La compagnie aérienne américaine tient CrowdStrike comme responsable de plus de 500 millions de dollars de pertes directes, suite à la mise à jour défectueuse de son EDR ayant paralysé des millions de PC dans le monde cet été. L’éditeur de logiciels se dédouane, remettant la faute sur les infrastructures informatiques « obsolètes » de Delta Air Lines.
Delta Air Lines, première compagnie aérienne mondiale en termes de chiffre d’affaires et de passagers transportés chaque année, a porté plainte le 25 octobre contre la société de cybersécurité CrowdStrike. Elle tient le fournisseur pour responsable de plus de 500 millions de dollars (461 millions d’euros) de pertes directes suite à la panne informatique ayant touché 8,5 millions de PC Windows à la mi-juillet, causée par une mise à jour défectueuse de l’EDR de CrowdStrike. Tous les vols aux États-Unis avaient notamment été suspendus et les avions en circulation avaient dû atterrir en urgence en raison d’un « problème de communication », expliquait alors la Federal Aviation Administration (FAA).
7000 vols annulés en cinq jours
La société aérienne américaine décrit dans sa plainte la mise à jour comme « catastrophique » et accuse CrowdStrike d’avoir « imposé des mises à jour non testées et défectueuses » à ses clients. D’après Delta, 1,3 million de passagers ont été impactés par cette panne informatique, l’obligeant à annuler 7000 vols en cinq jours. La compagnie réclame donc un dédommagement pour les 500 millions de dollars de pertes directes, mais aussi une compensation pour les bénéfices perdus, pour l’atteinte à sa réputation et pour les pertes de revenus futures.
En réponse, CrowdStrike a à son tour porté plainte contre Delta Air Lines, affirmant que la mise à jour défectueuse n’avait pas causé un tel préjudice, et que la compagnie avait refusé l’aide de la société et de Microsoft. Elle indique que les infrastructures informatiques « obsolètes » de la compagnie ont entraîné des retards dans sa capacité à revenir à la normale. Ces accusations « reposent sur des informations erronées et démontrent un manque de compréhension des mécanismes modernes de cybersécurité », lance même Crowdstrike dans sa plainte.
Le ministère américain des Transports ouvre une enquête
Delta assure que la catastrophe aurait pu être évitée si la mise à jour n’avait été testée que « sur un seul ordinateur », et que la mise à jour ne pouvait être « supprimée » à distance. Elle défend également de lourds investissements dans ses dépenses informatiques, évoquant « des milliards de dollars dans les licences et infrastructures des technologies de l’information ». Le ministère américain des Transports a de son côté annoncé qu’il allait ouvrir une enquête.
CrowdStrike est également visé depuis début août par une plainte déposée par certains de ses actionnaires, qui reprochent à la société d’avoir menti sur ses procédures de tests et d’avoir dissimulé des tests de logiciels peu efficaces. Le mois dernier, Adams Meyer, vice-président de l’éditeur de solutions, s’est dit “profondément désolé pour [l’] incident” auprès du Congrès américain. Suffisant pour redresser la barre ? Depuis la mi-juillet, le cours de l’action de la société américaine a perdu 17%.
