Intel est accusé par un groupe d’experts en sécurité de publier des correctifs pour un ensemble de défauts liés à leurs processeurs, mais sans préciser qu’en fait, une partie des vulnérabilités restait non résolue.
Cette histoire inhabituelle a commencé en septembre 2018, lorsque des analystes de l’Université libre d’Amsterdam et d’autres institutions ont signalé à la société une série de problèmes de sécurité qui, s’ils étaient exploités, pourraient donner à un attaquant l’accès à divers types de données que l’utilisateur stocke sur l’ordinateur.
En mai 2019, Intel a publié un ensemble de correctifs qui impliquait que tous ces problèmes avaient été résolus. Parmi eux se trouve la faille de ZombieLoad. Mais selon le New York Times, une partie des bogues signalés n’ont pas été corrigés correctement.
Les problèmes non résolus n’ont fait l’objet de corrections que cette semaine. Comme les vulnérabilités ont été signalées en septembre 2018, cela signifie qu’une partie d’entre elles est restée ouverte pendant plus d’un an.
Il est connu que les chercheurs qui ont découvert les défauts ont alerté Intel que le paquet de patchs publié en mai n’était pas pleinement efficace. À la demande de l’entreprise, ils sont restés silencieux à ce sujet afin qu’Intel ait le temps de développer les correctifs, tout comme ils ne se sont pas exprimés publiquement pendant la période comprise entre septembre 2018 et mai 2019.
Mais cela semble avoir été en vain : les corrections publiées cette semaine restent incomplètes. L’exploitation des failles peut être atténuée grâce à elles, mais pas entièrement évitée. Dans une note, Intel a reconnu que certaines failles peuvent encore être explorées et a promis de les corriger dans les futures corrections et les nouvelles versions de processeurs.
Une fois encore, Intel a été alerté et aurait demandé une nouvelle période de “silence” de la part des analystes. Cette fois, ils ont refusé la demande. La raison ? L’impression que l’entreprise n’a pas accordé suffisamment d’importance aux vulnérabilités.
Au moment où les défaillances de Meltdown et de Spectre ont fait surface, les chercheurs ont averti que des problèmes similaires ou connexes pourraient survenir dans les mois à venir. On s’attendait à ce qu’Intel maintienne une position plus proactive à leur égard, ce qui ne serait pas le cas.
Pour Herbert Bos, professeur à l’Université libre d’Amsterdam, “il y a encore des tonnes de vulnérabilités, nous en sommes sûrs”. L’expert a ajouté qu’Intel “n’a pas l’intention de faire de l’ingénierie de sécurité appropriée [sur ses puces] tant que sa réputation n’est pas en danger.
Néanmoins, il n’y a pas de rapports jusqu’à présent, du moins, qui indiquent que les failles en question ont été exploitées dans une quelconque attaque.