Delta peut poursuivre CrowdStrike pour la panne qui a bloqué des milliers de vols, selon un juge

L'entreprise de cybersécurité CrowdStrike a tenté de limiter les conséquences de la panne mondiale de l'été dernier, qui a semé la pagaille dans les compagnies aériennes, les services financiers et de nombreux autres secteurs. Lorsque Delta Air Lines a intenté une action en justice pour obtenir réparation, CrowdStrike a tenté d'obtenir un non-lieu. Mais un juge fédéral a autorisé Delta à poursuivre sa plainte concernant la panne, soulignant que le président de CrowdStrike lui-même a admis avoir commis une « mauvaise erreur ».

La panne de juillet 2024, décrite depuis comme la plus grande panne informatique de l'histoire, a affecté les ordinateurs fonctionnant sous Microsoft Windows. Selon CrowdStrike, elle a été causée par une mise à jour logicielle défectueuse qui a passé les contrôles de validation de l'entreprise « malgré le contenu problématique de ses données ». Une fois la mise à jour effectuée, des millions d'appareils dans le monde ont affiché le tristement célèbre écran bleu de la mort.

On estime que la panne de CrowdStrike a coûté 5,4 milliards de dollars aux entreprises américaines du Fortune 500. Mais parmi les compagnies aériennes, c'est Delta qui a été la plus touchée. Selon Reuters, Delta affirme avoir annulé 7 000 vols et accumulé 550 millions de dollars de pertes de revenus et de coûts supplémentaires. (Toutefois, Delta a économisé 50 millions de dollars sur le carburant grâce à l'annulation de vols, donc, c'est déjà ça.)

Delta a déposé sa première plainte contre CrowdStrike trois mois après la panne. Bien que CrowdStrike ait tenté d'obtenir un rejet , la juge Kelly Lee Ellerbe de la Cour supérieure du comté de Fulton a statué que Delta pouvait tenter de prouver la négligence grave de CrowdStrike. Elle a écrit : « Delta a expressément plaidé que si CrowdStrike avait testé la mise à jour de juillet sur un ordinateur avant son déploiement, l'erreur de programmation aurait été détectée. »

De plus, Reuters a rapporté qu'Ellerbe permet à Delta de poursuivre une plainte pour intrusion informatique parce que Delta affirme que CrowdStrike a faussement promis de ne pas ajouter de « porte dérobée non autorisée » dans les ordinateurs de l'entreprise.

CrowdStrike, quant à lui, affirme que la Géorgie « empêche expressément Delta de tenter d'obtenir réparation, par le biais d'actions en responsabilité civile, des dommages économiques qu'elle prétend avoir subis », selon CNBC. De plus, CrowdStrike a déclaré que Delta était une « exception » ayant refusé toute aide et que ses propres systèmes avaient probablement aggravé l'incident. CrowdStrike a écrit : « Bien que Delta reconnaisse qu'il n'a fallu que quelques heures – et non des jours – à ses employés pour [réparer la panne], les annulations ont largement dépassé les perturbations de vol subies par ses homologues. »

Il est vrai que d'autres compagnies aériennes se sont redressées plus rapidement (United, par exemple, n'a annulé qu'environ 1 500 vols). Selon Fortune, l'une des raisons pour lesquelles Delta a été plus durement touchée est sa forte dépendance à son hub d'Atlanta. Dans une lettre antérieure adressée à Delta par l'avocat de CrowdStrike, Michael Carlinsky, niant toute négligence grave, Carlinsky écrivait que Delta devait améliorer la « conception et la résilience opérationnelle » de sa structure informatique. Il a déclaré que si Delta « poursuivait dans cette voie, elle devrait expliquer au public, à ses actionnaires et, in fine, à un jury, pourquoi CrowdStrike avait assumé la responsabilité de ses actes – rapidement, en toute transparence et de manière constructive – alors que Delta ne l'avait pas fait. »

Mais CrowdStrike ne devrait pas se féliciter de sa réaction face à la panne. Peu après l'incident, CrowdStrike a envoyé des cartes-cadeaux d'excuses de 10 $ pour des services UberEats qui ne fonctionnaient même pas. Environ une semaine après la lettre de Carlinsky à Delta, le président de CrowdStrike, Michael Sentonas, a assisté aux Pwnie Awards pour recevoir le prix de son entreprise pour l'échec le plus marquant.

« Ce n'est vraiment pas le prix dont on peut être fier », a déclaré Sentonas. « Je pense que l'équipe a été surprise quand j'ai dit tout de suite que je viendrais le chercher, car on a commis une terrible erreur… Il est primordial de reconnaître ses torts lorsqu'on commet une terrible erreur, ce qui a été le cas ici. »

Le discours d'acceptation de Sentona a été référencé dans la décision d'Ellerbe où elle a écrit que « son propre président a déclaré publiquement que CrowdStrike avait fait quelque chose d'« horriblement mal ». » Mais selon Reuters, Carlinsky pense qu'un juge dira soit que l'affaire de Delta n'a aucun fondement, soit maintiendra les dommages dans la région des « millions de dollars à un chiffre ».

C'est une petite victoire pour Delta. Mais tout comme CrowdStrike doit réparer ses erreurs apparentes, Delta doit faire de même. Plus tôt ce mois-ci, le juge de district américain Mark Cohen à Atlanta a déclaré que Delta devait faire face à une action en justice intentée par des passagers qui se sont vu refuser le remboursement intégral de vols annulés en raison de la panne.