Spectre, Meltdown : Intel n'a pas jugé bon de prévenir les autorités américaines

Mickaël Bazoge |

Intel, au courant de l'existence des failles Spectre et Meltdown, n'a pas cru utile d'avertir les autorités américaines, même si la dangerosité de ces vulnérabilités pouvaient receler des implications en termes de sécurité nationale. C'est une pièce de plus à verser dans un dossier déjà très lourd et visiblement assez mal géré par le fondeur de Santa Clara.

À la suite d'une demande d'informations envoyée par un membre du Congrès américain aux principaux protagonistes de cette histoire, Intel a expliqué qu'à sa connaissance, il n'y avait pas eu d'exploitation de ces vulnérabilités par des malandrins.

Pour l'entreprise, ces deux failles n'étant pas susceptibles de s'attaquer aux infrastructures critiques, il n'était pas utile de prévenir les autorités américaines. En revanche, dès qu'Intel a été mis au courant de l'existence de Spectre et Meltdown — en juin dernier par l'entremise du Project Zero de Google —, la société a prévenu ses clients afin de plancher sur des correctifs.

Outre Intel, l'équipe de chercheurs en sécurité de Google a aussi refilé l'information à AMD et ARM, en laissant à tout ce petit monde 90 jours pour corriger le problème avant de déballer l'affaire au grand jour (une pratique courante). Alphabet a répondu au courrier du représentant. La maison-mère de Google a précisé avoir laissé aux fabricants de puces toute latitude pour prévenir ou pas le gouvernement US de l'existence de ces vulnérabilités.

Devant l'ampleur de la tâche, Alphabet a repoussé la publicité des failles, finalement jusqu'au 9 janvier (au lieu du 3 janvier), soit six mois après avoir prévenu de l'existence de Spectre et Meltdown. Mais c'était trop tard : dès le 2 janvier, un premier article dévoilait l'existence de ces failles, provoquant un branle-bas de combat de toute l'industrie en ordre dispersé.

Le 3 janvier, Intel se décidait à prévenir le US-CERT, l'équipe fédérale en charge des problèmes de sécurité informatique. En plus des acteurs déjà cités, la demande d'informations visait aussi Apple, Amazon et Microsoft. Pas plus d'infos du côté de Cupertino, en revanche l'éditeur de Windows a expliqué avoir informé ses partenaires « plusieurs semaines » avant le dévoilement public des failles.

avatar C1rc3@0rc | 

«Pour l'entreprise, ces deux failles n'étant pas susceptibles de s'attaquer aux infrastructures critiques, il n'était pas utile de prévenir les autorités américaines.»

Bien sur que ces backdoor offrent tous les potentiels pour attaquer des infrastructures, des serveurs, ...
Quasi tout système informatique quelque soit la taille de ceux-ci est vulnérable!!!

La faille permet d'accéder a toute information traitée par n'importe quelle machines équipée d'un processeur Intel, des plus recents jusqu’au Pentium 4 et peut être même avant, et cela va du netbook au serveur haute performance.
Les attaques ne laissent pas de traces, sont indétectables au niveau de l'OS et pour Spectre un accès distant par le réseau est hypersimple...

Pourquoi Intel n'a pas informé les autorités US?
- Pour ne pas mettre entre les mains des autorités une arme potentielle?
- Parce que les autorités US auraient été incapables de garder secrète l'information et exposer l'intégralité des clients d'Intel
- Parce que la révélation de cette porte ouverte a tous les vents aurait eu des implications economico-financieres monstrueuses?
...
Beaucoup d'hypothèse sont probables, mais la plus crédible, c'est que face a la nature de la faille, Intel ait considère qu'il s'agissait d'une backdoor installée par ces même autorités et qu'elles étaient donc au courant.

On a vu a plusieurs reprises ces dernières années des projets Opensource touchant a la sécurité qui ont été "caviardé" par les agences d'espionnages US - même s’ils étaient sur sol non US - et des failles/backdoor y ont été introduites... parfois avec la complicité de certains membres des équipes, parfois a l'insu totale de ceux ci.

Bien sur, tout cela par de l'hypothèse qu'Intel n'a pas volontairement - et en toute connivence avec les-dites agences - installé ces backdoor.

Bref... Intel a aujourd'hui plus de 30 procès aux USA pour l'existence de cette backdoor.
Les autorités US font probablement ici un acte de communication pour se blanchir.
Si les preuves accablantes de la responsabilité d'une ou plusieurs agences d'espionnage tombent dans les media, alors le gouvernement US dira qu'il n'était pas au courant, que les agences ont agit en toute illégalité, seront dissoutes... et une nouvelle agence sera constituée a la place: scénario classique déjà bien utilisé par le passé.

Reste une question: comment l'équipe de Google arrive a être aussi efficace dans la découverte de failles?

avatar Billytyper2 | 

Et ben …tant de verbiages…tu viens de rendre ton rapport d’expert 🚮

avatar SyMich | 

Quant à Apple, ils ne jugent pas utile de déployer les mises à jour processeurs développées par Intel...
J'ai eu ce matin la réponse d'Apple France:

Les prochains Mac intègreront en usine des microprocesseurs mis à jour, mais pour les Mac existants, la mise à jour du micro code Processeur n'est pas utile dès lors que les mises à jour de sécurité diffusées par Apple pour macOS sont bien installées.

Par contre pas de réponse à la question concernant l'usage de ces Macs sous Windows via BootCamp, alors que Microsoft affirme que les correctifs de Windows doivent impérativement être installés conjointement avec les mises à jour Intel pour les processeurs pour être réellement protégé.

Bon, moi ça ne me concerne plus trop car mon boss m'a demandé de remplacer la centaine de Macs restants dans le Groupe par des PC, mais je trouve Apple pas très clair sur ce sujet.

avatar r e m y | 

@SyMich

Et installer les patch d'INTEL depuis Windows après avoir démarré sur la partition BootCamp, ce n'est pas possible?

CONNEXION UTILISATEUR