Comment une erreur de CrowdStrike a-t-elle pu arrêter le monde ?
Les entreprises ont essayé de faire ce qu'il fallait. Cela a-t-il eu l'effet inverse ?
Note de l'éditeur: Consultez notre blog en direct, souvent mis à jour, pour connaître tous les nouveaux développements concernant la panne de Microsoft/CrowdStrike.
Il est impératif de mettre à jour votre système pour le protéger des cyberattaques et autres menaces. Mais il arrive parfois que cela se passe mal, comme ce fut le cas cette semaine.
CrowdStrike, une société de cybersécurité qui protège les entreprises et les utilisateurs contre les cyberattaques, a commis une erreur qui a provoqué une crise mondiale. Les utilisateurs d'ordinateurs Windows ont vu l'écran bleu de la mort, les vols ont été annulés, les banques ont fermé et les sites Web ont été fermés.
« Il s'agissait d'une mise à jour du logiciel qui a été déployée auprès de la clientèle de l'entreprise dans le monde entier, mais en particulier auprès de ceux qui utilisaient des serveurs Windows, et sur une période donnée », a déclaré à Indigo Buzz Derrick Cogburn, professeur à l'American University, directeur exécutif de l'Institut sur le handicap et les politiques publiques de l'AU et codirecteur de la faculté du laboratoire de gouvernance de l'Internet. « Ce n'était donc pas tout le monde qui utilisait CrowdStrike, mais une partie assez importante de la communauté. »
Selon M. Cogburn, cette situation a affecté un réseau d'entreprises connectées qui essayaient simplement de faire ce qu'il fallait pour se protéger et protéger leurs utilisateurs. Mais « lorsqu'un fournisseur comme CrowdStrike rencontre un problème avec une mise à jour, cela peut se répercuter sur l'ensemble du secteur à l'échelle mondiale ».
« À mesure que nous avons sensibilisé les gens à la cybersécurité, de plus en plus d'entreprises et d'organisations ont pris des mesures pour se protéger », a déclaré Cogburn. « CrowdStrike est l'une des meilleures entreprises du marché pour protéger les entreprises et les organisations contre une variété de cyberattaques. »
Il ne s’agit bien sûr pas d’une cyberattaque, mais d’une erreur de mise à jour. Mais ce sont les mêmes types de problèmes qui peuvent survenir en cas de cyberattaque. Depuis que CrowdStrike s’est positionné comme la principale société tierce à fournir des protections contre les cybermenaces, de nombreuses entreprises ont adopté ses services. Cogburn soutient que CrowdStrike fait du bon travail dans la lutte contre ces attaques, mais qu’il a commis une grave erreur qui a provoqué un chaos généralisé. Trop d’entreprises sont intégrées au même outil. En cas de défaillance, c’est tout un réseau mondial d’entreprises qui est touché.
Comment une mise à jour de logiciel a-t-elle pu rendre silencieux autant de systèmes ?
« L'incident est un excellent exemple des défaillances en cascade qui peuvent se produire étant donné nos systèmes relativement homogènes qui constituent l'épine dorsale de l'infrastructure informatique », a déclaré par courrier électronique Gregory Falco, expert en cybersécurité et professeur adjoint d'ingénierie à l'Université Cornell.
Rory Mir, directeur adjoint de l'organisation communautaire de l'Electronic Frontier Foundation, a expliqué à Indigo Buzz que ces systèmes numériques ne peuvent pas être parfaits en permanence. Nous comptons sur eux pour protéger nos sites, mais ils « vont tomber en panne à un moment donné », que ce soit à cause d'une attaque délibérée ou d'une simple erreur.
« Le problème est que nous sommes vraiment coincés dans une monoculture numérique, où des décennies de pratiques anticoncurrentielles ont fait qu'un seul système est responsable d'une grande partie de ce dont nous dépendons, des compagnies aériennes aux hôpitaux en passant par les écoles », a déclaré Mir. « Une erreur qui crée un échec majeur, cela arrive, c'est inévitable. Mais avoir un tel impact est un échec politique. »
Qui est le plus touché ?
Chaque fois qu’une catastrophe survient, on nous rappelle que ceux qui sont le plus à risque sont aussi ceux qui sont le plus profondément touchés par ce genre de défaillances systémiques.
« Nous constatons régulièrement des problèmes de système, comme des attaques de logiciels malveillants ou des violations de données. Même si la nature de la panne affecte tout le monde, la résilience et la capacité des gens à faire face à ces situations ont un impact différent », a déclaré Mir. « Les gens qui ont assez d'argent pour avoir des systèmes de secours et qui peuvent peut-être se payer un autre hôtel pour attendre un autre vol ou autre chose sont plus à même de traverser ce genre de catastrophe. »
En fin de compte, l'accès à la technologie coûte cher. Et savoir comment fonctionne la technologie est, comme le dit Mir, un « savoir privilégié ».
« Quand on est confronté à une situation aussi répandue, on ne pense pas toujours à toutes les conséquences imprévues », a déclaré Cogburn. On pense aux compagnies aériennes et aux chaînes de télévision, mais on ne pense pas immédiatement à l’impact sur le SNAP EBT (il a été fermé pendant des heures) ou sur les services de restauration et d’éducation. Si certaines personnes peuvent facilement se déplacer et se rendre au bureau en voiture au lieu de travailler à domicile, d’autres n’ont pas ce luxe.
« Pour les personnes qui ont des options plus limitées, si elles dépendent d'appareils et de services connectés et que ceux-ci sont désactivés, elles n'ont peut-être pas la flexibilité nécessaire pour s'adapter à un environnement ou un espace plus présentiel », a déclaré Cogburn. « Je pense donc que c'est l'une des façons dont les populations mal desservies sont affectées. »
Les petites entreprises pourraient être plus durement touchées que les grandes entreprises qui peuvent « résister à la tempête un peu plus facilement », a expliqué Cogburn, car elles ne disposent pas du même type de ressources sur lesquelles s'appuyer.
Inévitablement, cela pourrait amener certaines personnes à ne plus faire confiance à des systèmes comme CrowdStrike, ce qui, selon Cogburn, est « vraiment dangereux ». Pensez à la fréquence à laquelle vous ne voulez pas mettre à jour votre téléphone, mais vous êtes alors vulnérable aux bugs et aux attaques, puis multipliez ce chiffre par 100.
« Vous vous rendez incroyablement vulnérable à la raison pour laquelle le patch a été développé en premier lieu », a déclaré Cogburn.
Comment pouvons-nous nous assurer que cela ne se reproduise plus ?
Ces échecs sont en quelque sorte inévitables, mais leurs effets sur la société ne doivent pas nécessairement l'être. Mir soutient que la nature généralisée de ce problème est due à un manque de mise en œuvre des lois antitrust par des organismes tels que le ministère de la Justice et les procureurs généraux des États.
« Jusqu'à présent, les lois antitrust se sont concentrées sur la baisse des prix pour les consommateurs, ce qui est une bonne chose, mais elles ont aussi créé une monoculture dans laquelle une seule grande entreprise peut proposer une offre bon marché, mais qui devient ensuite un énorme point de défaillance unique. Et nous pouvons nous retrouver avec un scénario de type an 2000 », a déclaré M. Mir.
Mir espère que cet échec massif et sans précédent conduira à un changement législatif.
« Il s’agit en grande partie d’un échec des autorités antitrust elles-mêmes – le DOJ, la FTC, les procureurs généraux – mais j’espère que ce désastre servira de signal d’alarme pour eux tous et potentiellement pour les législateurs afin de s’assurer que les lois antitrust fonctionnent pour les consommateurs et pour des raisons allant au-delà de la baisse des prix », a déclaré M. Mir.
En fin de compte, il s’agit d’un échec sans précédent. Mais, d’une certaine manière, nous avons eu de la chance : il ne s’agissait pas d’une cyberattaque. Nous n’aurons peut-être pas autant de chance la prochaine fois, c’est pourquoi nous devons nous en occuper maintenant, avant qu’il ne soit trop tard.