– Récit – Une mise à jour d’un logiciel de l’entreprise CrowdStrike, touchant les ordinateurs sous Microsoft Windows, a paralysé ou perturbé des entreprises et des services sur tous les continents
Il est environ 15 heures à Sydney (7 heures du matin heure de Paris), ce 19 juillet, lorsque les premiers problèmes apparaissent. Dans le plus grand aéroport australien, les écrans d’information viennent de passer au bleu : plus aucun horaire de départ n’est affiché. Très vite, ce sont les machines permettant d’enregistrer les passagers qui lâchent à leur tour. Mêmes problèmes à Canberra, Perth, ou à Auckland (Nouvelle-Zélande) ; JetStar, Virgin et d’autres compagnies aériennes commencent à annuler des vols.
Une heure plus tard, ce qui semblait être un problème lié au trafic aérien, déjà sérieux à la veille d’un des plus grands week-ends de chassé-croisé de l’été, s’avère être bien plus grave. La chaîne de télévision australienne ABC disparaît brièvement des écrans ; les systèmes de paiement de deux des principales banques du pays connaissent des dysfonctionnements ; les caisses automatiques de plusieurs chaînes de supermarchés cessent de fonctionner. L’Australie et la Nouvelle-Zélande ne le savent pas encore, mais elles viennent d’essuyer les plâtres de ce qui est vraisemblablement la plus grosse panne informatique de l’histoire.
La piste de la cyberattaque écartée
Très vite, dans la panique et le chaos ambiant, les autorités australiennes dissipent les craintes : aucun élément ne permet d’établir qu’il s’agit d’une cyberattaque ou d’une opération malveillante. En revanche, au petit matin heure française, un premier suspect émerge sur un forum de discussion spécialisé. Des internautes se plaignent de plantages sur leurs ordinateurs Windows. Les témoignages de « Blue Screen of Death » (« écran bleu de la mort »), nom historique donné à l’écran lorsque le système rencontre une erreur fatale, se multiplient. Ces internautes, pour la plupart des administrateurs de réseaux et responsables de services informatiques, découvrent peu à peu l’ampleur des dégâts en commençant leur journée de travail. L’un d’entre eux fait le décompte : « Je suis en Malaisie, 70 % de nos ordinateurs portables sont en panne, le siège au Japon a ordonné l’extinction pour toute l’entreprise », écrit-il. Le point commun de ces machines ? Elles utilisent un outil de sécurité très connu, et commercialisé par l’Américain CrowdStrike.
Dans les heures qui suivent, et alors que de nouvelles victimes de la panne continuent d’émerger, la piste est définitivement confirmée : le problème trouve son origine dans Falcon Sensor, une solution de sécurité informatique commercialisée par l’entreprise américaine. L’enjeu est de taille : CrowdStrike est un acteur majeur de la cybersécurité. Ses outils sont déployés sur les réseaux de grandes ou très grandes entreprises, où ils scrutent chaque activité inhabituelle ou chaque connexion suspecte pour bloquer des tentatives d’intrusion ou de vol de données. Mais une récente mise à jour, diffusée dans la nuit, semble contenir un morceau de code qui provoque des problèmes graves sur les machines tournant sur Windows. Sur les forums de discussion, des solutions commencent à être diffusées : il faudrait, pour chaque ordinateur, arriver à redémarrer la machine puis chercher et supprimer un fichier incriminé.
Réveil difficile pour les informaticiens français
Pendant que les ingénieurs situés en Asie cherchent une solution, l’Europe se réveille, et découvre à son tour la gravité du problème, notamment dans les aéroports. Le régulateur américain colle au sol, par précaution, tous les avions des trois principales compagnies nationales, United, Delta et American Airlines. A Berlin-Brandebourg, Amsterdam-Schipol, Madrid, les annulations s’enchaînent ; le site de Ryanair est injoignable. Dans plusieurs aéroports, les employés commencent à afficher les horaires sur des feuilles scotchées sur les panneaux d’information, et contrôlent les listes de passagers avec des sorties papier et un crayon.
Dans de nombreuses entreprises françaises, les équipes informatiques ont un début de journée compliqué. « Chez nous, le site Web a tenu, heureusement, mais tous les outils, y compris le système de tickets [pour suivre les demandes de clients], ont sauté, explique au Monde un informaticien français travaillant pour une société suisse. C’est Noël dans ma messagerie Teams, ça clignote de partout. »
Dans la tour TF1 à Boulogne-Billancourt (Hauts-de-Seine), l’apparition de multiples écrans bleus provoque un stress matinal, mais le système interne de supervision du groupe audiovisuel privé a fonctionné, détectant rapidement la gravité du problème informatique dès 6 h 40. « Lors de ce type d’événements majeurs, on a des processus internes qui nous permettent d’être réactifs », vante Raphaëlle Deflesselle. Elle a été appelée à 6 h 50 et a déclenché une cellule de crise afin de « comprendre ce qui se passait et mettre en place la résolution ».
« Bonjour ! », la matinale de la première chaîne, démarre avec une quinzaine de minutes de retard et l’impossibilité de diffuser des reportages ; tandis que l’antenne de LCI apparaît détériorée, avec des images se superposant les unes aux autres pendant quelques minutes. « On a mis en place un certain nombre de process dégradés, on a fait le conducteur du JT différemment par exemple, mais en travaillant main dans la main entre les services techniques et la rédaction, on a pu maintenir le 13 heures avec les reportages », explique Raphaëlle Deflesselle. Le présentateur du journal de la mi-journée, Jacques Legros, devra utiliser des fiches papiers au lieu de regarder le prompteur. Chez Canal+, propriété de Vivendi, l’antenne de plusieurs de ses chaînes thématiques payantes (Canal360, Canal+ Sport, Canal+ Foot, Infosport +) est aussi fortement perturbée toute la matinée.
D’autres sociétés du CAC40, comme L’Oréal et Fnac-Darty, constatent aussi dans la matinée que leurs systèmes sont touchés ; la première parvient à corriger le problème assez rapidement, mais le site Web de la Fnac restera bloqué toute la journée. Chez Bouygues Telecom, c’est tout le système de support client qui est à l’arrêt, impossible pour les clients de joindre leur opérateur.
Des services de secours et des hôpitaux touchés à l’étranger
Difficile de déterminer une liste de victimes complètes, car de nombreuses petites entreprises sont indirectement touchées, par effet domino, par la panne. Non pas parce qu’elles sont clientes de CrowdStrike, un outil généralement vendu à de très grandes sociétés, mais plutôt parce qu’elles dépendent pour leur bon fonctionnement de services tiers qui sont, eux, clients – et durement touchés. Un pharmacien lyonnais expliquait ainsi au Monde à la mi-journée qu’il ne pouvait plus passer de commande auprès de son grossiste ; la délivrance d’accréditations par le Comité olympique français a aussi été légèrement perturbée dans la matinée.
