Bug CrowdStrike - Un blâme pour l'UE ?

Le « bug CrowdStrike », lié à une mise à jour de l'EDR CrowdStrike Falco, logiciel de cybersécurité, aurait fait « planter » en un instant, plus de 8,5 millions d'ordinateurs dans le monde entier. Conséquence directe : Arrêt de de nombreux services (Aéroports, médias, banques, etc…). Crowdstrike a immédiatement reconnu sa responsabilité et a réagi dans la foulée en sortant un correctif. Mais à l’heure qu’il est, et du fait que dans une grande majorité des cas les corrections doivent se faire manuellement, de nombreux ordinateurs n’en sont encore qu’aux prémices des réparations. Blessé dans son amour-propre, Microsoft, mis très injustement en cause au moment des faits, s’est vite retrouvé sous le feu des projecteurs et contre-attaque aujourd’hui en s’en prenant à l’Union Européenne. C’est ce que rapporte un porte-parole de l’éditeur au sujet de l’incident dans un article pour le Wall Street Journal. Il aurait déclaré qu'un accord a été conclu en 2009 entre Microsoft et la Commission Européenne.

D’après cet accord, l’UE aurait imposé à Microsoft de ne pas verrouiller l'accès au noyau (kernel) de son système d’exploitation, ce qui peut implicitement, affecter la sécurité de ses ordinateurs. Ce que précise aussi le porte-parole, c’est qu'au courant de cette même année, suite à une plainte « anti-concurrentielle », Microsoft a convenu avec l'Union Européenne, principalement pour le partage de ses APIs, d'accorder le même niveau d'accès que le leur aux fabricants de logiciels de sécurité. Par conséquent, les éditeurs tiers, tel que CrowdStrike, bénéficient d'un accès au noyau de Windows et comme l'EDR CrowdStrike Falco fonctionne en mode Kernel avec des accès matériels élargis et des privilèges élevés, le bug, lié à sa mise à jour, a fait planter le système d'exploitation des ordinateurs. Voilà pourquoi l'Union Européenne serait co-responsable du séisme que l'on vient de vivre, dixit Microsoft, sans quoi, il n'y aurait pas eu cette crise mondiale.

Maintenant, je suis plus que dubitatif sur la pertinence de cette accusation, ça ressemble à de la mauvaise foi ou plutôt à un aveux d'échec de Microsoft à toujours vouloir garder une longueur d'avance sur les autres. D'ailleurs, l'éditeur, au travers de ce document, dit que la panne n'a touché qu'un peu moins de 1% des ordinateurs sous Windows, et particulièrement des entreprises qui gèrent de nombreux services critiques (essentiels), donc des organisations importantes, sans préciser, bien évidemment, qu'elle affecte aussi ses propres machines Cloud en lien direct avec son offre Windows 365.

Faut-il pour autant revoir les conditions de cet accord entre l’Union Européenne et Microsoft, je ne pense pas. Ce qui est sûr, rapport à cet incident, c’est que tout le monde est sur le même pied d’égalité. Le territoire Européen n’est pas le seul concerné par ce bug, c’est toute la planète qui a été touchée. Et pourtant, en ne prenant que cet exemple, les Etats Unis d’Amérique, qui n’ont pourtant pas imposé à Microsoft le même niveau de restriction concernant le verrouillage de l'accès au noyau de son OS, ont vu eux aussi leurs ordinateurs « essuyer » les mêmes BSoD (Blue Screen of Death), ces fameux « écrans bleus de la mort », liés à ce bug.

Chauvinisme ou zest de « jalousie » de Microsoft à l’égard des firmes comme Google et Apple qui n'ont jamais été contraintes à accepter un tel accord avec l'Union Européenne ? Bref, avec les géants de l’IT d’outre-manche, c’est souvent la même chose : « C’est pas nous, c’est les autres ». Quelle conclusion faut-il en tirer, compatir et chanter « la faute à qui donc, la faute à Napoléon » ? A chacun son opinion…

Sources de ce billet.