Le problème, causé par une mise à jour défectueuse de la société de cybersécurité Crowdstrike, a mis en évidence d’importantes préoccupations concernant l’accès des entreprises tierces aux composants critiques du système.
Le 19 juillet, une mise à jour logicielle de routine a entraîné une perturbation informatique mondiale massive, affectant des millions d’appareils fonctionnant sous Microsoft Windows.
L’incident a suscité un nouvel examen des politiques de Microsoft, en particulier à la lumière d’un accord de l’Union européenne de 2009 rendant obligatoire un tel accès pour favoriser la concurrence.
La perturbation a commencé avec une mise à jour du logiciel Falcon Sensor de Crowdstrike, conçu pour protéger les systèmes contre les cybermenaces. Un bogue dans la mise à jour a entraîné l’affichage d’environ 8,5 millions d’appareils Windows sur « l’écran bleu de la mort », interrompant ainsi les opérations dans divers secteurs, notamment la banque, la santé et les transports. Notamment, les appareils Apple n’ont pas été affectés en raison de la politique de macOS consistant à restreindre l’accès au noyau de niveau profond.
Le PDG de Crowdstrike, George Kurtz, a précisé que la perturbation n’était pas le résultat d’une cyberattaque, mais plutôt d’un oubli technique. L’entreprise a fait face à des réactions négatives pour sa gestion de l’incident, y compris une tentative d’indemniser les partenaires touchés avec des bons Uber Eats de 10 $, dont beaucoup ont été invalidés en raison des mesures de prévention de la fraude prises par Uber.
Responsabilité et rôle de Microsoft
La responsabilité principale de l’incident incombe à Crowdstrike, dont l’incapacité à tester correctement la mise à jour logicielle a conduit à la perturbation généralisée. L’entreprise a distribué la mise à jour défectueuse de manière universelle plutôt que par étapes, ce qui aurait limité l’impact et permis d’identifier et de rectifier plus rapidement le problème.
Le rôle de Microsoft dans cet incident est lié à l’accès qu’il fournit au noyau Windows, un niveau de contrôle du système généralement réservé aux processus internes critiques. Cet accès est une exigence en vertu d’un accord de 2009 avec la Commission européenne, conçu pour résoudre les problèmes antitrust. L’accord oblige Microsoft à offrir aux développeurs tiers le même niveau d’accès à Windows que ses propres produits, tels que Windows Defender.
Selon Tom Jowitt dans le Wall Street Journal, Microsoft a attribué la cause de la panne à cet accord de l’UE, qui l’empêche de mettre en place des mesures de sécurité plus restrictives qui auraient pu bloquer la mise à jour boguée.
« La panne de vendredi a été causée par une mise à jour boguée envoyée aux entreprises clientes par CrowdStrike, l’une des centaines de sociétés de cybersécurité qui ont créé une entreprise promettant de rendre Windows plus sûr », a rapporté Jowitt.
La possibilité pour des tiers d’accéder au noyau Windows est considérée comme une arme à double tranchant, facilitant la concurrence mais augmentant également le risque de défaillances généralisées du système.
Ian Batten, maître de conférences à l’Université de Birmingham, a souligné les risques associés à une telle intégration profonde :
« Pour qu’un logiciel de cybersécurité soit efficace, il doit être profondément intégré au système d’exploitation. Cela signifie que si quelque chose ne va pas, le système peut s’arrêter complètement pour se protéger », comme l’a montré cet incident.
Impact et réactions de l’industrie
Les conséquences mondiales ont été graves, les aéroports étant particulièrement touchés. Les systèmes d’information de vol ont échoué, ce qui a entraîné des processus manuels de gestion des vols. Delta Air Lines, entre autres, a subi d’importantes perturbations opérationnelles, annulant près de 7 000 vols et subissant des pertes estimées entre 350 et 500 millions de dollars.
L’incident a relancé le débat sur la sécurité et la nécessité de fournir un accès approfondi aux systèmes d’exploitation. Contrairement à Microsoft, Apple a décidé en 2020 de restreindre l’accès au noyau sur son macOS, dans le but d’améliorer la sécurité et la stabilité du système. Comme le rapporte le Wall Street Journal, cette décision, bien que difficile pour les développeurs, a empêché des problèmes similaires d’affecter les systèmes Apple.
Considérations futures
Dans la foulée, la valorisation boursière de Crowdstrike a considérablement chuté et l’entreprise est maintenant confrontée à des défis juridiques potentiels. Son action a chuté de 16,5 %, effaçant 13 milliards de dollars de capitalisation boursière. Crowdstrike s’est engagé à améliorer ses protocoles de test et à mettre en œuvre des déploiements progressifs de mises à jour afin d’éviter des perturbations similaires à l’avenir.
Alors que l’économie mondiale s’appuie de plus en plus sur l’infrastructure numérique, l’importance de mesures de cybersécurité robustes devient plus évidente. L’impact financier estimé de l’incident, hors Microsoft, pourrait s’élever à 15 milliards de dollars, ce qui souligne le besoin crucial de pratiques de déploiement de logiciels sécurisées et fiables.
