Le 19 juillet 2024 s’est produite la plus grande panne informatique de l’histoire. Elle a affecté plus de 8 millions d’ordinateurs Windows dans le monde, qui ont planté et n’ont pu être immédiatement redémarrés.
La panne a affecté, et parfois paralysé pendant plusieurs jours, de très nombreux secteurs: compagnies aériennes, aéroports, banques, hôtels, hôpitaux, grande distribution, marchés financiers, restauration, etc. Elle aurait déjà causé plus de 5 milliards de dollars de dommages aux entreprises affectées.
Officiellement en cause: une mise à jour défectueuse du logiciel Falcon Sensor, développé par la société de sécurité informatique américaine CrowdStrike.
Coïncidence ou préméditation?
Quelques jours avant la méga-panne, les publications financières spécialisées rapportaient que le directeur de la sécurité chez CrowdStrike, Shawn Henry, venait de vendre 4000 de ses actions de la société. Depuis le début de l’année, ce même directeur a vendu 85’986 actions. Aucune preuve n’existe toutefois qu’il l’ait fait en connaissance de cause, et qu’il ait prévu la catastrophe ayant causé à la société une perte de 22% de sa capitalisation boursière le 19 juillet.
Une autre circonstance étonnante soulève malgré tout de fortes interrogations: cinq heures avant l’épisode historique, un utilisateur anonyme a publié sur le forum r/wallstreetbets de reddit, un site Web communautaire extrêmement populaire aux États-Unis, une critique acerbe et prémonitoire contre l’entreprise.
Son article, intitulé «CrowdStrike ne vaut pas 83 milliards de dollars», est éloquent et circonstancié. Il indique que le logiciel dont la mise à jour a causé la méga-panne représente une menace importante; il explique qu’il constitue un «vecteur d’attaque» qui peut être exploité par des pirates informatiques pour causer des dégâts importants sur de très nombreux systèmes. Il recommande aux lecteurs du forum de parier sur la baisse de l’action de l’entreprise.
Des circonstances troublantes
Une autre circonstance interpelle: il semble improbable que CrowdStrike n’ait pas été en mesure de détecter la mise à jour défaillante avant de l’imposer au monde entier.
Dans son rapport d’enquête sur l’incident, la société assure que le seul contrôle de qualité et de stabilité dont elle dispose pour ses mises à jour est une vérification automatique, et que les mises à jour sont par suite imposées à tous ses clients en même temps (au lieu de l’être progressivement).
Ceci contrevient à tous les principes de mises à jour logicielles, qui sont généralement mises en œuvre selon un modèle baptisé en anglais de «staggered release», c’est-à-dire qu’une mise à jour est déployée de façon progressive, précisément pour prévenir le genre de problème survenu le 19 juillet.
Or, toujours selon le rapport d’enquête interne de CrowdStrike, un bug dans le système de contrôle automatique a signifié que le défaut dans la mise à jour est passé inaperçu. De surcroît, la mise à jour défectueuse est restée en vigueur 1 heure et 19 minutes. En conséquence, tous les ordinateurs Windows équipés du logiciel de CrowdStrike qui étaient connectés à Internet dans cet intervalle ont été affectés, et ont planté sans pouvoir redémarrer.
Deux hypothèses existent donc pour expliquer l’épisode du 19 juillet: soit une incompétence tellement manifeste et tellement crasse qu’elle rappelle celle qui a servi à expliquer le 11 septembre 2001 aux États-Unis (ou l’attaque du 7 octobre 2023 en Palestine), soit un acte intentionnel dont le mobile resterait à élucider.
En avril 2024, une mise à jour défectueuse avait déjà causé un plantage de tous les ordinateurs fonctionnant sous Debian Linux et équipés du logiciel CrowdStrike; rebelote en juin 2024, lorsque le même problème s’est répété, affectant cette fois-ci les ordinateurs sous RedHat Linux.
WEF et “pandémie digitale”
Nombreux sont les médias de masse à avoir qualifié la panne historique de «pandémie digitale», tirant ainsi un parallèle avec la période du Covid.
Ce qualificatif a soulevé des interrogations à cause de la «cyber-pandémie» promise par le World Economic Forum (WEF), et qui tire également un parallèle entre un tel épisode et le Covid.
Organisé par la Sberbank, promu par le WEF, et soutenu par INTERPOL, l’exercice «cyber-polygon» avait notamment eu pour but d’augmenter la «cyber-résilience globale» et de «créer un environnement digital de confiance» en simulant des attaques contre des infrastructures critiques.
Vidéo promotionnelle de l’exercice « Cyber-Polygon », présentée par Klaus Schwab et le secrétaire général d’INTERPOL Jürgen Stock.
La méga-panne causée par la mise à jour défectueuse de CrowdStrike a provoqué une réaction presque immédiate des responsables politiques américains, qui ont récupéré la crise pour s’en prendre à la Russie et la Chine, et pour avancer qu’elle révèle une vulnérabilité à la «sécurité nationale».
Bien que la panne mondiale du 19 juillet ne semble pas avoir causé de dégâts suffisants pour justifier encore tout à fait l’identification numérique obligatoire que le WEF présente comme nécessaire, pourrait-elle toutefois constituer un préambule à un épisode plus grave qui surviendrait à l’avenir et qui justifierait de prendre les mesures préconisées par l’exercice «cyber-polygon»?
En tout état de cause, CrowdStrike fait partie de la «Global Cyber Alliance» du WEF, et participe activement à la campagne visant à imposer aux populations une identification numérique pour accéder à Internet.
Proche du gouvernement
Les questions qui concernent cette méga-panne s’ajoutent au fait que CrowdStrike est notoirement proche du régime américain au pouvoir. On se rappelle en effet que c’est elle qui avait contribué à la campagne de désinformation au sujet de l’affaire dite du «Russiagate».
Cette proximité de la société avec le parti démocrate américain avait même forcé l’entreprise à s’en défendre.
L’avenir révélera peut-être si l’épisode du 19 juillet donne raison aux «théoriciens du complot» ou, au contraire, aux «théoriciens de la coïncidence». Mais rien n’est moins sûr.
La mise à jour défectueuse, celle qui a provoqué la plus grosse panne informatique de l’histoire, est restée online pendant 1 heure et 19 minutes selon le rapport…
On a donc le chiffre, le chiffre qu’ils adorent, 119 ou son équivalent 911, qui démontre le caractère intentionnel de l’incident.
Avant qu’une mise à jour logicielle erronée n’ait glissé le nom de la société dans les gros titres mondiaux de vendredi, la Crowdstrike avait une longue histoire d’implication avec les agences de renseignement américaines, et a joué un rôle clé dans le canular « Russiagate ».
https://www.rt.com/news/601364-crowdstrike-security-outage-russiagate/
Confiance des gouvernements
Fondée par son PDG George Kurtz et l’ancien CTO Dmitri Alperovitch en 2011, Crowdstrike a publié sa plate-forme phare Falcon deux ans plus tard. Falcon surveille les ordinateurs ou les serveurs des clients pour les attaques, transmet les détails des menaces entrantes à l’entreprise via un service de surveillance basé sur le cloud, et peut ensuite bloquer ou tracer l’attaque.
Parmi les clients listés sur le site web de Crowdstrike figurent Amazon, Google, Visa et Intel. Plus de 80 % des gouvernements des États américains utilisent la Crowdstrike, tout comme les gouvernements nationaux de l’Australie, de l’Allemagne, d’Israel et d’autres.
La plate-forme Falcon nécessite un accès profond aux appareils d’un client, ce qui signifie qu’une mise à jour défectueuse peut planter non seulement le logiciel, mais l’appareil lui-même, comme cela s’est produit à l’échelle mondiale vendredi.
Travailler avec des espions
Moins d’un an après la fondation de la Crowdstrike, Kurtz et Alperovitch ont fait participer l’ancien directeur exécutif adjoint du FBI, Shawn Henry, pour diriger son aile de consultation en matière de cybersécurité. En 2014, le département de Henry émettait une vague d’accusations de piratage et d’espionnage contre la Chine, la Russie et la Corée du Nord, avec des informations fournies par Crowdstrike aidant le ministère américain de la Justice à publier des actes d’accusation cet été contre cinq officiers militaires chinois qui auraient piraté des entreprises énergétiques américaines.
Russiegate
La Crowdstrike a été embauchée par le Comité national démocrate des États-Unis pour enquêter sur le vol de données de ses serveurs en 2016. Publié par WikiLeaks, les données révèlent que le DNC a truqué la primaire démocrate contre Bernie Sanders, et qu’Hillary Clinton avait effectivement payé pour contrôler le comité.
La Crowdstrike a conclu que la Russie était à l’origine de la brèche, Henry témoignant au Congrès que la société « avait vu une activité cohérente avec l’activité que nous avions vue auparavant et que nous avions associée au gouvernement russe ».
L’évaluation de Henry a renforcé l’évaluation de la communauté de renseignement de janvier 2017, dans laquelle les agences d’espionnage américaines ont déterminé que la Russie « avait exfiltré des grands volumes de données provenant de la DNC. » Ce document a à son tour été utilisé pour justifier l’enquête de deux ans du conseil spécial Robert Mueller sur l’ingérence présumée de la Russie lors de l’élection présidentielle de 2016.
Cependant, la transcription complète du témoignage d’Henry n’a pas été déclassifiée avant 2020. Dans la transcription complète, Henry a déclaré aux législateurs que son entreprise n’avait « aucune preuve que [tous les fichiers) étaient effectivement exfiltrés » à partir des serveurs de la DNC, et qu’il n’y avait que des « preuves circonstancielles » et « des indicateurs que ces données étaient exfiltrées ».
Julian Assange, fondateur de WikiLeaks, a suggéré en 2016 qu’un membre du personnel du DNC nommé Seth Rich – qui est mort dans des circonstances suspectes après la violation apparente – était à l’origine de la fuite. L’ancien responsable de la NSA et dénonciateur William Binney a fait valoir en 2017 que toutes les preuves disponibles indiquaient que la fuite était le travail d’un initié d’un DNC mécontent.