IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

CrowdStrike : des anciens employés révèlent que « le contrôle qualité ne faisait pas partie de notre processus »
Les conséquences désastreuses sur la cybersécurité lorsque la rapidité prime sur la qualité

Le , par Stéphane le calme
173 commentaires

41PARTAGES

8  0 
CrowdStrike, une entreprise de cybersécurité reconnue pour ses solutions innovantes, fait face à des critiques sévères de la part de ses anciens employés. Ces derniers affirment que le contrôle qualité n’était pas une priorité au sein de l’entreprise, ce qui a conduit à des problèmes techniques majeurs et à une perte de confiance de la part des clients.

Des témoignages accablants

Les ingénieurs logiciels de l'entreprise de cybersécurité CrowdStrike se sont plaints de délais trop courts, de charges de travail excessives et de problèmes techniques croissants auprès de leurs supérieurs pendant plus d'un an, avant qu'une panne catastrophique de son logiciel ne paralyse les compagnies aériennes et ne mette hors service les services bancaires et autres pendant des heures.

« La vitesse était la chose la plus importante », a déclaré Jeff Gardner, concepteur principal de l'expérience utilisateur chez CrowdStrike, qui a déclaré avoir été licencié en janvier 2023 après avoir travaillé deux ans dans l'entreprise. « Le contrôle de la qualité ne faisait pas vraiment partie de notre processus ou de nos conversations ».

Les problèmes ont été soulevés lors de réunions, dans des courriels et lors d'entretiens de fin d'emploi, ont expliqué d'anciens employés aux médias. 24 anciens ingénieurs en informatique, de cadres et d'autres membres du personnel ont décrit un lieu de travail où les dirigeants privilégiaient la rapidité au détriment de la qualité, où les travailleurs n'étaient pas toujours suffisamment formés et où les erreurs de codage et d'autres tâches se multipliaient. Un ancien cadre supérieur a déclaré avoir assisté à de nombreuses réunions au cours desquelles le personnel avertissait les dirigeants de l'entreprise que CrowdStrike « laisserait tomber » ses clients en mettant sur le marché des produits qui ne pourraient pas être pris en charge.

Sur les 24 anciens employés qui ont parlé à Semafor, 10 ont déclaré avoir été licenciés ou renvoyés et 14 ont dit être partis de leur propre chef. L'un d'entre eux travaillait encore dans l'entreprise cet été. Trois anciens employés ne sont pas d'accord avec les récits des autres. Joey Victorino, qui a passé un an dans l'entreprise avant de la quitter en 2023, a déclaré que CrowdStrike était « méticuleux dans tout ce qu'il faisait ».


Conséquences désastreuses

En juillet 2024, une mise à jour logicielle défectueuse a provoqué l’une des plus grandes pannes informatiques de l’histoire, mettant hors service 8,5 millions d'ordinateurs et coûtant aux entreprises du classement Fortune 500 pas moins de 5,4 milliards de dollars de dommages. Les voyageurs ont été bloqués dans les aéroports, les clients ont été privés de leurs comptes bancaires en ligne et les centres d'appel d'urgence ont été mis hors ligne.

L'incident a coûté à CrowdStrike environ 60 millions de dollars en contrats qu'elle avait prévu de conclure au cours du trimestre fiscal qui s'est achevé le 31 juillet, a déclaré le directeur financier Burt Podbere aux analystes lors de la conférence téléphonique sur les résultats du 28 août, au cours de laquelle la société a revu à la baisse ses prévisions de recettes et de bénéfices pour le reste de l'année. Adam Meyers, premier vice-président des opérations de lutte contre les adversaires, témoignera devant le Congrès à la fin du mois.

« Je ne perdrai jamais de vue l'ampleur de l'incident du 19 juillet et je m'engage à faire en sorte que cela ne se reproduise jamais », a déclaré le PDG George Kurtz aux analystes lors de la conférence téléphonique. « Au-delà des excuses, je veux que nos actions soient encore plus éloquentes que nos paroles. Nous nous efforçons de récupérer les clients rapidement, quel que soit l'endroit ou le besoin ».

En clair, cette panne a coûté des milliards de dollars en dommages et a gravement terni la réputation de CrowdStrike. Les clients, autrefois fidèles, ont commencé à remettre en question la fiabilité des produits de l’entreprise.


Réactions de l’entreprise

Face à ces accusations, CrowdStrike a réagi en déclarant que les informations provenaient « d'anciens employés mécontents, dont certains ont été licenciés pour des violations évidentes de la politique de l'entreprise ». L'entreprise a déclaré : « CrowdStrike s'engage à garantir la résilience de ses produits par des tests rigoureux et un contrôle de qualité, et rejette catégoriquement toute affirmation contraire ».

Fondée en 2011, CrowdStrike s'est rapidement hissée au rang de leader du secteur de la cybersécurité avec le lancement en 2013 de son antivirus Falcon. Elle est entrée en bourse en 2019, donnant le coup d'envoi d'une croissance massive, ajoutant des milliers de travailleurs et augmentant ses revenus de plus de mille pour cent à la fin de l'année fiscale 2024.

Cependant, la gravité de la panne de juillet a mis en lumière des failles importantes dans leurs processus internes. L’entreprise a depuis annoncé des mesures pour renforcer ses protocoles de contrôle qualité, mais la confiance des clients reste ébranlée.

Notons que, suite à cette panne, CrowdStrike a déclaré : « En raison d'un bogue dans le validateur de contenu, l'une des deux instances de modèle a été validée alors qu'elle contenait des données problématiques », faisant référence à la défaillance d'un mécanisme interne de contrôle de la qualité qui a permis aux données problématiques de passer à travers les propres contrôles de sécurité de l'entreprise.

Les anciens employés qui se sont entretenus avec Semafor ont décrit une série de problèmes qui ont précédé de longue date la panne de l'entreprise. Il n'a pas été établi que ces problèmes étaient liés à l'incident de juillet.

Certains anciens employés ont déclaré que les contrôles de qualité des logiciels étaient parfois bâclés pour que les produits soient lancés rapidement

« Il était parfois difficile de faire en sorte que les gens fassent suffisamment de tests », a déclaré Preston Sego, qui a travaillé chez CrowdStrike de 2019 à 2023. Son travail consistait à examiner les tests réalisés par les développeurs de l'expérience utilisateur qui alertaient les ingénieurs sur les bogues avant que les changements de codage proposés ne soient communiqués aux clients. Sego a déclaré avoir été licencié en février 2023 en tant que « menace d'initié » après avoir critiqué la politique de retour au travail de l'entreprise sur un canal Slack interne. C'est ainsi que l'entreprise désigne les employés qui présentent des risques pour la sécurité. CrowdStrike a refusé de commenter, déclarant qu'elle ne « discute pas des questions de personnel individuel ».

Il y a eu d'autres problèmes. Lors d'un incident survenu dans le département des services professionnels, un ancien employé a décrit comment les informations privées d'un client avaient été accidentellement téléchargées dans le dossier du mauvais client à trois reprises, évitant de justesse de partager des données privées avec le mauvais client à chaque fois. CrowdStrike a confirmé les incidents et a déclaré qu'ils s'étaient produits en raison d'une « erreur de saisie manuelle des données ». Il s'agissait d'informations de base telles que les noms d'hôte, les adresses IP et les noms de domaine, et des contrôles sont désormais effectués pour s'assurer que les données privées des clients ne sont pas envoyées au mauvais client.

Plusieurs personnes ont également cité des problèmes avec le service Falcon LogScale de CrowdStrike, qui découvre les problèmes de sécurité et de fiabilité dans les systèmes d'un client. L'une d'entre elles a rappelé au moins deux cas où de mauvaises mises à jour de LogScale ont brièvement désactivé ses alertes en temps réel qui avertissent les clients d'activités potentiellement malveillantes, ce que certains des ingénieurs qui ont élaboré les mises à jour ont reproché lors de réunions internes tenues dans des délais serrés. CrowdStrike a nié ces cas, affirmant qu'elle n'a pas connaissance d'une « mauvaise mise à jour » où les alertes ont été perdues et n'ont pas été reçues par les clients. L'entreprise a également déclaré que le service n'était pas conçu pour alerter les clients de violations potentielles de données en « temps réel ». Il est plutôt conçu pour « éliminer rapidement les menaces grâce à une détection en temps réel et à une recherche ultra-rapide », selon le site Web de l'entreprise.

Les ingénieurs n'ont disposé que de deux mois pour effectuer un travail qui aurait normalement pris un an

Un autre ex-employé a déclaré que CrowdStrike avait précipité le lancement en 2022 de son service de chasse aux menaces sur le cloud, appelé Falcon OverWatch Cloud Threat Hunting, dans le cadre duquel les professionnels de la sécurité de l'entreprise recherchent des comportements suspects qui pourraient indiquer une...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

173 commentaires
Commenter Signaler un problème
OuftiBoy
Avatar de OuftiBoy
Membre éprouvé https://www.developpez.com
Le 29/10/2024 à 21:07


Citation Envoyé par Mathis Lucas Voir le message
David Weston déclare : « la différence de gravité des problèmes entre le mode noyau et le mode utilisateur est que si vous tombez en panne dans le noyau, c'est toute la machine qui tombe en panne. Si une application tombe en panne en mode utilisateur, nous pouvons généralement la récupérer ». Cet état de choses peut amener à privilégier le mode utilisateur et à limiter l'accès au noyau pour protéger les clients de Windows. Mais Microsoft mise sur les SDP :
C'est le ba-ba niveau sécurité. C'est bien des bonnes pratiques, mais ça ne résoud pas le problème de fond. L'accès au noyau doit-être "sécurisé", point. Et le meilleur moyen, c'est d'en interdire l'accès. Au minimum, les sociétés ayant besoin de cet accès doivent travailler en "trés" étroite collaboration avec une équipe de Microsoft. Equipe dont ce serait la spécialité et l'unique but.

Citation Envoyé par Mathis Lucas Voir le message
Les SDP ne sont pas une idée nouvelle. L'USENIX a publié en 2004 un article de l'université d'Utrecht intitulé « A Safe and Policy-Free System for Software Deployment ». La première phrase de ce document est la suivante : « les systèmes existants pour le déploiement de logiciels ne sont ni sûrs ni suffisamment flexibles ». Ce problème des SDP n'a pas encore été résolu, et une telle solution est un aspect important des plans de Microsoft pour limiter les pannes futures.
C'est quand même étonnant de lire ça. Le document a plus de 20 ans... Ils n'avaient donc pas de plans avant cette panne ? C'était "open bar" et chacun faisait ce qu'il voulait dans son coin ? Pour un composant logiciel aussi "critique", il faut que l'éditeur de l'OS "certifie" ce logiciel. S'il n'est pas en mesure de la faire, alors c'est qu'il accepte l'état de fait que leur noyau peut être perturbé par n'importe qui faisant n'importe quoi, involontairement ou pas.

Citation Envoyé par Mathis Lucas Voir le message
Ce point a été discuté lors du sommet de septembre. Dans un billet de blogue sur le sommet, David Weston avait écrit : « cette riche discussion lors du sommet se poursuivra dans le cadre d'un effort de collaboration avec nos partenaires MVI [Microsoft Virus Initiative] afin de créer un ensemble partagé de meilleures pratiques que nous utiliserons en tant qu'écosystème à l'avenir ». Le billet abordait également les difficultés rencontrées par Microsoft et ses partenaires :

« Nous avons discuté des moyens d'éliminer les conflits entre les différentes approches SDP utilisées par nos partenaires et de réunir toutes les parties en un consensus sur les principes du SDP. Nous voulons que tout soit transparent, mais nous voulons aussi que cette norme devienne une exigence pour travailler avec Microsoft », explique David Weston à SecurityWeek. La question est de savoir comment Microsoft fera respecter l'application rigoureuse de ces mesures.
Bien dit, donc Microsoft n'avait non seulement pas de plan, mais est incapable d'en faire respecter un ? Y'a pas une IA pour ça ? C'est dit juste en dessous:

Citation Envoyé par Mathis Lucas Voir le message
Convenir d'un ensemble de pratiques de déploiement sûres et les exiger des partenaires est une chose ; s'assurer que ces partenaires emploient les SDP convenues en est une autre. « L'application technique serait un défi. La transparence et la responsabilité semblent être la meilleure méthode pour l'instant », affirme David Weston. Microsoft dispose toutefois d'un pouvoir. Si un partenaire a ignoré les SDP, Microsoft peut retirer sa signature à tout pilote de noyau.
Et comment savoir si ce "partenaire" a ignoré les SDP ? Une fois une panne découverte ? Parce que compter sur la "transparence et la responsabilité", c'est bien beau, mais ça n'êmpéchera pas une nouvelle catastrophe de se produire.

"Ce serait un défit technique"

Comment un responsable peut-il tenir de telles propos ? Ils ont assez de moyens financiers pour et des équipes en suffisance pour justement régler les "défits techniques". C'est un aveux d'impuissance terrible.

Citation Envoyé par Mathis Lucas Voir le message
« C'est de la même manière que nous travaillons aujourd'hui avec les agences de certification racine. Nous avons une norme, et si vous ne respectez pas cette norme de sécurité, nous pouvons vous retirer, ce qui aurait un impact considérable sur vos activités. En même temps, l'insistance sur la transparence montrerait aux clients que ce fournisseur n'est pas honnête avec eux. Nous pensons que ce niveau d'application est assez efficace », explique David Weston.
C'est bien qu'il le pense, mais des entreprises ont perdu des sommes considérables, et je trouve leur réponse un peu "juste"

Citation Envoyé par Mathis Lucas Voir le message
« En résumé, les SDP sont le meilleur outil dont nous disposons pour mettre fin aux interruptions de service. Le mode noyau, le mode utilisateur - je ne dis pas qu'ils ne sont pas valables, je dis simplement qu'ils représentent une partie beaucoup plus petite du problème. les SDP peuvent aider à prévenir les pannes à l'intérieur et à l'extérieur du noyau », a-t-il ajouté. David Weston n'a pas donné de détails sur les travaux de Microsoft et les fournisseurs de logiciels de sécurité.
Bref, le monsieur dit, c'est "un défit technique", on a ni les moyens, ou ni l'envie, et/ou ni la compétence pour régler cela, alors on compte sur la bonne volonté et les bonnes pratique.

Citation Envoyé par Mathis Lucas Voir le message
Source : David Weston, vice-président de la sécurité des entreprises et des systèmes d'exploitation chez Microsoft
Nous voilà rassuré

Citation Envoyé par Mathis Lucas Voir le message

Et vous ?
Citation Envoyé par Mathis Lucas Voir le message

Quel est votre avis sur le sujet ?
Mon avis est que tout celà n'est pas rassurant du tout.

Citation Envoyé par Mathis Lucas Voir le message

Que pensez-vous de l'avis de Microsoft sur la restriction de l'accès au noyau Windows ?
Apparemment, il y aura restriction après la découverte de "mauvaise pratique", en retirant le certificat. Il faudrait inverser l'ordre des choses, c'est à dire au minimum s'assurer AVANT de permettre la diffusion que les "bonnes pratiques" ont été respectées.

Citation Envoyé par Mathis Lucas Voir le message

Que pensez-vous des « pratiques de déploiement sûres » (SDP) mises en avant par Microsoft ?
Que ça n'empêchera pas d'autres pannes de ce genre.

Citation Envoyé par Mathis Lucas Voir le message

Selon vous, en quoi pourraient constituer « ces pratiques de déploiement sûres » ?
C'est à Microsoft qu'il faudrait poser cette question. Je ne suis pas expert du noyau Windows, mais dire que ce serait un "défit technique", pour une société comme Microsoft me laisse sans voie.

Citation Envoyé par Mathis Lucas Voir le message

Cette approche permettrait-elle de garantir la sécurité du noyau Windows et limiter les pannes à l'avenir ?
J'ai des doutes...

BàV et Peace & Love.
3  0 
Aiigl59
Avatar de Aiigl59
Membre actif https://www.developpez.com
Le 04/10/2024 à 16:43
"Un cadre supérieur de la société de cybersécurité CrowdStrike s'est excusé devant la Chambre des représentants des États-Unis"
ça nous fait une belle jambe !
2  0 
calvaire
Avatar de calvaire
Expert éminent https://www.developpez.com
Le 30/10/2024 à 9:30
ce que je repproche a windows ce sont les outils pour réparer l'os completement inexistant.

déja l'outil pour faire des sauvegarde, c'est écrit windows 7 dessus, ms la abandonné sans proposer d'alternative et pour se dédouaner de toute responsabilité sur les autres versions de l'os a mis "windows 7".

ensuite, pour debugger un écran bleu c'est une catastrophe, sous linux on a des logs erreurs bien explicite, pas des core d'erreurs obscure.

ensuite, les outils de réparations de l'os fournie dans le cd d'install, c'est obscure, ca affiche un message tentative de réparation en cours sans rien savoir de ce qu'il fait
meme chose pour le mode sans echec, dans windows xp en mode sans échec il affichait les fichiers qu'il chargeait au moins.

si l'os pouvait dire quels fichiers ont été ajouté pour chaque programme aussi, un peu comme on a avec apt.

le must serait un mode command line minimal comme sous linux avec un microkernel de secours, ca permettrait de manipuler l'os, de supprimer des drivers ou les programmes qui corrompt l'os.
2  0 
Tigrou08
Avatar de Tigrou08
Candidat au Club https://www.developpez.com
Le 06/10/2024 à 13:37
Dans un monde DevOPs/SysOps et autre mode de déploiement logiciel, cette société si célèbre semble avoir des trous dans la raquette, pas à la hauteur
1  0 
Etre_Libre
Avatar de Etre_Libre
Membre éprouvé https://www.developpez.com
Le 30/10/2024 à 7:04
A l'époque de Windows Vista, Microsoft voulait blinder le noyau, mais a cédé face aux pressions des éditeurs antivirus et l'Europe :
https://www.clubic.com/actualite-395...ta-accede.html

"Au centre d'une grosse polémique (voir Europe : McAfee rejoint Symantec contre Vista, Symantec et Adobe recrutent l'Europe contre Vista et Kaspersky soutient Microsoft au sujet de Vista), l'accès au noyau de Windows Vista par les logiciels de sécurité devrait finalement être rendu possible. C'est en effet ce que Microsoft a fait savoir la semaine dernière sans donner de plus amples détails (voir l'actu Windows Vista : des modifications pour l'Europe).

Aujourd'hui, on sait Microsoft donnera accès au « Kernel » des versions 64 bits de son système. La firme de Redmond proposera ainsi une nouvelle API (Application Programming Interfaces) qui autorisera effectivement certains développeurs « triés sur le volet » à avoir accès au noyau de Vista. « Nous devons créer une nouvelle API permettant aux développeurs de solutions de sécurité tiers qui proposent un accès au noyau de Windows de façon sécurisée », précise un responsable de la firme à ce sujet."
1  0 
floyer
Avatar de floyer
Membre éclairé https://www.developpez.com
Le 30/10/2024 à 9:44
Oui, Windows n’est pas un OS qui se suffit à lui même. Personnellement j’utilise Macrium Reflect pour les sauvegardes : j’ai une image disque, et une clé USB bootable pour la restauration. C’est assez efficace (déjà utilisé avec un système qui ne démarrait plus suite à une mise à jour).
1  0 
PomFritz
Avatar de PomFritz
Membre confirmé https://www.developpez.com
Le 25/09/2024 à 21:39
4. Déploiements : nos informations sur la configuration de la détection des menaces, connues sous le nom de « Rapid Response Content », sont désormais diffusées progressivement dans le cadre d'anneaux de déploiement de plus en plus nombreux. Cela nous permet de surveiller les problèmes dans un environnement contrôlé et d'annuler de manière proactive les changements si des problèmes sont détectés avant qu'ils n'affectent une population plus large.
Ce qui est à mon avis le plus scandaleux dans ce qu'il s'est passé. Les mecs ont poussé la màj dans la nuit chez eux en se foutant du reste du monde. ça dit tout...
0  0 
shenron666
Avatar de shenron666
Expert confirmé https://www.developpez.com
Le 05/10/2024 à 17:08
le monde professionnel accorde infiniment trop d'importance à cette société
si elle est capable de provoquer cette paralysie d'une simple mise à jour involontairement défectueuse, imaginez s'il y a délibérément intention de nuire ?

en attendant, ça me parait absurde que l'on en parle comme de la plus grande panne informatique de l’histoire
est-ce que cette panne a provoquée la mort ? j'espère que non car dans ce cas Crowdstrike dvrait être poursuivi pour cela
0  0 
xmornard
Avatar de xmornard
Membre à l'essai https://www.developpez.com
Le 29/10/2024 à 23:37
Le fait que Microsoft refuse de verrouiller l'accès au PC de chacun en dit long sur la philosophie général qu'ils veulent mettre en place sans l'avouer: ils veulent permettre que toute entreprise prêt à payer l'accès ai le droit de faire ce qu'il veut sur votre poste de travail sans vous demander votre avis (y compris les pirates du coup). Dit d'une autre manière: votre PC ne vous appartient plus. Et ceci depuis l'essor du Web, puisque c'est maintenant vous le produit. Petit exemple: comment se fait-il que les PCs soient de plus en plus au fil du temps même sans ajouter des logiciels? et même si on ajoute des logiciels qui ne se lancent pas au démarrage du PC, pourquoi est-ce qu'ils ralentissent tout le système? A se demander si nos PCs ne sont pas sabotés avec le temps qui passe pour forcer à en racheter un nouveau plus tard...
0  0 
Commenter Signaler un problème