Intel, au courant de l'existence des failles Spectre et Meltdown, n'a pas cru utile d'avertir les autorités américaines, même si la dangerosité de ces vulnérabilités pouvaient receler des implications en termes de sécurité nationale. C'est une pièce de plus à verser dans un dossier déjà très lourd et visiblement assez mal géré par le fondeur de Santa Clara.
À la suite d'une demande d'informations envoyée par un membre du Congrès américain aux principaux protagonistes de cette histoire, Intel a expliqué qu'à sa connaissance, il n'y avait pas eu d'exploitation de ces vulnérabilités par des malandrins.
Pour l'entreprise, ces deux failles n'étant pas susceptibles de s'attaquer aux infrastructures critiques, il n'était pas utile de prévenir les autorités américaines. En revanche, dès qu'Intel a été mis au courant de l'existence de Spectre et Meltdown — en juin dernier par l'entremise du Project Zero de Google —, la société a prévenu ses clients afin de plancher sur des correctifs.
Outre Intel, l'équipe de chercheurs en sécurité de Google a aussi refilé l'information à AMD et ARM, en laissant à tout ce petit monde 90 jours pour corriger le problème avant de déballer l'affaire au grand jour (une pratique courante). Alphabet a répondu au courrier du représentant. La maison-mère de Google a précisé avoir laissé aux fabricants de puces toute latitude pour prévenir ou pas le gouvernement US de l'existence de ces vulnérabilités.
Devant l'ampleur de la tâche, Alphabet a repoussé la publicité des failles, finalement jusqu'au 9 janvier (au lieu du 3 janvier), soit six mois après avoir prévenu de l'existence de Spectre et Meltdown. Mais c'était trop tard : dès le 2 janvier, un premier article dévoilait l'existence de ces failles, provoquant un branle-bas de combat de toute l'industrie en ordre dispersé.
Le 3 janvier, Intel se décidait à prévenir le US-CERT, l'équipe fédérale en charge des problèmes de sécurité informatique. En plus des acteurs déjà cités, la demande d'informations visait aussi Apple, Amazon et Microsoft. Pas plus d'infos du côté de Cupertino, en revanche l'éditeur de Windows a expliqué avoir informé ses partenaires « plusieurs semaines » avant le dévoilement public des failles.
Source :
