Bien que les défaillances de Meltdown et de Spectre aient été révélées plus tôt cette année, elles ont été signalées à Intel, AMD, ARM et à d’autres sociétés en juin 2017. Aujourd’hui, le Congrès américain veut savoir de la part des entreprises concernées les raisons pour lesquelles des problèmes aussi graves leur sont réservés depuis si longtemps.
À cette fin, la commission de l’énergie et du commerce du congrès a envoyé une lettre(PDF) aux PDG d’Apple, Amazon, AMD, ARM, Google, Intel et Microsoft avec neuf questions liées au scandale.
Le 3 dernier, Google a publié, dans le cadre du Projet Zéro (un programme qui enquête sur d’importants problèmes de sécurité), une étude approfondie détaillant les deux failles. Là, la société révèle qu’Intel, AMD et ARM ont été avertis du problème le 1er juin 2017.
Le congrès lui-même reconnaît que des problèmes aussi graves ne devraient pas être divulgués prématurément en raison du risque d’exploiter les échecs avant les corrections. Jusqu’à présent, tout va bien. Cependant, les membres du Congrès comprennent que l’information a été laissée sous le contrôle de quelques sociétés seulement. D’autres, probablement en raison de l’embargo ? prévu pour se terminer le 9, malgré la publication le 3, n’auraient reçu l’information que quelques jours avant ou à la date de la divulgation de Google.
Les développeurs travaillant sur Linux sont parmi ceux qui critiquent cette approche. “Normalement, quand un embargo prend fin, nous recevons un calendrier complet et des détails sur ce qui s’est passé”, explique Jonathan Corbet, membre de la Fondation Linux, “dans ce cas, il y a encore beaucoup de secrets”, poursuit-il.
Les membres du Congrès comprennent également que les entreprises qui étaient conscientes des défauts dès le début – à savoir celles qui ont reçu la lettre – ont eu plus de temps pour développer des solutions, tandis que d’autres, comme les entreprises de logiciels de sécurité, ont été prises par surprise.
Maintenant, la commission de l’énergie et du commerce veut savoir de la part de chaque entreprise qui a déterminé l’embargo et si aucune d’entre elles n’a évalué l’impact négatif que pourrait avoir un retard de divulgation sur le marché, par exemple. Ils ont jusqu’au 7 février pour donner les explications.
