Delta Air Lines compte réclamer des dommages et intérêts à CrowdStrike et Microsoft

Par Jean-Marc Manach

Le 30 juillet à 15h35
Droit
3 min

Delta Air Lines a engagé le célèbre avocat David Boies pour réclamer des dommages et intérêts à CrowdStrike et Microsoft, rapporte CNBC.

La panne CrowdStrike aurait en effet coûté entre 350 et 500 millions de dollars à la compagnie aérienne, qui doit depuis traiter plus de 176 000 demandes de remboursement après l'annulation de près de 7 000 vols.

La société de conseil en cyberassurance Parametrix estime que la panne causée par la mise à jour défectueuse de CrowdStrike pourrait coûter 15 milliards de dollars de pertes au niveau mondial, dont près de 900 millions pour les compagnies aériennes.

M. Boies est connu pour avoir représenté le gouvernement américain dans son procès antitrust historique contre Microsoft, mais également, relève CNBC, pour avoir contribué à la victoire d'une décision qui a annulé l'interdiction du mariage homosexuel en Californie. Il a aussi travaillé pour Harvey Weinstein, l'ancien magnat d'Hollywood emprisonné pour de multiples violences sexuelles, et pour la fondatrice de Theranos, Elizabeth Holmes, qui purge, elle aussi, une peine de prison pour avoir escroqué des investisseurs.

Wikipedia précise qu'il défend également plusieurs des victimes de Jeffrey Epstein, mais aussi que son cabinet avait recruté Black Cube, une agence de renseignement privée israélienne constituée par un « groupe de vétérans triés sur le volet, issus de l'unité d'élite d'intelligence israélienne, spécialisé dans des solutions sur mesure pour résoudre des enjeux business et des litiges complexes », afin d'espionner les victimes d'Harvey Weinstein, et les journalistes qui enquêtaient à son sujet.

Investopedia souligne que le ministère américain des Transports avait de son côté ouvert une enquête sur la série d'annulations et de retards subis par Delta Air Lines pour savoir si la compagnie aérienne avait protégé ses clients de manière adéquate.

Delta avait en effet été la plus touchée des grandes compagnies aériennes, alors que ses concurrentes United et American Airlines avaient annulé beaucoup moins de vols, et rétabli leurs services bien plus rapidement.

Des experts, interrogés par Business Insider, estiment cela dit que Delta, au vu des conditions générales de l'entreprise de cybersécurité, acceptées par ses clients, ne pourra probablement se voir rembourser que le coût du logiciel, pas ceux des vols annulés.

Commentaires (18)


fred42 Abonné
Le 30/07/2024 à 15h52
Euh, pourquoi à Microsoft ?
Myifee Abonné
Le 30/07/2024 à 15h59
Il y a eu un outage relatif à Azure sur les régions USA/Americas au même moment, j'ose espérer que ça se rapporte à ça, et non au choix d'une solution d'EDR qui n'est pas celle conseillée par Microsoft :]
fred42 Abonné
Le 30/07/2024 à 16h03

Myifee

Il y a eu un outage relatif à Azure sur les régions USA/Americas au même moment, j'ose espérer que ça se rapporte à ça, et non au choix d'une solution d'EDR qui n'est pas celle conseillée par Microsoft :]
Ça a l'air lié seulement au problème causé par CrowdStrike en lisant CNBC.
Jos Abonné
Le 30/07/2024 à 16h00
J'imagine que c'est pour avoir laissé le contrôle total via sa certification WHQL au driver de crowdstrike, et ne pas avoir pris des mesures préventives pour éviter qu'un driver foireux explose le système.

Par exemple visiblement sur linux il existe des protections supplémentaires pour éviter un kernel panic sur ce genre de driver externes.
Gamble
Le 30/07/2024 à 16h03

Jos

J'imagine que c'est pour avoir laissé le contrôle total via sa certification WHQL au driver de crowdstrike, et ne pas avoir pris des mesures préventives pour éviter qu'un driver foireux explose le système.

Par exemple visiblement sur linux il existe des protections supplémentaires pour éviter un kernel panic sur ce genre de driver externes.
Et quand un driver d'une solution de protection foire, tu fais quoi ? Tu démarres à poil ?
Albirew Abonné
Le 30/07/2024 à 19h07

Gamble

Et quand un driver d'une solution de protection foire, tu fais quoi ? Tu démarres à poil ?
dans la logique, tu devrais redémarrer avec la version précédente, comme pour les pilotes...
fred42 Abonné
Le 30/07/2024 à 19h20

Albirew

dans la logique, tu devrais redémarrer avec la version précédente, comme pour les pilotes...
Ici, c'était un fichier de configuration du pilote qui avait changé et qui faisait tout planter. Windows ne pouvait pas le savoir. Il était impossible pour l'OS de prendre une décision de retour en arrière lors d'un reboot.
Jos Abonné
Le 31/07/2024 à 15h38

Gamble

Et quand un driver d'une solution de protection foire, tu fais quoi ? Tu démarres à poil ?
Un driver n'a pas a foirer, qui plus est s'il n'est pas critique pour le système. Donc oui.
Myifee Abonné
Le 31/07/2024 à 16h11

Jos

Un driver n'a pas a foirer, qui plus est s'il n'est pas critique pour le système. Donc oui.
Et donc tu redémarres à poil, connecté à internet, sans sécurité, et tu te prends un ransomware global sur ton infra qui te cryptolock tout ton SI ? :]
Jos Abonné
Le 01/08/2024 à 11h19

Myifee

Et donc tu redémarres à poil, connecté à internet, sans sécurité, et tu te prends un ransomware global sur ton infra qui te cryptolock tout ton SI ? :]
Explique moi comment un virus peut désactiver un driver de protection antivirus sans avoir un contrôle total de l'ordinateur... Bref cette discussion est stérile, tu semble considérer qu'il est préférable de tanker un ordinateur plutot que de le laisser démarrer sans protection et en levant une alerte. Comme si démarrer un ordinateur sans protection suffisait a choper dans l'instant un virus
Myifee Abonné
Le 01/08/2024 à 11h57

Jos

Explique moi comment un virus peut désactiver un driver de protection antivirus sans avoir un contrôle total de l'ordinateur... Bref cette discussion est stérile, tu semble considérer qu'il est préférable de tanker un ordinateur plutot que de le laisser démarrer sans protection et en levant une alerte. Comme si démarrer un ordinateur sans protection suffisait a choper dans l'instant un virus
Explique moi comment un virus peut désactiver un driver de protection antivirus sans avoir un contrôle total de l'ordinateur...


Ce n'est pas le scénario que tu as évoqué.
Tu as parlé de démarrer sans le driver foiré, et explicitement répondu oui à "démarré à poil".

Par ailleurs, oui, c'est le but de tous les virus modernes d'infecter des machines sans avoir besoin du contrôle total ...
Comme si démarrer un ordinateur sans protection suffisait a choper dans l'instant un virus


Dans l'instant, pas forcément sur une machine à jour, mais dans l'heure, très certainement. Entre les scans de vulnérabilité qui viennent de l'extérieur pour essayer de trouver des angles d'attaque, des C&C potentiellement déjà dans le réseau, voir même des payloads déjà présent dans ta machine ...
Bref cette discussion est stérile, tu semble considérer qu'il est préférable de tanker un ordinateur plutot que de le laisser démarrer sans protection et en levant une alerte.


Oui, les "yaka" c'est toujours stérile :)
Gamble
Le 01/08/2024 à 14h16

Jos

Un driver n'a pas a foirer, qui plus est s'il n'est pas critique pour le système. Donc oui.
Ca dépend de ce que tu recherches. Si c'est la sécurité de ton SI, il vaut mieux un ordinateur temporairement HS et non compromis. Si c'est le gain à court terme, il vaut mieux un ordinateur compromis ou potentiellement compromis mais qui te permet de continuer à encaisser le pognon.
fred42 Abonné
Le 30/07/2024 à 16h04

Jos

J'imagine que c'est pour avoir laissé le contrôle total via sa certification WHQL au driver de crowdstrike, et ne pas avoir pris des mesures préventives pour éviter qu'un driver foireux explose le système.

Par exemple visiblement sur linux il existe des protections supplémentaires pour éviter un kernel panic sur ce genre de driver externes.
Tu es sûr que ce module est certifié WHQL ? J'ai lu que rien ne permettait de le dire.
Etre_Libre Abonné
Le 31/07/2024 à 06h41

Jos

J'imagine que c'est pour avoir laissé le contrôle total via sa certification WHQL au driver de crowdstrike, et ne pas avoir pris des mesures préventives pour éviter qu'un driver foireux explose le système.

Par exemple visiblement sur linux il existe des protections supplémentaires pour éviter un kernel panic sur ce genre de driver externes.
Microsoft avait tenté de faire cette protection avec Vista, mais ça avait hurlé de tous les côtés...
Gamble
Le 30/07/2024 à 15h58
Ce serait marrant que Delta arrive à gagner, parce que dans ce cas, les clients de Delta pourrait se retourner contre Delta pour obtenir des dommages et intérêts s'ils ont perdu de l'argent à cause d'un vol annulé (alors que dans la réalité, on a juste droit au remboursement du billet d'avion et basta)

A ce petit jeu, les vrais gagnants sont les avocats qui vont encaisser de l'argent tout en sachant que ça ne sert à rien.
fdorin Abonné
Le 31/07/2024 à 09h26
Dernier paragraphe :
Des experts, interrogés par Business Insider, estiment cela dit que Delta, au vu des conditions générales de l'entreprise de cybersécurité, acceptées par ses clients, ne pourra probablement se voir rembourser que le coût du logiciel, pas ceux des vols annulés.


Ca va quand même être intéressant à suivre. En effet, ce genre de clause (pour ce genre de logiciel) est surtout là pour dire que le produit n'est pas infaillible et peut laisser passer des menaces. Si une menace passe et que votre infra tombe, on se limite à rembourser le logiciel, pas les conséquences.

Mais là, la panne a été causé PAR le logiciel lui-même. C'est autrement différent en guise de responsabilité.

Crowdstrike est d'autant plus responsable qu'on ne parle pas d'une entreprise qui est tombée à cause d'un bogue rarissime sur une configuration abscons (où, là encore, cela pourrait se discuter car il n'est pas possible de tester tous les cas), mais bien d'un plantage général d'un bogue qui n'est que de la responsabilité de Crowdstrie, avec des défauts dans les procédures de vérifications (cela a été annoncé par Crowdstrike même), et non testable avant par le client final car déployé automatiquement.

Bref, ce genre de clause, ici, ce n'est pas garantie qu'elle saute, mais ce n'est pas garantie qu'elle tienne non plus. Affaire à suivre.
Gamble
Le 01/08/2024 à 14h20
Ce n'est pas parce que c'est déployé automatiquement que ce n'est pas testable. Beaucoup d'entreprises disposent d'un proxy qui peut très bien bloquer temporairement les mises à jour sur le parc en attendant que ce soit testé sur quelques machines de test.
fdorin Abonné
Le 01/08/2024 à 14h31

Gamble

Ce n'est pas parce que c'est déployé automatiquement que ce n'est pas testable. Beaucoup d'entreprises disposent d'un proxy qui peut très bien bloquer temporairement les mises à jour sur le parc en attendant que ce soit testé sur quelques machines de test.
Vrai en théorie. En pratique, c'est plus compliqué. Il faut savoir identifier précisément quel est le contenu à bloquer. Là, on parle d'un fichier de configuration. Est-ce qu'il faut bloquer tout le domaine et pas juste el fichier ? Si oui, ça risque de bloquer pas mal de chose légitime, pas que la mise à jour. Si tu bloques ressources par ressources, tu risques de bloquer à moitié les mises à jour, ou d'oublier de débloquer une ressource lorsque tu es prêt pour le déploiement.

Sans compter qu'il faudrait sans doute un certificat racine pour que le proxy puisse pleinement filtrer le contenu...

Sans compter le temps a y passer (et pour une solution de sécurité comme ça, cela pourrait être plusieurs fois par jour).

En bref, si la solution ne propose pas de base de solution pour contrôler les mises à jour, on peut très certainement y arriver, mais ce sera très casse-gueule et risque de créer plus de problème que cela est sensé résoudre.
Fermer