D’anciens employés de CrowdStrike : « Le contrôle qualité ne faisait pas partie du processus. »

 (semafor.com)
1 points par GN⁺ 2024-09-14 | 1 commentaires | Partager sur WhatsApp
  • Les ingénieurs logiciels de CrowdStrike ont fait part pendant plus d’un an à la haute direction de l’entreprise de leurs inquiétudes concernant des délais raccourcis, une charge de travail excessive et une hausse des problèmes techniques
    • L’ingénieur Jeff Gardner : « La vitesse primait sur tout, et le contrôle qualité n’était pas une priorité »
    • Sur 24 anciens employés, 10 ont été licenciés et 14 sont partis de leur propre initiative
    • L’ancien employé Joey Victorino a contesté cette version, affirmant que CrowdStrike traitait tout avec minutie
  • CrowdStrike nie l’essentiel du reportage de Semafor et qualifie ses sources d’« anciens employés mécontents »
    • L’entreprise affirme s’efforcer de garantir la stabilité de ses produits au moyen de tests rigoureux et d’un contrôle qualité strict
  • Fondée en 2011, CrowdStrike a rapidement émergé comme un leader de la cybersécurité après le lancement de la suite antivirus Falcon en 2013
    • Après son entrée en Bourse en 2019, l’entreprise a poursuivi une forte croissance, augmenté ses effectifs, et son chiffre d’affaires à la fin de l’exercice 2024 a progressé de plus de 1 000 %
  • En juillet, une mise à jour logicielle erronée de CrowdStrike a provoqué la plus grande panne informatique de l’histoire
    • 8,5 millions d’ordinateurs sont tombés en panne, causant jusqu’à 5,4 milliards de dollars de pertes pour les entreprises du Fortune 500
    • Des voyageurs sont restés bloqués dans les aéroports, l’accès à des comptes de banque en ligne a été interrompu, et des centres d’appels d’urgence se sont retrouvés hors ligne

Problèmes soulevés par les anciens employés

  • Les contrôles de qualité logicielle étaient parfois insuffisants pour accélérer les lancements de produits
  • Au sein du département des services professionnels, des données personnelles de clients ont été téléversées par erreur à trois reprises dans les dossiers d’autres clients
  • Le service Falcon LogScale a connu des problèmes
    • À au moins deux reprises, des alertes en temps réel signalant une activité malveillante ont été brièvement désactivées à cause de mises à jour erronées
  • Le lancement en 2022 du service cloud de threat hunting Falcon OverWatch Cloud Threat Hunting a été précipité
    • Des ingénieurs et des threat hunters ont reçu pour consigne d’achever en deux mois un travail qui prend normalement un an
    • Au moment du lancement, il manquait aux threat hunters des outils internes nécessaires pour surveiller entièrement les systèmes cloud des clients

Réponse de CrowdStrike

  • L’entreprise a reconnu avoir utilisé des ingénieurs existants, mais a expliqué qu’il était impossible d’embaucher des profils expérimentés, le domaine même des « cloud threat hunters » n’existant pas encore à l’époque
  • Elle affirme qu’il est faux de dire que les employés n’avaient pas été formés pour effectuer leur travail, et précise qu’une formation était proposée à ceux qui le souhaitaient
  • La gamme de produits OverWatch existe depuis plus de 10 ans et continue d’être améliorée en fonction de l’évolution des menaces et des besoins des clients

À lire aussi

1 commentaires

 
GN⁺ 2024-09-14
Avis Hacker News

  • L’agent Mac de CrowdStrike (Falcon) envoie tous les secrets présents dans les variables d’environnement en clair vers un SIEM hébergé dans le cloud

    • Il est possible d’y rechercher des identifiants GitHub, AWS, etc.
    • Cela ne concerne que la version Mac, et il n’existe aucun moyen de désactiver ou de corriger ce comportement
    • Il est très probable qu’un grand nombre de secrets clients en clair soient stockés dans le SIEM

  • Jeff Gardner affirme que, chez CrowdStrike, seule la vitesse comptait et que le contrôle qualité n’était pas pris en compte

    • Il est difficile de se fier à l’avis d’un ancien employé licencié
    • Cet employé, en tant que designer, n’était probablement pas impliqué dans le contrôle qualité

  • Sur les 24 anciens employés, 10 ont été licenciés et 14 sont partis volontairement

    • Certains anciens employés avancent un point de vue différent
    • Joey Victorino affirme que CrowdStrike était rigoureux sur l’ensemble de ses activités

  • L’avis de Jeff Gardner reflète le point de vue d’un designer UX

    • Il est probable qu’il n’ait aucun lien avec le processus de déploiement des correctifs kernel

  • Les infrastructures logicielles critiques devraient être régulées comme les infrastructures physiques

    • Comme pour les bâtiments et les ponts, les logiciels devraient garantir leur fiabilité via une régulation et des inspections

  • L’équipe qui a déployé l’agent CrowdStrike a rencontré des problèmes de logs

    • Le daemon écrit énormément de logs, mais il n’existe aucun réglage pour les arrêter ou en réduire le volume

  • Les problèmes culturels chez CrowdStrike sont comparés à ceux de Knight Capital

    • Un problème culturel mineur peut déboucher sur un dysfonctionnement à l’échelle de toute l’entreprise

  • Le contrôle qualité est souvent insuffisant dans le développement logiciel

    • De nombreux projets sortent dans la précipitation sans avoir été suffisamment testés

  • Cela amène à réfléchir à la frontière entre prise de risque et recherche de sensations fortes

    • À partir d’un certain point, il ne s’agit plus de paresse ou de discipline, mais de névrose ou d’addiction

  • CrowdStrike conteste les informations publiées par Semafor

    • D’anciens employés mécontents peuvent chercher à donner une mauvaise image de l’entreprise
    • Mais la crédibilité de CrowdStrike est extrêmement faible

  • Malgré le pire scénario qui s’est produit, l’action CrowdStrike continue de monter

    • Elle surperforme toujours le S&P 500