Dans une lettre publiée lundi, la commission de la sécurité intérieure de la Chambre a exigé davantage de transparence de la part du PDG de CrowdStrike, George Kurtz, après que des pannes mondiales majeures aient été déclenchées par un « défaut » dans une récente mise à jour du logiciel Falcon Sensor de CrowdStrike.
Considéré par certains comme « la plus grande panne informatique de l’histoire », le problème a retardé ou annulé des milliers de vols, désactivé les appels d’urgence, reporté des opérations chirurgicales et impacté les banques, ont écrit le président du comité Mark Green (R-Tenn.) et le président du sous-comité sur la cybersécurité et la protection des infrastructures Andrew Garbarino (R-NY) dans la lettre.
« En moins d’une journée, nous avons constaté des impacts majeurs sur des fonctions clés de l’économie mondiale, notamment l’aviation, la santé, la banque, les médias et les services d’urgence », peut-on lire dans leur lettre. « Sachant que les Américains ressentiront sans aucun doute les conséquences durables et concrètes de cet incident, ils méritent de savoir en détail comment cet incident s’est produit et les mesures d’atténuation prises par CrowdStrike. »
CrowdStrike n’est peut-être pas très connu du grand public, mais comme l’a souligné le New York Times, il s’agit de la deuxième plus grande société de cybersécurité américaine, utilisée par plus de la moitié des entreprises du Fortune 500. Réagissant rapidement pour corriger le défaut logiciel, CrowdStrike s’est empressé de rassurer sa clientèle mondiale, en expliquant comment elle accélère les corrections et en créant un « centre d’orientation » continuellement mis à jour où les clients peuvent se tenir au courant des derniers correctifs et surveiller les risques de sécurité émergents.
Mais même des solutions soi-disant « faciles » ont entraîné des retards importants, obligeant les clients à redémarrer les systèmes. supprimer manuellement ou à plusieurs reprises les fichiers défectueux des ordinateurs, un par un. La commission de la Chambre craignait que les pénuries de main-d’œuvre n’entraînent davantage de retards de réparation et a demandé à Kurtz d’expliquer en détail les prochaines étapes pour CrowdStrike et avertissant que tout retard supplémentaire « pourrait sérieusement affecter les Américains ».
« Bien qu’une solution à cette mise à jour logicielle défectueuse ait été identifiée, les rapports indiquent qu’il pourrait falloir des jours pour résoudre cet incident et des millions d’heures de travail manuel, ce qui est d’autant plus difficile à résoudre en raison de notre importante pénurie de main-d’œuvre dans le domaine de la cybersécurité », indique leur lettre.
Jusqu’à présent, CrowdStrike a pris des mesures pour être transparent sur les risques de sécurité, en alertant les clients des acteurs malveillants qui ont réellement exploité le bug « pour distribuer une archive ZIP malveillante ». Ces attaques visaient apparemment les clients CrowdStrike basés en Amérique latine, en utilisant des noms de fichiers et des instructions en espagnol dans l’archive ZIP, a averti CrowdStrike. Mais CrowdStrike a affirmé être équipé pour lutter contre les risques de sécurité dès qu’ils sont détectés, écrivant dans le centre d’orientation que son « équipe est entièrement mobilisée pour assurer la sécurité et la stabilité des clients CrowdStrike ».
Toutefois, pour les clients toujours préoccupés par les vulnérabilités, CrowdStrike a recommandé que toutes les communications avec CrowdStrike restent uniquement dans les canaux officiels pour éviter toute activité malveillante.
« Nous savons que des adversaires et des acteurs malveillants tenteront d’exploiter des événements comme celui-ci », a déclaré Kurtz dans un communiqué fourni dans le centre d’orientation. « J’encourage tout le monde à rester vigilant et à s’assurer que vous communiquez avec les représentants officiels de CrowdStrike. Notre blog et notre support technique continueront d’être les canaux officiels pour les dernières mises à jour. »
Bien que la commission de la Chambre des représentants ait déclaré à CrowdStrike qu’elle appréciait « la réponse de CrowdStrike et sa coordination avec les parties prenantes », les législateurs restent préoccupés par « l’ampleur mondiale de cet incident ». Et s’ils sont soulagés que le problème ne soit pas dû à une cyberattaque, ils restent également préoccupés par la sécurité nationale précisément parce que des acteurs malveillants « ont déjà saisi l’occasion et cherché à exploiter la vulnérabilité ».
« Pour protéger nos infrastructures critiques, nous devons tirer les leçons de cet incident et veiller à ce qu’il ne se reproduise pas », ont-ils indiqué dans leur lettre. « Cet incident doit servir d’avertissement plus large sur les risques pour la sécurité nationale associés à la dépendance au réseau. »