16 Août 2024
Olivier
L’entreprise de cybersécurité CrowdStrike doit se protéger contre une vague de poursuites juridique après avoir causer une panne majeur de millions de systèmes Microsoft. Une mise à jour bâclée du logiciel de sécurité avait fait planter des millions d’ordinateurs et perturbé les activités commerciales à travers le monde. L’enjeu des nombreux procès se jouera toutefois dans les détails des conditions d’utilisation.
Comme la panne risque d’engendrer de nombreuses poursuites, nous avons cru bon aborder les enjeux qui se trouvent au centre de ces litiges. Vous verrez que malgré les dégâts importants subis par les victimes, celles-ci ont peu de recours pour se faire remboursé leur pertes.
CrowdStrike a bel et bien reconnu être responsable de la panne. L’incident a engendré plus de 5 milliards de dollars en pertes financières. Il y a néanmoins de fortes chances que l’entreprise ne se trouve obligée de payer seulement une faible fraction de ces pertes. Voyons donc maintenant un peu plus en détails les faits au cœur de la question.
Le 19 juillet, Jonathan Cardi et sa famille ont vu le tableau des départs de l’aéroport international de Raleigh-Durham en Caroline du Nord passer du vert au rouge. « Oh mon dieu, c’était de la folie », dit Cardi. « Retardé, retardé, retardé, retardé. »
Cardi est professeur de droit à l’université Wake Forest et membre de l’American Law Institute. Il devait alors prendre un vol avec Delta Airlines pour se rendre à une conférence à Fort Lauderdale, en Floride.
Avec des milliers d’autres voyageurs, il a passé la journée à faire la queue pendant que le personnel continuait de dire aux gens que les vols « allaient décoller à tout moment », se rappelle-t-il. À un certain moment, il est devenu évident que les avions n’allaient nulle part. Il a alors fait le voyage de 11 heures en voiture de location. Il a appris plus tard que certains de ses collègues qui se rendaient aussi à la conférence ont dû dormir à l’aéroport.
Le chaos était le résultat d’une mise à jour logicielle publiée par l’entreprise de cybersécurité CrowdStrike. Celle-ci contenait un défaut qui a fait planter des millions d’ordinateurs propulsés par Microsoft Windows.
La panne informatique a alors perturbé des compagnies aériennes, des services financiers et diverses autres industries. Son impact aurait causé des pertes financières estimées à plus de 5 milliards de dollars.
« Parce qu’il y a eu tant d’argent perdu, il va y avoir des poursuites judiciaires », explique Cardi. Celui-ci se spécialise dans le domaine du droit de la responsabilité civile pour les pertes ou dommages. On observe d’ailleur que les querelles juridiques commencent déjà.
Le 29 juillet, l’entreprise aérienne Delta a informé CrowdStrike et Microsoft de son intention de poursuivre en justice. Elle réclame les 500 millions de dollars qu’elle prétend avoir perdus à la suite de la panne.
Un recours collectif a aussi été déposé par le cabinet d’avocats Labaton Keller Sucharow au nom des actionnaires de CrowdStrike. Les plaignants affirment qu’ils ont été induits en erreur au sujet des pratiques de l’entrerise à propos des test des logiciels.
Un autre cabinet d’avocats, le Gibbs Law Group, a également annoncé qu’il songeait à intenter une action collective au nom des petites entreprises touchées par la panne.
CrowdStrike a répondu à une question du magazine WIRED sur le recours collectif des actionnaires. L’entreprise déclare : « Nous croyons que cette affaire n’est pas fondée et nous allons défendre vigoureusement la société. »
Dans une lettre adressée au conseiller juridique de Delta, un représentant légal de l’entreprise affirme que CrowdStrike « rejette catégoriquement toute allégation selon laquelle elle aurait commis une négligence grave ou une faute intentionnelle ». Microsoft a refusé de commenter. Le conseiller juridique de Delta a refusé toutes les demandes d’entrevue.
Ceux qui espèrent récupérer des pertes financières devront trouver des moyens créatifs de monter leurs affaires contre CrowdStrike. L’entreprise est largement protégée par les clauses typiques des contrats logiciels qui limitent sa responsabilité, dit Cardi. Il peut sembler intuitif que CrowdStrike soit responsable de son erreur. L’entreprise est toutefois probablement « assez bien protégée » par les petits caractères.
CrowdStrike admet être responsable de la panne. Malgré cela, ni les clients directs ni les entreprises perturbées par la proximité ( les clients des clients de CrowdStrike) ne pourront facilement recouvrer leurs pertes. La première question à déterminer est : Pour quelle raison poursuivraient-ils CrowdStrike? Il y a une poignée d’options théoriques. Celles-ci incluent la rupture de contrat, la négligence ou la fraude. Aucune d’entre elles n’est toutefois simple à prouver.
Les clients peuvent soutenir que CrowdStrike a violé son contrat d’une manière ou d’une autre. Le professeur agrégé de droit à la London School of Economics and Political Science, Paul MacMahon, crois toutefois que les gains seraient peu importants. Il affirme que « le montant qu’ils pourraient récupérer est susceptible d’être sévèrement limité par la clause de limitation ».
Le but de toute clause de limitation est d’agir comme une sorte de carte de sortie de prison. Elle limite la quantité d’argent qu’un fournisseur de logiciels doit payer à un montant maximal. Le contenu spécifique des contrats conclus par CrowdStrike et ses clients diffère d’un cas à l’autre. Les conditions générales limitent toutefois la responsabilité de CrowdStrike au seul montant que ses clients paient pour ses services.
Dans la lettre adressée à l’avocat de Delta, le représentant de CrowdStrike affirme que la responsabilité de la compagnie est plafonnée à une poignée de millions (moins de 10). C’est bien en deçà des 500 millions de dollars que la compagnie aérienne prétend avoir perdus à cause de la panne.
Pour recouvrer une somme plus importante, Delta et d’autres clients devraient convaincre un tribunal que la clause est intrinsèquement injuste et donc inapplicable. L’entreprise pourrait aussi soutenir que CrowdStrike a commis une fraude.
Colm McGrath, maître de conférences en droit au King’s College de Londres et co-rédacteur du Journal of Professional Negligence, croit que cette voie ne serait pas simple non plus. Il affirme que: « tout dépendra des particularités des différents contrats que l’une entreprise a avec l’autre ». McGrath affirme néanmoins que lorsqu’il s’agit d’« entités commerciales de premier ordre », les tribunaux sont généralement enclins à respecter les conditions de tout accord. Ils jugent souvent que celles-ci résultent de « négociations difficiles entre elles dans une compréhension claire des risques ».
Rosemary Rivas est une associée de Gibbs Law Group, qui dirige l’enquête sur la présentation d’un recours collectif au nom des petites entreprises. Celles-ci incluent à la fois les clients de CrowdStrike et ceux touchés indirectement par la panne. Madame Rivas a refusé de commenter les défis posés par les modalités de CrowdStrike. Elle affirme seulement que sa firme « parle à un large éventail d’entreprises » dans le cadre de son enquête.
Les entreprises qui n’ont pas de relation contractuelle directe avec CrowdStrike, quant à elles, ne sont pas touchées par une clause de limitation. Malgré cela, elles « n’auront probablement pas de réclamation en premier lieu », explique MacMahon.
Elles ne pourront pas poursuivre pour bris de contrat. C’est dû à la simple et bonne raison qu’il n’y en a pas. Elles ne peuvent pas non plus poursuivre pour négligence. Les lois pertinentes en ce sens s’appliquent uniquement aux blessures corporelles ou aux dommages matériels. Elles ne couvrent pas pertes économiques au sens large.
Le professeur MacMahon compare la situation dans laquelle se trouve CrowdStrike à celle de l’entreprise dont le porte-conteneurs a détruit un pont à Baltimore au mois de mars. L’effondrement avait alors coûté cher à toute entreprise qui aurait pu utiliser le pont. Les pertes étaient toutefois purement financières, donc impossible à réclamer. Il en va de même pour les entreprises perturbées par la panne du mois de juillet. « Je suis sûr qu’ils n’ont pas de revendication », insiste MacMahon.
Les divers obstacles ne vont toutefois pas empêcher les poursuites judiciaires de s’accumuler contre CrowdStrike. D’après les experts, l’ampleur des pertes financières en cause est unique. Il y a eu peu de procès qui ont mis à l’épreuve les limitations de responsabilité incluses dans les contrats logiciels. D’après Brian Fox, directeur technique chez Sonatype. « Cela pourrait être un moment charnière ».
« Le plaisir et la difficulté du droit, c’est que vous et moi pourrions négocier un contrat dans lequel j’exclus [de la responsabilité] tout ce qui se trouve sous le soleil, mais vous ne savez pas si cela va fonctionner jusqu’à ce que vous le découvriez devant les tribunaux », explique McGrath. « Il se peut fort bien que le tribunal décide que ce que vous avez convenu dans le contrat n’est tout simplement pas permis dans les limites de la loi d’une juridiction donnée. »
Il existe également des raisons distinctes pour lesquelles diverses victimes pourrait intenter une action en justice. Dans les allers-retours très publics entre Delta et CrowdStrike, par exemple, il peut y avoir un élément de posture, explique McGrath.
« Quel que soit le jeu auquel vous jouez dans un litige, il s’agit parfois de vous assurer d’obtenir les recours juridiques qui vous semblent appropriés. Mais parfois, il s’agit de relations publiques et de publicité. Dans les grandes entités commerciales, je soupçonne qu’il y a une discussion minutieuse sur lequel des deux impératifs est le plus urgent. »
Dans sa lettre à Delta, CrowdStrike pointe du doigt la compagnie aérienne. Elle souligne le temps qu’il a fallu à Delta pour se remettre de la panne par rapport aux autres compagnies aériennes qui ont rétabli leurs activités beaucoup plus rapidement. Le représentant de CrowdStrike affirme: « Delta menace publiquement de poursuites judiciaires … a contribué à une description trompeuse selon laquelle CrowdStrike est responsable des décisions de Delta en matière de TI et de la réponse à la panne ».
La lettre contient également des avertissements éloquents concernant la volonté de CrowdStrike de se défendre. « Bien que les litiges seraient malheureux, CrowdStrike réagira avec agressivité, si elle y est contrainte, afin de protéger ses actionnaires, ses employés et d’autres parties prenantes. »
Kevin Benacci, directeur principal des communications corporatives chez CrowdStrike, s’est entretenu avec WIRED. Il a déclaré que la société avait déjà exprimé ses regrets et présenté des excuses à tous ses clients. M. Benacci a suggéré que les menaces juridiques de Delta sont considérées comme « des déclarations publiques », ce qui « n’est pas constructif pour les parties ». « Nous espérons que Delta acceptera de travailler en collaboration pour trouver une solution », explique-t-il.
Même si CrowdStrike a reconnu avoir causé la panne et qu’il y a eu des milliards de dollars de dommages, le coût sera sans doute principalement supporté par ses clients et d’autres entreprises touchées. Surtout si seulement une fraction des coûts est couverte par les assurances, comme cela a déjà été signalé.
Les membres de l’industrie des TI réclament une réforme réglementaire pour empêcher les fournisseurs de logiciels de transférer la responsabilité de leurs erreurs sur les clients et sur les entreprises qui en dépendent.
Mais pour le moment, dit McGrath, « la réalité pratique est que les parties, qu’il s’agisse de consommateurs ou de grandes entreprises, doivent travailler dans le système juridique dans lequel elles opèrent. »
La panne causée par CrowdStrike a affecté des millions d’appareils au mois de juillet. Elle a déjà couté très chère, causant des pertes se chiffrant en milliards. L’entreprise de cybersécurité fait désormais face à de multiples poursuites. Il y a toutefois fort à parier qu’elle ne paiera qu’une fraction des pertes qu’elle a causé.
Les conséquences demeurent malgré tout dramatique pour l’entreprise. La réputation de CrowdStrike est ressortie profondément ternie de l’incident. Elle risque aussi de devoir débourser des dizaines de millions en dédommagement. L’entreprise devra également absorber une véritable fortune en honoraires pour ses avocats, qui seront occupés pour des années.
On peut donc déploré que les victimes soient incapables d’être dédommagés. La panne risque toutefois de causer la perte de CrowdStrike, même si l’entreprise ne rembourse qu’une fraction des montants réclamés.
Nous espérons que cet article vous a plus et vous a éclairé sur les multiples poursuites auxquelles fait face CrowdStrike à la suite de sa mise à jour bâclée. Si c’est le cas, nous vous invitons à consulter nos autres articles et comparatifs de notre blog. Vous y trouverez les informations les plus récentes sur l’industrie l’hébergement et sur la création de sites web.