Delta aurait refusé à plusieurs reprises l'aide de Microsoft pour gérer l'incident CrowdStrike
Le 19 juillet 2024, CrowdStrike a déployé une mise à jour défectueuse qui a provoqué le plantage plus de 8,5 millions d'appareils Windows à travers le monde. La panne a affecté des centaines d'entreprises et a duré plusieurs heures, voire plusieurs jours chez certaines victimes. Ed Bastian, PDG de Delta Air Lines, demande à CrowdStrike et à Microsoft de le dédommager pour les 500 millions de dollars qu'il a perdus à cause de la panne informatique. Elle serait à l'origine de l'annulation de 6 000 vols chez Delta. La compagnie a rassemblé un collège d'avocats et envisagerait de porter l'affaire devant les tribunaux américains.
Cependant, Microsoft ne fait pas la même lecture de l'incident que Delta. La firme de Redmond rejette les critiques et les allégations de Bastian. « Microsoft compatit avec Delta et ses clients en ce qui concerne l'impact de l'incident CrowdStrike. Mais votre lettre et les commentaires publics de Delta sont incomplets, faux, trompeurs et nuisent à Microsoft et à sa réputation », écrit Mark Cheffo, co-président de Dechert LLP, dans une lettre adressée aux avocats de Delta au nom de Microsoft. La lettre s'oppose aux commentaires critiques du PDG de Delta et va même jusqu'à mettre en cause la compagnie aérienne elle-même.
Lors d'une interview à CNBC, Bastian a déclaré que "Microsoft est l'une des plateformes les plus fragiles de l'infrastructure en ligne" et a vanté les mérites d'Apple pour la solidité et la résilience de ses installations. « Quand avez-vous entendu parler pour la dernière fois d'une grosse panne chez Apple ? », a déclaré Bastian au journaliste de CNBC. Il avait également révélé que plus de 40 000 serveurs de l'entreprise avaient été touchés par la mise à jour défectueuse de CrowdStrike.
Microsoft affirme également qu'un employé a contacté Delta le 22 juillet pour offrir son aide à la compagnie aérienne. Mais un employé de Delta aurait répondu que tout allait bien le jour même où Delta a annulé plus de 1 100 vols, suivis de 500 autres annulations le lendemain.
Envoyé par Mark Cheffo
Microsoft suggère que les problèmes techniques de Delta pourraient être bien plus profonds
Interrogé sur les relations futures entre Delta et Microsoft, Bastian a déclaré à CNBC : « j'ai l'impression qu'il s'agit probablement de la plateforme la plus fragile dans ce domaine ». Cependant, la lettre de Microsoft suggère que les problèmes de Delta pourraient être bien plus profonds que la panne de son serveur Windows. Microsoft pense en effet que Delta a refusé son aide gratuite parce qu'elle s'efforçait en fait de restaurer des systèmes non Windows.
« Il apparaît rapidement que Delta a probablement refusé l'aide de Microsoft parce que le système informatique qu'elle avait le plus de mal à restaurer - son système de suivi et de planification des équipages - était géré par d'autres fournisseurs de technologie, comme IBM, parce qu'il fonctionne sur les systèmes de ces fournisseurs, et non sur Microsoft Windows ou Azure », indique la lettre. Microsoft estime que l'incident a été amplifié par l'infrastructure hétéroclite de Delta.
Cela suggère que Delta a été touchée par la panne de CrowdStrike sur ses systèmes Windows et que ces défaillances ont ensuite eu un impact sur son infrastructure informatique qui était gérée par IBM et d'autres fournisseurs. Microsoft estime que Delta n'a apparemment pas modernisé son infrastructure informatique et que la compagnie aérienne a donc été plus durement touchée par la panne de CrowdStrike que ses rivales comme American Airlines ou United Airlines.
Comme CrowdStrike, Microsoft demande également à Delta de conserver les documents liés à la panne de CrowdStrike. Il demande à la compagnie aérienne de conserver tout ce qui a trait à la panne de ses systèmes de suivi et de planification des équipages, qui fonctionnent sur un mélange de technologies IBM, Oracle, AWS, Kyndryl et autres. Microsoft affirme également qu'il se défendra vigoureusement dans tout litige si Delta choisit de s'engager dans cette voie.
En début de semaine, CrowdStrike a également affirmé qu'il n'était pas responsable de la panne qui a duré plusieurs jours et que Delta avait également refusé son assistance sur place. Selon certains analystes, les commentaires de CrowdStrike prennent tout leur sens après la suggestion de Microsoft selon laquelle les problèmes de Delta pourraient être bien plus profonds que la mise hors service de ses systèmes Windows par la mise à jour défectueuse de CrowdStrike.
« Microsoft n'a pas tort. Delta a commis une faute professionnelle informatique en n'étant pas mieux préparée. Tout peut provoquer une panne de cette ampleur, et il est vrai que Crowdstrike (qui n'est pas un produit Microsoft) a donné un coup de pied dans la fourmilière, mais l'absence d'un bon plan de reprise après sinistre ou de continuité des activités de Delta a été mise à nu. Delta essaie juste de détourner l'attention de son manque de préparation », a écrit un critique.
Contrairement à de nombreuses autres compagnies aériennes, Delta a eu beaucoup de mal à remettre ses systèmes en service et fait actuellement l'objet d'une enquête du ministère américain des Transports sur la manière dont elle a géré les efforts de rétablissement à la suite de la panne provoquée par la mise à jour défectueuse de CrowdStrike.
CrowdStrike aurait commis une erreur qu'un débutant en programmation apprend à éviter
CrowdStrike vient de publier son analyse des causes racines (RCA) de la mise à jour logicielle défectueuse à l'origine de la panne informatique la plus importante de l'histoire. Selon les experts, CrowdStrike doit se sentir "très embarrassé" après avoir publié son analyse, car il s'agit d'une erreur que les étudiants en programmation de première année apprennent à éviter. Le rapport de 12 pages confirme l'origine du problème : un seul capteur non détecté.
L'accès privilégié de Falcon
CrowdStrike propose des produits de sécurité pour Internet et contre les ransomwares et les maliciels, presque exclusivement aux entreprises et aux grandes organisations. La panne géante a été déclenchée par son logiciel de détection Falcon, qui est installé pour détecter les menaces et aider à les bloquer. Sigi Goode, professeur de systèmes d'information à l'Australian National University, a déclaré que le logiciel de sécurité Falcon disposait d'un accès très privilégié.
Il se situe au niveau de ce que l'on appelle le noyau de Windows. « Il est aussi proche que possible du moteur qui alimente le système d'exploitation. Le mode kernel observe en permanence ce que vous faites et écoute les requêtes des applications que vous utilisez, et les traite de manière transparente », note Goode. Il décrit le mode kernel comme la police de la circulation à côté de laquelle Falcon est assis, en disant : « je n'aime pas l'aspect de ce véhicule, nous devrions y jeter un coup d'œil ».
Le capteur 21 coupable
CrowdStrike met constamment Falcon à jour. Le 19 juillet, il a envoyé une mise à jour "Rapid Response Content" à certains hôtes Windows. Dans la RCA, CrowdStrike a évoqué "un incident du canal 291", au cours duquel une nouvelle capacité a été introduite dans les capteurs de Falcon. Les capteurs sont comme une voie d'accès aux preuves, qui indique le type d'activité suspecte à rechercher. Falcon examine une série de capteurs (indicateurs) pour voir si quelque chose ne va pas. Lorsque des mises à jour sont envoyées, il modifie l'emplacement ou le nombre de capteurs pour vérifier s'il y a une attaque potentielle.
Dans le cas présent, Falcon s'attendait à ce que la mise à jour comporte 20 champs de saisie, mais elle en comportait 21. C'est cette "discordance de comptage" qui a provoqué la panne géante. « L'interpréteur de contenu ne s'attendait qu'à 20 valeurs. Par conséquent, la tentative d'accès à la 21e valeur a produit une lecture de la mémoire hors limites au-delà de la fin du tableau de données d'entrée et a entraîné un plantage du système », indique le rapport.
Falcon étant étroitement intégré au cœur de Windows, sa défaillance a entraîné l'arrêt de l'ensemble du système et la survenue d'une panne de système (BSOD). Le professeur Goode a déclaré que l'une des façons les plus courantes de compromettre un système consistait à inonder la mémoire. Il s'agit essentiellement de dire à l'ordinateur de chercher quelque chose "hors limites". « Il cherchait quelque chose qui n'existait pas », a déclaré le professeur Goode.
Cette panne mondiale souligne l’importance de la vigilance en matière de cybersécurité et de la nécessité de mettre en place des protocoles de gestion des mises à jour. Les entreprises doivent investir dans des solutions de sécurité robustes et communiquer efficacement avec leurs clients pour réduire les perturbations en cas de défaillance du système. Elle met également en exergue la vulnérabilité des solutions basées sur le cloud, qui peuvent entraîner un effet boule de neige.
Source : lettre de Microsoft (PDF)
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la lettre adressée par les avocats de Microsoft à Delta Air Lines ?
Microsoft a-t-il raison de dire que l'infrastructure de Delta a amplifié les dégâts liés à l'incident CrowdStrike ?
Que pensez-vous du nouveau rapport publié par CrowdStrike sur le bogue qui a provoqué la panne mondiale du 19 juillet ?
Voir aussi
CrowdStrike a publié son analyse des causes racines de la panne mondiale de Microsoft, il s'agirait d'une erreur que les étudiants en programmation de première année apprennent à éviter
CrowdStrike a rejeté l'allégation de Delta Air Lines qui l'accuse d'être responsable des perturbations de vols à la suite de la panne mondiale et a laissé entendre que sa responsabilité était minime
Delta Air Lines a engagé un cabinet d'avocats pour demander une indemnisation à Microsoft et CrowdStrike à la suite d'une panne informatique mondiale et de l'annulation de plus de 6 000 vols