Une Poursuite Contre CrowdStrike : Accusations de Mensonges sur l’Intégrité de ses Systèmes
Des actionnaires de CrowdStrike ont engagé une action en justice aux États-Unis, affirmant que la société de cybersécurité a fait des déclarations fausses et trompeuses concernant l’intégrité de sa technologie. Ils soutiennent également que CrowdStrike les a trompés en dissimulant que le manque d’attention accordé aux tests logiciels pourrait être à l’origine de l’incident survenu le 19 juillet, qui a provoqué l’effondrement de millions d’ordinateurs à travers le monde.
Selon les éléments actuellement connus de l’enquête, la panne a été causée par une mise à jour défectueuse du capteur de détection et de réponse géré (MDR) Falcon de CrowdStrike, qui a été validée pour lancement par un validateur de contenu automatique défectueux. Lorsqu’elle a été déployée sur des systèmes Windows vulnérables, elle a entraîné une condition de mémoire hors limites, provoquant un crash fatal.
Cette défaillance a touché plus de huit millions d’ordinateurs, perturbant les opérations d’organisations dans divers secteurs tels que l’aviation, l’éducation, les services financiers, la santé et le commerce de détail. Les compagnies aériennes, notamment Delta Air Lines aux États-Unis, ont été particulièrement touchées.
La société d’assurance Parametrix estime que rien qu’avec les entreprises du Fortune 500, les pertes pourraient dépasser 5,4 milliards de dollars, et que l’incident pourrait coûter plus de 15 milliards de dollars si l’on prend en compte d’autres acteurs.
Dans le cadre de la plainte déposée auprès du tribunal de district des États-Unis pour le district ouest du Texas à Austin, l’association de retraite et de prestations de Plymouth County, basée dans le Massachusetts, représentée par le cabinet d’avocats new-yorkais Labaton Keller Sucharow, accuse les défendeurs, y compris le PDG de CrowdStrike, George Kurtz, de vanter à plusieurs reprises l’efficacité de sa plateforme Falcon tout en assurant aux investisseurs qu’elle était entièrement « validée, testée et certifiée » lors d’une conférence téléphonique sur les résultats de mars 2024.
La plainte du fonds allègue que ces déclarations étaient fausses et trompeuses car elles n’ont pas révélé que CrowdStrike avait mis en place des « contrôles déficients » dans le processus de mise à jour de Falcon et qu’elle ne les testait pas correctement avant leur déploiement.
La poursuite soutient également que ce « test logiciel inadéquat » a créé un risque substantiel qu’une mise à jour de Falcon puisse entraîner une panne grave, comme celle observée en juillet, et que ces pannes ont pu, et ont effectivement, causé un « dommage réputationnel substantiel et un risque juridique ».
En fin de compte, le plaignant affirme que cela a conduit à ce que l’action de CrowdStrike, qui a subi une forte baisse sur les marchés mondiaux, se négocie à des « prix artificiellement élevés ».
Dans une déclaration aux médias, un porte-parole de CrowdStrike a déclaré : « Nous croyons que cette affaire n’a pas de fondement et nous défendrons vigoureusement l’entreprise. »
Delta : Une Réaction Légale Inévitable
Parallèlement, d’autres entreprises, dont Delta, engagent également des poursuites contre CrowdStrike à la suite de cet incident. Delta a recruté l’avocat de renom David Boies, qui a précédemment combattu Microsoft dans une affaire antitrust dans les années 1990 et a été l’avocat principal de l’ancien vice-président Al Gore lors des contestations du décompte des voix en Floride en 2000.
Lors d’une interview avec CNBC le 31 juillet, le PDG de Delta, Ed Bastian, a déclaré que tous ses systèmes fonctionnaient à nouveau, mais que l’expérience avait été « terrible » et a présenté ses excuses aux passagers affectés, y compris des athlètes américains se rendant aux Jeux Olympiques de Paris, ainsi qu’au personnel.
« Nous sommes très dépendants de Microsoft et de CrowdStrike. Nous sommes de loin les plus exposés dans l’industrie avec les deux, et nous avons donc été les plus touchés en termes de capacité de récupération », a déclaré Bastian.
Il a ajouté qu’étant donné que CrowdStrike et Microsoft sont en concurrence dans le domaine de la cybersécurité, leur collaboration n’est pas aussi efficace que les clients communs pourraient l’espérer, et que cet incident a été un appel à toutes les organisations pour tenir les entreprises technologiques responsables de leur coopération.
« Cela nous a coûté un demi-milliard de dollars », a-t-il déclaré, ajoutant que Delta n’avait « pas d’autre choix » que de poursuivre, citant des dépenses significatives chaque jour pendant presque une semaine pour compenser et fournir un hébergement temporaire à des milliers de passagers bloqués.
« Si vous voulez avoir un accès prioritaire à l’écosystème Delta en termes de technologie, vous devez tester les systèmes. Vous ne pouvez pas entrer dans une opération critique 24/7 et nous dire que nous avons un bug, que cela ne fonctionne pas », a-t-il conclu.
