Un logo de Crowdstrike à Madrid, en Espagne, le 19 juillet 2024. /CFP

Un bug logiciel dans le système de contrôle qualité de CrowdStrike est à l’origine de la mise à jour logicielle qui a fait planter des ordinateurs dans le monde entier la semaine dernière, a déclaré mercredi l’entreprise américaine, alors que les pertes s’accumulent après la panne qui a perturbé des services allant de l’aviation aux services bancaires.

L’ampleur des dégâts causés par la mise à jour ratée est encore en cours d’évaluation. Le 20 juillet, Microsoft a déclaré que près de 8,5 millions d’appareils Windows avaient été touchés, et la commission de la sécurité intérieure de la Chambre des représentants des États-Unis a envoyé une lettre au PDG de CrowdStrike, George Kurtz, lui demandant de témoigner.

Le coût financier a également commencé à se faire sentir mercredi. L’assureur Parametrix a déclaré que les entreprises américaines du Fortune 500, à l’exclusion de Microsoft, subiraient des pertes de 5,4 milliards de dollars à la suite de la panne, et le ministre malaisien du numérique a appelé CrowdStrike et Microsoft à envisager d’indemniser les entreprises touchées.

La panne s’est produite parce que Falcon de CrowdStrike, une plate-forme avancée qui protège les systèmes contre les logiciels malveillants et les pirates informatiques, contenait une faille qui forçait les ordinateurs exécutant le système d’exploitation Windows de Microsoft à planter et à afficher « l’écran bleu de la mort ».

« En raison d’un bug dans le validateur de contenu, l’une des deux instances de modèle a réussi la validation malgré le fait qu’elle contenait des données de contenu problématiques », a déclaré CrowdStrike dans un communiqué, faisant référence à l’échec d’un mécanisme de contrôle qualité interne qui a permis aux données problématiques de passer à travers les contrôles de sécurité de l’entreprise.

Il n’y a aucun signe indiquant que Microsoft envisage de limiter l’accès de CrowdStrike au système d’exploitation Windows à la suite de la panne, a déclaré mercredi une personne familière du problème.

CrowdStrike n’a pas précisé quelles étaient ces données de contenu, ni pourquoi elles posaient problème. Une « instance de modèle » est un ensemble d’instructions qui guide le logiciel sur les menaces à rechercher et sur la manière d’y répondre. CrowdStrike a déclaré avoir ajouté un « nouveau contrôle » à son processus de contrôle qualité afin d’éviter que le problème ne se reproduise.

CrowdStrike a publié la semaine dernière des informations pour réparer les systèmes affectés, mais les experts ont déclaré que les remettre en ligne prendrait du temps car cela nécessiterait d’éliminer manuellement le code défectueux.

La déclaration de mercredi est conforme à une évaluation largement répandue parmi les experts en cybersécurité selon laquelle quelque chose avait mal tourné dans le processus de contrôle qualité de CrowdStrike.

L’incident a également suscité des inquiétudes parmi les experts, car de nombreuses organisations ne sont pas bien préparées à mettre en œuvre des plans d’urgence lorsqu’un point de défaillance unique, tel qu’un système informatique ou un logiciel qu’il contient, tombe en panne.

Une panne informatique mondiale est un signal d’alarme pour une cybersécurité plus résiliente, selon les experts