Le 3 janvier 2018, Intel a annoncé publiquement des informations sur les graves vulnérabilités
Meltdown et
Spectre , auxquelles, à des degrés divers, presque tous les processeurs actuellement utilisés dans les ordinateurs de bureau, serveurs, tablettes, smartphones, etc. sont vulnérables. Les vulnérabilités sont associées au mécanisme d'exécution spéculative des instructions dans les processeurs modernes - et c'est le bug de sécurité CPU le plus sérieux trouvé ces dernières années.
Le communiqué de presse devait être publié le 9 janvier, mais le 2 janvier, des informations ont été
divulguées au public par The Register .
Bien entendu, Intel a pris conscience de la vulnérabilité bien plus tôt qu'il ne l'avait annoncé au grand public (en réalité, des bugs ont été découverts en juin 2017 par l'un des membres du service de sécurité de Google Project Zero). Auparavant, il était nécessaire de développer des correctifs, d'informer les fabricants d'équipements et de mettre à niveau les systèmes dans les centres de données de stockage cloud. Plus intéressant encore, selon des sources bien informées, Intel a informé ses partenaires chinois des vulnérabilités avant de les signaler aux agences gouvernementales américaines,
écrit le Wall Street Journal .
D'une part, cette séquence semble raisonnable du point de vue du développement de patchs. Mais certains experts craignent qu'en raison d'une telle politique d'Intel, les services de renseignement chinois puissent découvrir les vulnérabilités plus tôt que celles américaines et les utiliser avant la publication des correctifs.
Les chercheurs notent qu'il ne s'agit là que d'hypothèses spéculatives. En fait, aucune preuve n'a été révélée que de telles attaques ont effectivement eu lieu. Mais dans le cas d'attaques ciblées sur des cibles spécifiques, les informations à leur sujet peuvent ne pas remonter à la surface - ou l'attaque peut passer inaperçue, ou la victime préfère garder le silence sur l'incident. L'absence de traces pour le moment ne garantit donc pas que les pirates chinois n'ont pas profité des informations reçues.
Un porte-parole du Département de la sécurité intérieure (DHS) a déclaré que ses employés avaient été informés des vulnérabilités des informations du 3 janvier.
Le représentant de la NSA a également
admis qu'il ne savait rien des bogues et ne pouvait pas les exploiter. Bien qu'il ait fait une réserve, il a compris que tout le monde ne croirait pas ses paroles.
Néanmoins, les vulnérabilités sont si graves et soumises à tant de processeurs (presque tous les ordinateurs) que n'importe quelle agence de renseignement dans le monde paierait cher pour des informations sur les vulnérabilités l'année dernière. L'ancien employé de la NSA, Jake Williams, est «presque certain» que les agences gouvernementales chinoises ont reçu à l'avance des informations sur Meltdown et Spectre, car elles suivent régulièrement les communications entre Intel et les entreprises chinoises, y compris les fabricants de matériel et les sociétés d'hébergement cloud.
Le sentiment paranoïaque des experts est tout à fait justifié, car dans le passé, il existait déjà des preuves de la participation de pirates "d'État" chinois au développement d'exploits et d'attaques sur des cibles étrangères utilisant des vulnérabilités logicielles 0day. Maintenant, la situation n'est pas très différente, sauf que les vulnérabilités sont plus graves.
Les représentants d'Intel ont refusé de fournir une liste des entreprises qui ont reçu à l'avance des informations sur 0day dans les processeurs et qui ont travaillé à l'avance avec elles pour résoudre les conséquences. Naturellement, Google en fait partie (en fait, ses employés ont trouvé des bogues). Intel affirme que parmi eux figurent également des fabricants d'ordinateurs «clés». On sait que Lenovo en fait partie, car il a admis dans un communiqué de presse le 3 janvier qu'il avait travaillé à l'avance pour corriger les bugs. Les services d'hébergement cloud ont été annoncés à l'avance (Microsoft, Amazon, Chinese Alibaba Group Holding, les deux premiers ont signalé ce fait à des fins de marketing), ARM Holdings et quelques autres.
Intel a déclaré qu'il n'était pas en mesure d'informer tout le monde qu'il voulait, y compris les agences de renseignement américaines, car les informations sont devenues publiques avant qu'elles ne soient planifiées (le 2 janvier au lieu du 9 janvier), mais l'excuse semble faible.
Quoi qu'il en soit, la politique d'Intel de ne notifier que les principaux partenaires avant les bogues identifiés met tout le monde dans une position inconfortable. Cela inclut la concurrence déloyale. Par exemple, les fournisseurs de cloud Joylent et DigitalOcean
travaillent toujours sur la correction des vulnérabilités, tandis que les grandes sociétés d'hébergement cloud - leurs concurrents - avaient un handicap de six mois. Et on ne sait pas pourquoi Intel n'a pas notifié au préalable le National Center for Computer Emergency Response (CERT).