Sécurité : Pourquoi seul un petit nombre de grands industriels ont-ils été informés des failles des processeurs Meltdown-Spectre et ainsi pu se préparer, au contraire de nombreuses autres entreprises ? Les développeurs Linux s'agacent et les politiques s'interrogent sur les modalités d'un tel embargo.
Les politiques américains souhaitent savoir pour quelle raison seul un nombre sélectif d'entreprises étaient informées des failles Meltdown et Spectre, et si ces dernières ont pris en compte l'impact de leur secret sur les autres sociétés.
Les dirigeants du Comité de l'énergie et du commerce de la Chambre des représentants ont demandé aux PDG des entreprises technologiques des détails sur les attaques Meltdown et Spectre, que le secret soit approprié ou non, compte tenu du nombre d'entreprises "prises au dépourvu" lors de leur divulgation le 3 janvier.
Justifié, un tel embargo ?
Greg Walden (R-OR), Gregg Harper (R-MS), Bob Latta (R-OH), et Marsha Blackburn (R-TN) ont soulevé la question de l'embargo dans une lettre aux PDG d'Intel, AMD, ARM, Apple, Microsoft, Amazon et Google.
Certains membres au moins de chacune de ces entreprises étaient informés des failles des CPU depuis juin 2017, date à laquelle Google a révélé à Intel les attaques. Mais de nombreuses parties concernées ont été notifiées en retard ou, en raison de l'embargo, incapables d'évaluer pleinement le risque de ces vulnérabilités.
Des développeurs du noyau Linux se sont plaints cette semaine du processus inhabituel de divulgation de ces failles matérielles par rapport à des processus bien établis et fonctionnels, précédemment suivis pour les failles logicielles impliquant l'ensemble de l'industrie.
Jessie Frazelle, un ingénieur logiciel Microsoft qui travaille sur Linux, a qualifié cet embargo de "connerie absolue" qui devrait être évitée à l'avenir dans des scénarios similaires.
L'équipe de sécurité de FreeBSD n'a été notifiée qu'à la fin du mois de décembre et de la date d'embargo du 9 janvier. La divulgation anticipée de Google le 3 janvier, motivée par un article paru sur The Register, n'a ainsi pas permis à FreeBSD de communiquer aux utilisateurs une estimation quant à la publication des correctifs.
Comme indiqué dans la lettre, la société de cloud computing américaine DigitalOcean a déclaré à ses clients le 3 janvier que "l'embargo strict imposé par Intel a considérablement limité notre capacité à établir une compréhension globale de l'impact potentiel."
Un club privilégié d'entreprises informées
Le CERT/CC de Carnegie Mellon, qui joue un rôle important dans l'information de l'industrie sur les vulnérabilités, ne connaissait pas même l'existence de Meltdown et Spectre avant la mise en ligne des sites Web décrivant les vulnérabilités.
Et, il est devenu évident, lorsque Microsoft a publié ses correctifs Windows hors-cycle, que de nombreux fournisseurs d'antivirus n'étaient pas prêts non plus au moment de la divulgation anticipée.
"Si nous reconnaissons que de telles vulnérabilités critiques créent des compromis difficiles entre la divulgation et le secret, une divulgation prématurée pouvant donner aux acteurs malveillants le temps d'exploiter les vulnérabilités avant que les mesures d'atténuation ne soient développées et déployées, nous pensons que cette situation démontre le besoin d'un examen minutieux concernant les divulgations de vulnérabilité coordonnées impliquant plusieurs parties" écrivent les élus américains.
Les législateurs veulent entendre chaque compagnie sur les raisons de cet embargo et son instigateur. Ils souhaitent aussi savoir à quelle date l'US-CERT et le CERT/CC ont été informés. Et enfin, si l'une ou l'autre des entreprises dans le secret avait évalué l'impact potentiel de l'embargo sur les fournisseurs d'infrastructures critiques et d'autres fournisseurs technologiques.
Intel déclare apprécier les questions du Comité de l'énergie et du commerce et se félicite de l'opportunité de poursuivre son dialogue avec le Congrès sur ces questions importantes.
"En plus de nos récentes réunions avec les membres du personnel législatif, nous avons discuté avec le Comité d'un briefing en personne, et nous attendons avec impatience cette réunion" réagit Intel auprès de ZDNet.
Source(s) : ZDnet.fr via Frank de La Bible Atari
Informations complémentaires :
Crashdebug.fr : ‘Shadow Brokers’ affirme avoir piraté une unité de l’élite de la sécurité informatique liée à la NSA
