Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Delta Air Lines compte réclamer des dommages et intérêts à CrowdStrike et Microsoft

Le 30 juillet à 15h35

Delta Air Lines a engagé le célèbre avocat David Boies pour réclamer des dommages et intérêts à CrowdStrike et Microsoft, rapporte CNBC.

La panne CrowdStrike aurait en effet coûté entre 350 et 500 millions de dollars à la compagnie aérienne, qui doit depuis traiter plus de 176 000 demandes de remboursement après l'annulation de près de 7 000 vols.

La société de conseil en cyberassurance Parametrix estime que la panne causée par la mise à jour défectueuse de CrowdStrike pourrait coûter 15 milliards de dollars de pertes au niveau mondial, dont près de 900 millions pour les compagnies aériennes.

M. Boies est connu pour avoir représenté le gouvernement américain dans son procès antitrust historique contre Microsoft, mais également, relève CNBC, pour avoir contribué à la victoire d'une décision qui a annulé l'interdiction du mariage homosexuel en Californie. Il a aussi travaillé pour Harvey Weinstein, l'ancien magnat d'Hollywood emprisonné pour de multiples violences sexuelles, et pour la fondatrice de Theranos, Elizabeth Holmes, qui purge, elle aussi, une peine de prison pour avoir escroqué des investisseurs.

Wikipedia précise qu'il défend également plusieurs des victimes de Jeffrey Epstein, mais aussi que son cabinet avait recruté Black Cube, une agence de renseignement privée israélienne constituée par un « groupe de vétérans triés sur le volet, issus de l'unité d'élite d'intelligence israélienne, spécialisé dans des solutions sur mesure pour résoudre des enjeux business et des litiges complexes », afin d'espionner les victimes d'Harvey Weinstein, et les journalistes qui enquêtaient à son sujet.

Investopedia souligne que le ministère américain des Transports avait de son côté ouvert une enquête sur la série d'annulations et de retards subis par Delta Air Lines pour savoir si la compagnie aérienne avait protégé ses clients de manière adéquate.

Delta avait en effet été la plus touchée des grandes compagnies aériennes, alors que ses concurrentes United et American Airlines avaient annulé beaucoup moins de vols, et rétabli leurs services bien plus rapidement.

Des experts, interrogés par Business Insider, estiment cela dit que Delta, au vu des conditions générales de l'entreprise de cybersécurité, acceptées par ses clients, ne pourra probablement se voir rembourser que le coût du logiciel, pas ceux des vols annulés.

Le 30 juillet à 15h35

Commentaires (18)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Euh, pourquoi à Microsoft ?
votre avatar
Il y a eu un outage relatif à Azure sur les régions USA/Americas au même moment, j'ose espérer que ça se rapporte à ça, et non au choix d'une solution d'EDR qui n'est pas celle conseillée par Microsoft :]
votre avatar
Ça a l'air lié seulement au problème causé par CrowdStrike en lisant CNBC.
votre avatar
J'imagine que c'est pour avoir laissé le contrôle total via sa certification WHQL au driver de crowdstrike, et ne pas avoir pris des mesures préventives pour éviter qu'un driver foireux explose le système.

Par exemple visiblement sur linux il existe des protections supplémentaires pour éviter un kernel panic sur ce genre de driver externes.
votre avatar
Et quand un driver d'une solution de protection foire, tu fais quoi ? Tu démarres à poil ?
votre avatar
dans la logique, tu devrais redémarrer avec la version précédente, comme pour les pilotes...
votre avatar
Ici, c'était un fichier de configuration du pilote qui avait changé et qui faisait tout planter. Windows ne pouvait pas le savoir. Il était impossible pour l'OS de prendre une décision de retour en arrière lors d'un reboot.
votre avatar
Un driver n'a pas a foirer, qui plus est s'il n'est pas critique pour le système. Donc oui.
votre avatar
Et donc tu redémarres à poil, connecté à internet, sans sécurité, et tu te prends un ransomware global sur ton infra qui te cryptolock tout ton SI ? :]
votre avatar
Explique moi comment un virus peut désactiver un driver de protection antivirus sans avoir un contrôle total de l'ordinateur... Bref cette discussion est stérile, tu semble considérer qu'il est préférable de tanker un ordinateur plutot que de le laisser démarrer sans protection et en levant une alerte. Comme si démarrer un ordinateur sans protection suffisait a choper dans l'instant un virus
votre avatar
Explique moi comment un virus peut désactiver un driver de protection antivirus sans avoir un contrôle total de l'ordinateur...
Ce n'est pas le scénario que tu as évoqué.
Tu as parlé de démarrer sans le driver foiré, et explicitement répondu oui à "démarré à poil".

Par ailleurs, oui, c'est le but de tous les virus modernes d'infecter des machines sans avoir besoin du contrôle total ...
Comme si démarrer un ordinateur sans protection suffisait a choper dans l'instant un virus
Dans l'instant, pas forcément sur une machine à jour, mais dans l'heure, très certainement. Entre les scans de vulnérabilité qui viennent de l'extérieur pour essayer de trouver des angles d'attaque, des C&C potentiellement déjà dans le réseau, voir même des payloads déjà présent dans ta machine ...
Bref cette discussion est stérile, tu semble considérer qu'il est préférable de tanker un ordinateur plutot que de le laisser démarrer sans protection et en levant une alerte.
Oui, les "yaka" c'est toujours stérile :)
votre avatar
Ca dépend de ce que tu recherches. Si c'est la sécurité de ton SI, il vaut mieux un ordinateur temporairement HS et non compromis. Si c'est le gain à court terme, il vaut mieux un ordinateur compromis ou potentiellement compromis mais qui te permet de continuer à encaisser le pognon.
votre avatar
Tu es sûr que ce module est certifié WHQL ? J'ai lu que rien ne permettait de le dire.
votre avatar
Microsoft avait tenté de faire cette protection avec Vista, mais ça avait hurlé de tous les côtés...
votre avatar
Ce serait marrant que Delta arrive à gagner, parce que dans ce cas, les clients de Delta pourrait se retourner contre Delta pour obtenir des dommages et intérêts s'ils ont perdu de l'argent à cause d'un vol annulé (alors que dans la réalité, on a juste droit au remboursement du billet d'avion et basta)

A ce petit jeu, les vrais gagnants sont les avocats qui vont encaisser de l'argent tout en sachant que ça ne sert à rien.
votre avatar
Dernier paragraphe :
Des experts, interrogés par Business Insider, estiment cela dit que Delta, au vu des conditions générales de l'entreprise de cybersécurité, acceptées par ses clients, ne pourra probablement se voir rembourser que le coût du logiciel, pas ceux des vols annulés.
Ca va quand même être intéressant à suivre. En effet, ce genre de clause (pour ce genre de logiciel) est surtout là pour dire que le produit n'est pas infaillible et peut laisser passer des menaces. Si une menace passe et que votre infra tombe, on se limite à rembourser le logiciel, pas les conséquences.

Mais là, la panne a été causé PAR le logiciel lui-même. C'est autrement différent en guise de responsabilité.

Crowdstrike est d'autant plus responsable qu'on ne parle pas d'une entreprise qui est tombée à cause d'un bogue rarissime sur une configuration abscons (où, là encore, cela pourrait se discuter car il n'est pas possible de tester tous les cas), mais bien d'un plantage général d'un bogue qui n'est que de la responsabilité de Crowdstrie, avec des défauts dans les procédures de vérifications (cela a été annoncé par Crowdstrike même), et non testable avant par le client final car déployé automatiquement.

Bref, ce genre de clause, ici, ce n'est pas garantie qu'elle saute, mais ce n'est pas garantie qu'elle tienne non plus. Affaire à suivre.
votre avatar
Ce n'est pas parce que c'est déployé automatiquement que ce n'est pas testable. Beaucoup d'entreprises disposent d'un proxy qui peut très bien bloquer temporairement les mises à jour sur le parc en attendant que ce soit testé sur quelques machines de test.
votre avatar
Vrai en théorie. En pratique, c'est plus compliqué. Il faut savoir identifier précisément quel est le contenu à bloquer. Là, on parle d'un fichier de configuration. Est-ce qu'il faut bloquer tout le domaine et pas juste el fichier ? Si oui, ça risque de bloquer pas mal de chose légitime, pas que la mise à jour. Si tu bloques ressources par ressources, tu risques de bloquer à moitié les mises à jour, ou d'oublier de débloquer une ressource lorsque tu es prêt pour le déploiement.

Sans compter qu'il faudrait sans doute un certificat racine pour que le proxy puisse pleinement filtrer le contenu...

Sans compter le temps a y passer (et pour une solution de sécurité comme ça, cela pourrait être plusieurs fois par jour).

En bref, si la solution ne propose pas de base de solution pour contrôler les mises à jour, on peut très certainement y arriver, mais ce sera très casse-gueule et risque de créer plus de problème que cela est sensé résoudre.

Delta Air Lines compte réclamer des dommages et intérêts à CrowdStrike et Microsoft

Fermer