Responsabilité de CrowdStrike en matière d’indemnisation en France au regard du précédent OVH

 (thehftguy.com)
1 points par GN⁺ 2024-07-26 | 1 commentaires | Partager sur WhatsApp

Possibilité que CrowdStrike soit tenu responsable de dommages-intérêts en France

  • On estime que le récent incident CrowdStrike a désactivé 8,5 millions d’ordinateurs et causé plus de 5,4 milliards de dollars de dommages
  • Il est très probable que CrowdStrike soit tenu responsable de dommages-intérêts
  • Il existe en France un cas similaire avec l’affaire OVH

À propos d’OVH

  • OVH est le plus grand fournisseur européen de datacenters et de cloud, proposant des serveurs physiques, des machines virtuelles et divers services cloud
  • Le 10 mars 2021, un incendie s’est déclaré sur le site SGB, détruisant entièrement deux datacenters et rendant temporairement deux autres inexploitables
  • De nombreux clients ont demandé réparation et ont obtenu gain de cause
  • Principaux points discutés par le tribunal :
    • Le service a été complètement interrompu pendant et après l’incident
    • Les données ont été totalement perdues sans possibilité de restauration
    • OVH proposait un service de sauvegarde, mais les sauvegardes ont elles aussi été perdues de manière irrécupérable
    • Plusieurs datacenters étaient situés à proximité, mais comme ils se trouvaient tous sur le même site, le tribunal a jugé cela déraisonnable
    • Le fait que les sauvegardes soient stockées dans le même datacenter ou dans un autre datacenter situé sur le même site a également été jugé déraisonnable
    • Le tribunal a reconnu qu’il est de bonne pratique pour les clients de conserver des sauvegardes sur plusieurs sites
    • Le tribunal a estimé qu’OVH, en tant que fournisseur de sauvegarde, devait respecter un niveau raisonnable d’exigence
    • Il a jugé que le service de sauvegarde d’OVH ne satisfaisait pas à un niveau raisonnable d’exigence et avait manqué à sa finalité

À propos de CrowdStrike

  • CrowdStrike est un logiciel antivirus installé sur les ordinateurs, principalement sur les appareils de grandes entreprises
  • Le 19 juillet 2024, CrowdStrike a déployé une mise à jour logicielle, mais celle-ci a provoqué une erreur qui a désactivé des millions d’ordinateurs
  • Principaux points de discussion :
    • CrowdStrike s’exécute au démarrage de l’ordinateur avec des privilèges élevés
    • Il est déployé sur des millions d’appareils critiques
    • La mise à jour a été déployée simultanément sur des millions d’appareils
    • Il est de bonne pratique de procéder aux mises à niveau logicielles de manière progressive
    • CrowdStrike n’a pas effectué de tests ni de déploiement progressif
    • Des clients avaient déjà soulevé ce problème auparavant, mais CrowdStrike l’avait refusé
    • Le problème n’a pas été identifié pendant près de deux heures après le déploiement de la mise à jour
    • Tous les ordinateurs ont été désactivés, empêchant les utilisateurs de corriger eux-mêmes le problème
    • Les équipes IT ont dû intervenir physiquement pour réinstaller les ordinateurs ou supprimer le fichier de pilote
    • Il faudra probablement plusieurs semaines pour restaurer de quelques milliers à plusieurs centaines de milliers d’appareils
    • Certains appareils critiques pourraient être irrécupérables
    • CrowdStrike a détruit les ordinateurs qu’il était censé protéger
    • Cela a causé de graves préjudices aux clients

Résumé de GN⁺

  • Comme dans l’affaire OVH, il est très probable que l’incident CrowdStrike engage une responsabilité en indemnisation
  • L’erreur de mise à jour de CrowdStrike a désactivé des millions d’ordinateurs, causant d’importants dommages aux entreprises
  • Cet incident souligne l’importance du déploiement et des tests logiciels, avec un besoin de validation encore plus rigoureux pour les logiciels déployés sur des appareils critiques
  • Parmi les autres logiciels de sécurité aux fonctions similaires, on peut citer Symantec et McAfee

À lire aussi

1 commentaires

 
GN⁺ 2024-07-26
Avis Hacker News

  • En tant que personne travaillant chez un CSP français, j’ai vécu l’affaire OVH en temps réel

    • OVH a été tenu responsable en raison de la perte de données
    • La perte de données est un problème permanent et irréversible
    • Certaines entreprises n’ont plus pu fonctionner à cause de la perte de données
    • Une interruption de service est un problème qui peut être couvert par un contrat SLA
    • CrowdStrike ne semble pas devoir porter une grande responsabilité
    • Le secteur médical nécessitera probablement davantage de régulation

  • Ce titre est trompeur

    • Il présente comme un fait ce qui n’est qu’une opinion personnelle
    • Une formulation comme « je pense que CrowdStrike devrait être tenu responsable » serait plus appropriée

  • Les clauses générales d’exonération de responsabilité n’ont aucun sens dans les juridictions hors des États-Unis

  • La comparaison entre les affaires OVH et CrowdStrike n’est pas pertinente

    • Chez OVH, l’ensemble du système de sauvegarde a échoué
    • CrowdStrike a mis hors service le kernel de ses clients pendant environ une heure
    • Les bugs logiciels sont considérés comme inévitables dans la plupart des secteurs
    • Le logiciel de CrowdStrike a fait la une parce qu’il est inséré dans de nombreux chemins critiques
    • Le logiciel de CrowdStrike a été développé de manière médiocre
    • Il est peu probable qu’il soit tenu responsable dans le cadre juridique actuel
    • Les clients voteront probablement avec leur portefeuille

  • De nombreux plaignants essaient probablement déjà d’obtenir une indemnisation par l’intermédiaire d’avocats

    • Je me demande comment cela s’organise selon les différentes juridictions

  • Je me demande pourquoi les protections fournies par Falcon ne sont pas assurées directement par l’OS

    • Sous Windows, il n’existe pas de rôle de sécurité clairement défini
    • Comparaison avec Red Hat ou Canonical

  • Dans un contrat B2B, les deux parties sont présumées compétentes

    • Il y aura probablement très peu de protections juridiques au-delà des termes du contrat
    • Ceci repose sur une compréhension du droit britannique

  • La plupart des pays de l’UE disposent de lois limitant la responsabilité

    • Les hôpitaux, services d’urgence, etc. peuvent intenter une action pour les dommages directs
    • Les particuliers peuvent également intenter une action en justice pour des dommages
    • Les coûts d’opportunité ou de main-d’œuvre seront difficiles à faire valoir en justice
    • Le degré de négligence sera un facteur important

  • Le 19 juillet 2019, CrowdStrike a poussé une mise à jour logicielle

    • L’année semble être erronée et devrait être 2024

  • Il y a quelques semaines, un incident a eu lieu où l’agent CrowdStrike a endommagé des systèmes Linux

    • Je me demande si cela est lié à cette affaire