La notification aux autorités de l'existence des failles Meltdown et Spectre n'était pas indispensable, parce qu'il n'existait alors aucune preuve montrant qu'elles étaient utilisées de façon malveillante. C'est ce que pense Intel.

Face à la gravité des vulnérabilités Meltdown et Spectre, les sociétés dont les produits sont touchés auraient-elles dû notifier le centre américain de veille, d’alerte et de réponse aux attaques informatiques (US-CERT), lorsqu’elles ont appris l’existence de failles critiques dans le design des processeurs ?

Pas du point de vue d’Intel. Des courriers d’avocat consultés par Reuters montrent que le groupe, qui s’est retrouvé en première ligne dans cette affaire, a jugé qu’il n’était pas nécessaire de prévenir les autorités puisqu’il n’y avait aucun indice suggérant que les brèches étaient exploitées à des fins malveillantes.

De fait, l’US-CERT a découvert l’existence de Meltdown et Spectre en même temps que tout le monde, lorsque les premières publications sont apparues dans la presse au début du mois de janvier. De son côté, Intel avait été informé entre juin et août 2017 par des experts en sécurité informatique.

Le rôle de l’US-CERT est de publier régulièrement des bulletins de sécurité au sujet de menaces informatiques qui concernent de près ou de loin les États-Unis.

La France a aussi une structure de ce type pour détecter les vulnérabilités des systèmes, au travers notamment d’une veille technologique, piloter la résolution des incidents, si besoin avec le réseau mondial des CERT, aider à la mise en place de moyens permettant de se prémunir contre de futurs incidents et organiser la mise en place d’un réseau de confiance.

Comme le pointe Reuters, les experts en sécurité informatique à l’origine de la découverte ont laissé le soin à Intel de décider si oui ou non l’entreprise devait avertir les autorités à l’avance, avant la diffusion publique de l’information. Il était prévu que celle-ci survienne trois mois après la notification aux entreprises.

intel-cpu-processeur-i7
CC Michael Saechang

C’est une pratique courante dans ce domaine : elle entre dans le cadre de la divulgation responsable. L’entité qui découvre une brèche prévient discrètement la société qui en est victime, généralement via une procédure bien encadrée, et lui laisse un temps raisonnable pour la colmater. Ensuite, une diffusion publique est effectuée.

Ces nouvelles informations parues dans la presse pourraient relancer une controverse autour de la manière dont Intel, la société la plus concernée par cette affaire, a négocié ce problème. Reuters indique que des officiels actuels et passés aux États-Unis ont déjà par le passé adressé au groupe spécialisé dans la fabrication de processeurs des reproches dans ce domaine.

Intel a aussi admis dans les courriers qu’il n’a pas procédé à une quelconque analyse d’impact sur la criticité de ces failles sur des infrastructures sensibles, au motif qu’il ne pensait pas qu’elles pourraient affecter les systèmes industriels. En revanche, il y a eu quand même une communication en direction de ses partenaires, lorsque ceux-ci ont des produits équipés des composants vulnérables.

À lire sur Numerama : Meltdown et Spectre  : des dizaines de recours collectifs sont lancés contre Intel

Crédit photo de la une : Pete Souza

Partager sur les réseaux sociaux