Intel corrige une faille annoncée comme rectifiée il y a 6 mois
Intel continue de traiter les symptômes plutôt que d'attaquer le problème à la racine avec ses correctifs.
Après les catastrophiques failles de sécurité Meltdown et Spectre au début de l’année 2018, Intel doit faire face à des chercheurs en sécurité qui tirent la sonnette d’alarme, ayant remarqué que six mois après avoir annoncé corriger une autre vulnérabilité, il n’en était rien. Le 4 janvier 2018, on apprenait que tous les processeurs depuis 1995 (sauf Intel Itanium et Intel Atom avant 2013) étaient touchés par une faille baptisée Meltdown qui faisait “fondre” l’isolation entre les applications et le système d’exploitation, mais aussi par une faille nommée Spectre, qui touchait également les microprocesseurs AMD et permettait, quoique plus difficile à mettre en œuvre, d’accéder à la mémoire normalement protégée du processeur et ainsi accéder aux données qui y transitent (fichiers, mots de passe…). Intel ne semble pas avoir retenu la leçon puisque la firme, qui a soi-disant corrigé une faille en mai dernier, a publié un réel patch hier seulement, comme a annoncé sur son site officiel.
Des tensions entre les chercheurs et Intel
Le chercheur en sécurité Cristiano Giuffrida, qui a révélé la faille à Intel à l’aide d’autres confrères, note que l’entreprise communiquait en mai un message faisant penser que “tout est corrigé”, bien qu’il n’en était rien. Les relations sont souvent compliquées entre les chercheurs en sécurité et les compagnies informatiques, les premiers analysant les produits des seconds pour révéler des failles ; si dans la grande majorité des cas, les experts en sécurité laissent un délai de deux mois avant de révéler publiquement une faille, voire s’accordent avec l’entreprise pour le faire simultanément, ce temps peut ne pas suffire à une entreprise pour corriger une vulnérabilité, tentant alors de les “museler” si l’on en croit le New York Times.
Une vulnérabilité toujours active
L’équipe danoise qui a révélé la faille en mai estime que c’est ce qui est en train de se passer. Ni le correctif publié hier, ni celui publié en mai ne corrige la vulnérabilité selon eux. Selon une porte-parole d’Intel, le correctif réduit toutefois “grandement” le risque d’attaque et l’entreprise travaille à une solution plus efficace. L’entreprise a demandé aux chercheurs de rester silencieux sur l’affaire pendant huit mois, avant de publier le premier correctif, puis six mois de plus avant de présenter celui dévoilé hier. Les chercheurs se sont conformés aux demandes d’Intel pour ne pas dévoiler la faille sans correctif logiciel. Ils ont également supprimés toute mention de celui-ci dans une publication qui devait être présenter lors d’une conférence. Intel, plutôt que de corriger la cause du problème, qui pouvait nécessiter un correctif matériel, en a simplement traité les symptômes — et en a manqué certains, selon les chercheurs.