation (FSF) :
Ne célébrons pas CrowdStrike - proposons une meilleure solution
Si vous avez lu les nouvelles, êtes allé au travail ou avez pris l'avion ces derniers jours, vous avez sans doute rencontré des articles sur l'incident CrowdStrike, au cours duquel des mises à jour automatiques d'un pilote de noyau Windows, proposées par une société de sécurité tierce, ont fait planter d'innombrables machines dans le monde entier. Pour la première fois depuis des années, la presse grand public utilise des mots comme « noyau » et d'autres mots qu'elle évite habituellement et qui pourraient donner l'impression qu'il se passe quelque chose derrière les couleurs flashy de Windows 10. En tant qu'activistes du logiciel libre, nous devrions profiter de l'occasion pour examiner la situation et voir comment les choses auraient pu se passer différemment.
Soyons clairs : en principe, il n'y a rien de répréhensible d'un point de vue éthique dans les mises à jour automatiques, tant que l'utilisateur a choisi de les recevoir en connaissance de cause. Par exemple, il est parfaitement compréhensible qu'une bibliothèque publique ne veuille pas se plonger dans le journal des modifications du noyau ; elle veut simplement recevoir la mise à jour et poursuivre son travail. Dans le même temps, les bogues logiciels existent. Les développeurs de logiciels libres le savent mieux que quiconque. Le noyau Linux(-libre) ne bénéficie pas d'une immunité mystique. Ce que notre communauté possède, c'est une structure sociale qui, très probablement, aurait rectifié la situation rapidement.
Ce que le logiciel libre offre, c'est une diversité de choix. Bien que nous puissions comprendre comment la situation s'est développée, on peut se demander s'il est judicieux pour tant de services critiques dans le monde de miser sur une seule distribution d'un seul système d'exploitation fabriqué par un seul stupéfiant prédateur monopole à Redmond, dans l'État de Washington. Au lieu de cela, nous pouvons imaginer une structure plus horizontale, où cette compagnie aérienne et cette bibliothèque publique utilisent différentes versions de GNU/Linux, chacune avec ses propres équipes de sécurité et sur des versions différentes du noyau Linux(-libre). Par exemple, une bibliothèque au Vietnam ne dépendrait pas nécessairement d'un éditeur de logiciels américain pour son travail quotidien.
À l'heure où nous écrivons ces lignes, nous n'avons pas été en mesure de déterminer l'étendue de l'accès au code source du noyau Windows que Microsoft a accordé aux ingénieurs de CrowdStrike. (Par ailleurs, la cause première du problème semble être une erreur dans un fichier de configuration). Mais comme il s'agit du mouvement du logiciel libre, nous pourrions garantir que tous les ingénieurs en sécurité et toutes les parties prenantes auraient un accès égal au code source, ce qui prouverait le vieil adage selon lequel « avec suffisamment d'yeux, tous les bogues sont superficiels ». Il n'y a aucune raison valable de cacher un code au public, en particulier un code qui fait partie intégrante du fonctionnement quotidien d'un grand nombre d'institutions et d'entreprises publiques.
Dans une astucieuse opération de relations publiques, il semble que Microsoft ait commencé à imputer l'incident à l'accès d'entreprises tierces aux sources et à la documentation du noyau. Traduit du Redmond-ese, le point qu'ils essaient de faire revient à « si seulement nous avions été autorisés à être plus secrets, cela ne serait pas arrivé ! » Toute personne ayant un minimum de compréhension du développement de logiciels peut voir que cet argument ne tient pas la route, tout comme toute personne ayant un minimum de compréhension de la rhétorique peut apprécier l'ironie du fait que la même société qui développe Copilot se plaint de la nécessité de garder le code secret pour les autres. En ce moment même, Copilot ingère des logiciels libres sur la plateforme propriétaire de Microsoft, GitHub, avec peu de respect pour la licence de chaque programme.
Nous devons également comprendre qu'appeler à une diversité de fournisseurs de logiciels non libres qui ne sont que des frontaux pour les logiciels "cloud" ne résout pas le problème. Pour le corriger complètement, il faut passer à des logiciels libres qui fonctionnent sur l'ordinateur de l'utilisateur.
La Free Software Foundation est souvent accusée d'être utopiste, mais nous sommes bien conscients que faire passer les compagnies aériennes, les bibliothèques et toutes les autres institutions touchées par la panne de CrowdStrike aux logiciels libres est une entreprise colossale. Compte tenu de l'avantage éthique indéniable du logiciel libre, sans parler du contrôle embarrassant des dommages en cours de la part de Microsoft et de CrowdStrike, nous pensons que ce changement est nécessaire. Plus une institution est publique, plus il est vital qu'elle utilise des logiciels libres.
Pour ce que cela vaut, il est également essentiel de vérifier la syntaxe de vos fichiers de configuration. Les ingénieurs de CrowdStrike feraient bien de s'en souvenir la prochaine fois.
Si vous avez lu les nouvelles, êtes allé au travail ou avez pris l'avion ces derniers jours, vous avez sans doute rencontré des articles sur l'incident CrowdStrike, au cours duquel des mises à jour automatiques d'un pilote de noyau Windows, proposées par une société de sécurité tierce, ont fait planter d'innombrables machines dans le monde entier. Pour la première fois depuis des années, la presse grand public utilise des mots comme « noyau » et d'autres mots qu'elle évite habituellement et qui pourraient donner l'impression qu'il se passe quelque chose derrière les couleurs flashy de Windows 10. En tant qu'activistes du logiciel libre, nous devrions profiter de l'occasion pour examiner la situation et voir comment les choses auraient pu se passer différemment.
Soyons clairs : en principe, il n'y a rien de répréhensible d'un point de vue éthique dans les mises à jour automatiques, tant que l'utilisateur a choisi de les recevoir en connaissance de cause. Par exemple, il est parfaitement compréhensible qu'une bibliothèque publique ne veuille pas se plonger dans le journal des modifications du noyau ; elle veut simplement recevoir la mise à jour et poursuivre son travail. Dans le même temps, les bogues logiciels existent. Les développeurs de logiciels libres le savent mieux que quiconque. Le noyau Linux(-libre) ne bénéficie pas d'une immunité mystique. Ce que notre communauté possède, c'est une structure sociale qui, très probablement, aurait rectifié la situation rapidement.
Ce que le logiciel libre offre, c'est une diversité de choix. Bien que nous puissions comprendre comment la situation s'est développée, on peut se demander s'il est judicieux pour tant de services critiques dans le monde de miser sur une seule distribution d'un seul système d'exploitation fabriqué par un seul stupéfiant prédateur monopole à Redmond, dans l'État de Washington. Au lieu de cela, nous pouvons imaginer une structure plus horizontale, où cette compagnie aérienne et cette bibliothèque publique utilisent différentes versions de GNU/Linux, chacune avec ses propres équipes de sécurité et sur des versions différentes du noyau Linux(-libre). Par exemple, une bibliothèque au Vietnam ne dépendrait pas nécessairement d'un éditeur de logiciels américain pour son travail quotidien.
À l'heure où nous écrivons ces lignes, nous n'avons pas été en mesure de déterminer l'étendue de l'accès au code source du noyau Windows que Microsoft a accordé aux ingénieurs de CrowdStrike. (Par ailleurs, la cause première du problème semble être une erreur dans un fichier de configuration). Mais comme il s'agit du mouvement du logiciel libre, nous pourrions garantir que tous les ingénieurs en sécurité et toutes les parties prenantes auraient un accès égal au code source, ce qui prouverait le vieil adage selon lequel « avec suffisamment d'yeux, tous les bogues sont superficiels ». Il n'y a aucune raison valable de cacher un code au public, en particulier un code qui fait partie intégrante du fonctionnement quotidien d'un grand nombre d'institutions et d'entreprises publiques.
Dans une astucieuse opération de relations publiques, il semble que Microsoft ait commencé à imputer l'incident à l'accès d'entreprises tierces aux sources et à la documentation du noyau. Traduit du Redmond-ese, le point qu'ils essaient de faire revient à « si seulement nous avions été autorisés à être plus secrets, cela ne serait pas arrivé ! » Toute personne ayant un minimum de compréhension du développement de logiciels peut voir que cet argument ne tient pas la route, tout comme toute personne ayant un minimum de compréhension de la rhétorique peut apprécier l'ironie du fait que la même société qui développe Copilot se plaint de la nécessité de garder le code secret pour les autres. En ce moment même, Copilot ingère des logiciels libres sur la plateforme propriétaire de Microsoft, GitHub, avec peu de respect pour la licence de chaque programme.
Nous devons également comprendre qu'appeler à une diversité de fournisseurs de logiciels non libres qui ne sont que des frontaux pour les logiciels "cloud" ne résout pas le problème. Pour le corriger complètement, il faut passer à des logiciels libres qui fonctionnent sur l'ordinateur de l'utilisateur.
La Free Software Foundation est souvent accusée d'être utopiste, mais nous sommes bien conscients que faire passer les compagnies aériennes, les bibliothèques et toutes les autres institutions touchées par la panne de CrowdStrike aux logiciels libres est une entreprise colossale. Compte tenu de l'avantage éthique indéniable du logiciel libre, sans parler du contrôle embarrassant des dommages en cours de la part de Microsoft et de CrowdStrike, nous pensons que ce changement est nécessaire. Plus une institution est publique, plus il est vital qu'elle utilise des logiciels libres.
Pour ce que cela vaut, il est également essentiel de vérifier la syntaxe de vos fichiers de configuration. Les ingénieurs de CrowdStrike feraient bien de s'en souvenir la prochaine fois.
Et vous ?
Pensez-vous que ce message de la FSF est crédible ou pertinent ? Quel est votre avis sur le sujet ?Voir aussi :
Une panne chez Microsoft provoquée par une mise à jour logicielle de CrowdStrike a des répercussions mondiales, touchant divers secteurs tels que les compagnies aériennes, les banques, les organismes de santé Quarante ans du système d'exploitation GNU et du mouvement du logiciel libre, par la Free Software Foundation (FSF) Microsoft analyse techniquement mais diplomatiquement l'incident CrowdStrike, cependant il s'agit d'une gifle pour CrowdStrike, qui a déjà causé des pannes graves à d'autres systèmes d'exploitation 
Envoyé par 23JFK
C'est le ba-ba niveau sécurité. C'est bien des bonnes pratiques, mais ça ne résoud pas le problème de fond. L'accès au noyau doit-être "sécurisé", point. Et le meilleur moyen, c'est d'en interdire l'accès. Au minimum, les sociétés ayant besoin de cet accès doivent travailler en "trés" étroite collaboration avec une équipe de Microsoft. Equipe dont ce serait la spécialité et l'unique but.
Et comment savoir si ce "partenaire" a ignoré les SDP ? Une fois une panne découverte ? Parce que compter sur la "transparence et la responsabilité", c'est bien beau, mais ça n'êmpéchera pas une nouvelle catastrophe de se produire. 
