Face à la gravité des vulnérabilités Meltdown et Spectre, les sociétés dont les produits sont touchés auraient-elles dû notifier le centre américain de veille, d’alerte et de réponse aux attaques informatiques (US-CERT), lorsqu’elles ont appris l’existence de failles critiques dans le design des processeurs ?
Pas du point de vue d’Intel. Des courriers d’avocat consultés par Reuters montrent que le groupe, qui s’est retrouvé en première ligne dans cette affaire, a jugé qu’il n’était pas nécessaire de prévenir les autorités puisqu’il n’y avait aucun indice suggérant que les brèches étaient exploitées à des fins malveillantes.
De fait, l’US-CERT a découvert l’existence de Meltdown et Spectre en même temps que tout le monde, lorsque les premières publications sont apparues dans la presse au début du mois de janvier. De son côté, Intel avait été informé entre juin et août 2017 par des experts en sécurité informatique.
Le rôle de l’US-CERT est de publier régulièrement des bulletins de sécurité au sujet de menaces informatiques qui concernent de près ou de loin les États-Unis.
La France a aussi une structure de ce type pour détecter les vulnérabilités des systèmes, au travers notamment d’une veille technologique, piloter la résolution des incidents, si besoin avec le réseau mondial des CERT, aider à la mise en place de moyens permettant de se prémunir contre de futurs incidents et organiser la mise en place d’un réseau de confiance.
Comme le pointe Reuters, les experts en sécurité informatique à l’origine de la découverte ont laissé le soin à Intel de décider si oui ou non l’entreprise devait avertir les autorités à l’avance, avant la diffusion publique de l’information. Il était prévu que celle-ci survienne trois mois après la notification aux entreprises.
C’est une pratique courante dans ce domaine : elle entre dans le cadre de la divulgation responsable. L’entité qui découvre une brèche prévient discrètement la société qui en est victime, généralement via une procédure bien encadrée, et lui laisse un temps raisonnable pour la colmater. Ensuite, une diffusion publique est effectuée.
Ces nouvelles informations parues dans la presse pourraient relancer une controverse autour de la manière dont Intel, la société la plus concernée par cette affaire, a négocié ce problème. Reuters indique que des officiels actuels et passés aux États-Unis ont déjà par le passé adressé au groupe spécialisé dans la fabrication de processeurs des reproches dans ce domaine.
Intel a aussi admis dans les courriers qu’il n’a pas procédé à une quelconque analyse d’impact sur la criticité de ces failles sur des infrastructures sensibles, au motif qu’il ne pensait pas qu’elles pourraient affecter les systèmes industriels. En revanche, il y a eu quand même une communication en direction de ses partenaires, lorsque ceux-ci ont des produits équipés des composants vulnérables.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !