Blog

 L'écran bleu de la mort, une épée de Damoclés

L'écran bleu de la mort, une épée de Damoclés

Mardi, 3 Septembre 2024

Panne CrowdStrike de juillet 2024, quelques réflexions

L’hyperconnexion engendre des risques systémiques

« L’écran bleu de la mort », expression qui symbolise l’arrêt des ordinateurs opérés par le système d’exploitation Windows de Microsoft, pourrait être le sous-titre du roman Off [1] dans lequel la principale héroïne est une panne électrique et donc informatique généralisée.

Lorsque la panne CrowdStrike du 19 juillet 2024 a mis à l’arrêt plusieurs millions de systèmes Windows partout dans le monde, la fiction devint réalité. Bloqués, les ordinateurs empêchèrent la réalisation de nombreux services essentiels aux organisations et aux populations.

Comme le roman, cette panne géante d’ampleur jusque-là inédite, nous interpelle sur la vulnérabilité croissante d’une société informatisée et hyperconnectée. Cela nous oblige également à nous interroger sur le modèle de société qui en découle et à comprendre nos dépendances techniques, économiques et géopolitiques.

Si nous nous sommes habitués à la réalité des cyberattaques, à la banalisation de toutes sortes de cybernuisances, en passant par la manipulation de l’information, le harcèlement, le sabotage ou la surveillance généralisée, si nous sommes convaincus que les dysfonctionnements informatiques sont inévitables alors il est inutile de revenir sur cette panne mondiale (et de lire la suite de cet article).

La panne CrowdStrike n’est pas due au hasard, ni au manque de chance, elle est en fait, révélatrice des risques complexes et systémiques que nous avons créés avec :

·      Le règne du capitalisme numérique;

.      L’ extractivisme et l’ exploitation des données ;

·       La globalisation technologique et la recentralisation des systèmes autours de très grandes infrastructures globales, quelques réseaux de distribution de contenus (CDN) planétaires, des services cloud hégémoniques, quelques logiciels très répandus par exemple au niveau des systèmes d’exploitation comme Windows ;

·       Les multiples dépendances et interdépendances des systèmes, écosystèmes, infrastructures critiques et numériques, liées notamment à l’interconnexion des systèmes et des entreprises (réseaux de sous-traitance).

La dépendance au service du techno-pouvoir

La dépendance technologique est avant tout une dépendance à des fournisseurs de technologie. Elle révèle les rapports de force à l’œuvre et met en évidence l’asymétrie qui existe entre ceux qui utilisent et ceux qui conçoivent, fabriquent, maintiennent, commercialisent, gèrent des matériels, logiciels, services et données et qui imposent les règles du jeu numérique.

Ainsi, les technologies et les infrastructures numériques, dont fait partie l’intelligence artificielle, constituent des instruments de domination, qu’elle soit culturelle, économique ou politique.

Seuls les acteurs qui maitrisent les technologies sont en mesure d’exprimer leur pourvoir et de projeter leur puissance.

La monoculture numérique façonne la société

La supériorité technologique passe par la soumission des utilisateurs à une monoculture numérique issue de la Silicon Valley, facilitée et amplifiée par la généralisation des pratiques de l’informatique en nuage (Cloud).

La soumission est totale, le modèle est unique, soi-disant sans alternative (TINA).

Cela s’exprime également par la soumission de la majorité des chercheurs, des enseignants, des développeurs et des entrepreneurs, sommés de préparer leurs étudiant·es à s’insérer dans des univers professionnels envahis par ces technologies dominantes.

L’innovation informatique s’inscrit dans une répétition de l’existant, imposée par des acteurs hégémoniques agissant via des structures multinationales et des plateformes informatiques transnationales.

Qu’il s’agisse du financement de la recherche, de partenariats publics-privés, de l’accès à la santé ou à l’énergie ou encore par exemple de la compétitivité des entreprises, l’informatisation de la société s’inscrit dans un cadre unique et uniforme d’exploitation intensive des données.

La monoculture numérique est un vecteur de nuisance qui a colonisé non seulement les territoires mais aussi l’imaginaire et l’esprit des personnes, ce qui contribue à les infantiliser.

Sans diversité, la plateformisation standardisée du monde est à l’œuvre pour servir des logiques d’automatisation, de surveillance et de contrôle, mais aussi et surtout de productivité et de profitabilité.

Cette uniformisation informatique accroit la vulnérabilité des infrastructures numériques. Elle est un facteur amplificateur des pannes et des dysfonctionnements, tout en participant à la performance et à l’efficacité des cyberattaques. Le manque de diversité des infrastructures, des modes de gestion et d’utilisation des ressources, uniformise la surface d’attaque. Les cibles étant les mêmes, les cyberattaques peuvent se déployer de façon efficace et rentable sur un nombre considérables de cibles avec des méthodologies d’attaques similaires. La circulation des virus informatiques est facilitée entrainant des cyberépidémies régulières et à très large échelle.

Rappel des faits de la panne CrowdStrike

L’entreprise américaine de cybersécurité CrowdStrike (la page d’accueil de son site rappelle qu’elle propose une « Plateforme unifiée et un agent unique pour une protection complète » [2] ), agit notamment comme un distributeur de mise à jour de « rustines » de sécurité informatique (patch). C’est un défaut de qualité de l’une de ces rustines et de son installation[3], qui a entrainé l’interruption en cascade en juillet 2024, de millions de systèmes affectant divers secteurs d’activités critiques (aviation, santé, banque et finance…).

Éléments de réflexion

Ce n’est pas la première fois que les produits et la cybersécurité de Microsoft sont mis en défaut. Ce fut le cas, pour ne citer qu’un autre exemple récent, lors de l’intrusion, par des acteurs malveillants, dans la solution de messagerie cloud de Microsoft (Microsoft Exchange Online) au printemps 2023.

L’Agence de cybersécurité de sécurité des infrastructures nord-américaine CISA estime dans son rapport « Cyber Safety Review Board » de mars 2024, que l’intrusion était évitable et n'aurait jamais dû se produire et conclut « … que la culture de Microsoft en matière de sécurité était inadéquate et nécessitait une refonte, en particulier à la lumière du rôle central de la société dans l’écosystème technologique et du niveau de confiance que les clients accordent à la société pour protéger leurs données et leurs opérations » [4].

Les principales causes pointées par ce rapport ayant facilité cette intrusion sont :

·       Cascade d’erreurs évitables de Microsoft.

·       Incapacité de Microsoft à détecter par elle-même la compromission.

·       Rôles et pratiques de sécurité de fournisseurs de services en nuage tiers à qui Microsoft a délégué des mesures de sécurité.

·       Le fait que Microsoft n’a pas détecté la compromission de l’ordinateur portable d’un employé d’une société acquise avant de l’autoriser à se connecter au réseau d’entreprise de Microsoft en 2021.

Par ailleurs, il est souligné : « … [qu’] une série de décisions opérationnelles et stratégiques de Microsoft, témoignent d’une culture d’entreprise qui ne priorisent pas les investissements de l’entreprise dans la sécurité et dans une gestion rigoureuse des risques ».

CrowdStrike faisait partie des entreprises consultées par la commission à l’origine du rapport. Comme Microsoft, elle ne pouvait ignorer ni son contenu, ni les obligations et responsabilités en matière de transparence, de conformité, des normes et standards des fournisseurs de service cloud et de cybersécurité.

Bien que l’entreprise CrowdStrike soit spécialisée en cybersécurité et que son rapport annuel « 2024 Global Threat Report »[5] avance le pourcentage de 75% d’augmentation du nombre d’intrusion dans le Cloud, force est de constater que la panne informatique mondiale de juillet 2024 ne résulte pas d’intrusions illégitimes. Elle n’est pas la conséquence d’actes d’origine cybercriminelle, ni celle de de cyberattaques sophistiquées. Aucun acteur hostile n’est à blâmer, la menace n’est pas d’origine terroriste, chinoise, russe ou nord-coréenne.

Désormais nous savons qu’il n’est nul besoin d’ennemi ou d’adversaires étatiques pour mettre à mal les infrastructures numériques. Il nous suffit d’installer des rustines de sécurité !

Ce qui devrait nous inciter à remettre en question la fiabilité de la cybersécurité et la responsabilité des fournisseurs. Au regard de leurs conditions contractuelles, ils ne sont responsables de rien et ne garantissent pas que leurs outils fonctionnent. Les risques potentiels qu’ils font courir à leurs clients sont énormes. Avec la mise à l’arrêt potentiel de millions d’ordinateurs et de toutes les activités qu’ils supportent, quelle compagnie d’assurance voudrait assurer de tels risques ?

Partant d’une volonté louable de corriger les failles de sécurité, ces mécanismes de mise-à-jour automatique à large échelle peuvent devenir des points de faiblesse majeurs lorsqu’ils déploient des correctifs problématiques. Cela, nous le savions déjà, notamment depuis les affaires Solarwinds (2020) Kaseya et  Log4shell .

La course de vitesse engagée entre les attaquants et les défenseurs des systèmes, en particulier face aux techniques d’attaques dites zero-day, met sous pression les équipes chargées de développer et de déployer les correctifs de sécurité, au point peut-être de réduire les phases de tests qui permettraient sans doute de vérifier convenablement leur innocuité avant de les déployer.

Nous ne pouvons plus ignorer que le manque de culture de sûreté, la déficience et la négligence, souvent associé à un certain cynisme et mauvaise foi de la part de quelques dirigeants, fragilisent tout l’édifice numérique.

Une logique d’urbanisation numérique contestable

Quelles que soient les raisons techniques et procédurales invoquées pour justifier la panne mondiale de juillet 2024, les deux principales entités qui en sont à l’origine, tentent de se dédouaner des conséquences subies par des tiers et d’en faire porter les coûts sur les victimes.

S’il est vrai qu’il y a eu un problème technique, ce dernier a été amplifié par une logique de commercialisation et de distribution de logiciels, une logique économique, une structure et des acteurs du marché de la cybersécurité. Cela concerne l’ensemble de la chaine d’approvisionnement de la cybersécurité, mais aussi la manière d’informatiser et d’automatiser toutes les tâches et activités humaines.

Ces crises à répétition me font penser au poème « La Conscience » de Victor Hugo ou Caïn essaye de fuir sa conscience et s’entête à construire un enfer dans lequel il s’enferme lui-même.

« L’œil était dans la tombe et regardait Caïn ». Victor Hugo

Notes

[1] P. Monnin, S. Ghernaouti, OFF. Editions Slatkine 2023.

[2] https://www.crowdstrike.fr/falcon-platform/

[3] Blog Crowdstrike.  “Channel File 291 Incident: Root Cause Analysis is Available. Read the findings, mitigations and technical details of the Channel File 291 incident”.

https://www.crowdstrike.com/blog/channel-file-291-rca-available/

[4] “Cyber Safety Review Board Releases Report on Microsoft Online Exchange Incident from Summer 2023”.

https://www.cisa.gov/resources-tools/resources/CSRB-Review-Summer-2023-MEO-Intrusion

[5] CrowdStrike 2024 Global Threat Report

https://www.crowdstrike.com/global-threat-report/

Pas de commentaire encore
Recherche