Attendue toute la journée, la réaction publique d'Intel aux failles de sécurité qui touche ses processeurs a enfin été publiée. Elle est courte et veut surtout tenter de faire comprendre que la société n'est pas la seule concernée... alors que les mises à jour se préparent pour le 9 janvier. Une date d'embargo que Google a décidé de ne pas respecter.
Ce matin nous relations la découverte de failles de sécurité au niveau de la gestion des adresses mémoire, détaillée depuis par Google, qui était en train d'être bouchée sur plusieurs systèmes d'exploitation. Bien que corrigée au niveau logiciel, elle a été rendue exploitable par une faiblesse de conception de certains processeurs.
Failles dans les processeurs x86, grosses pertes de performances évoquées
De quoi inciter les développeurs du noyaux Linux à considérer toutes les architectures x86 comme « insecure », même si un représentant d'AMD a indiqué que ses puces n'étaient pas concernées.
Interrogée sur le sujet pour plus de détails, la marque n'a pour le moment pas souhaité répondre à nos questions mais a communiqué une position officielle confirmant cette première déclaration. Depuis, il a été indiqué que si AMD ne semble pas touchée par Meltdown elle l'est par la variante Spectre, au moins pour certains de ses processeurs.
Du côté de chez Intel, le souci est confirmé. Il est d'ailleurs connu depuis quelque temps, des ingénieurs de la société travaillant à sa résolution. Un plan de communication avait d'ailleurs été établi afin d'informer les partenaires de la marche à suivre, et selon nos informations, un embargo a bien été mis en place, il devait se terminer le 9 janvier.
Car voilà : suite à la série d'articles de ces derniers jours, Intel a dû réagir de manière anticipée. Il faut dire que le problème est de taille, les premiers tests évoquant des pertes de performances assez importantes une fois les patchs mis en place. De plus, les médias relataient le plus souvent cette affaire comme un « Bug Intel », il fallait donc publier une première version officielle assez rapidement.
C'est fait, un communiqué de presse ayant été mis en ligne peu avant 22 heures.
« Nous ne sommes pas les seuls concernés »
Ce communiqué n'a d'ailleurs qu'un seul objectif : marteler qu'Intel n'est pas le seul touché. La société précise ainsi faire partie d'un certain nombre d'entreprises qui ont été alertées de la découverte des failles qui permettent « de récupérer des données sensibles depuis un appareil ».
Elle pense que « celles-ci ne sont pas de nature à corrompre, modifier ou supprimer des données », mais indique surtout que « de nombreux types d'appareils, exploitant différents types de processeurs et d'OS, sont concernés par ces failles ». Aux dernières nouvelles, des patchs pour des architectures ARM étaient également en préparation.
Intel indique travailler avec AMD, ARM et différents éditeurs de systèmes d'exploitation afin de trouver une approche globale au problème soulevé par ces failles. Des mises à jour logicielles et au niveau des firmwares ont déjà été livrées par le constructeur, qui n'en dira pas plus d'un point de vue technique.
Google précise que pour le moment aucune exploitation des failles n'aurait été démontrée sur des appareils Android avec une puce ARM, mais indique que des patchs ont été déployés au niveau logiciel, tout comme pour les appareils sous Chrome OS (voir ici pour plus de détails).
La société de Mountain View a également publié un rapport complet à travers le projet zéro, qui permet de découvrir en détails la composition des trois failles désormais connues sous le nom de Meltdown et Spectre, avant la levée de l'embargo. Raison invoquée ? La publication de nombreux articles et les questions soulevées dans le monde de la sécurité.
« Côté performances, tout va bien »
Autre point d'importance où Intel se veut rassurant, tout en entretenant un certain flou : la question des performances. De premiers tests ont en effet montré des impacts importants, que la société semble vouloir minimiser.
« Contrairement à ce qu'indiquent plusieurs rapports, les impacts de performances dépendent de la charge de travail, et, pour l'utilisateur moyen d'un ordinateur, ne devraient pas avoir de conséquences significatives, ils seront corrigés avec le temps ». On notera ici que le cas des datacenters n'est pas du tout évoqué, et qu'Intel ne précise pas que les pertes de performances ne peuvent être importantes.
Et dans de pareilles situations, ce qui n'est pas clairement évoqué est sans doute bien plus éloquent que les quelques mots qui peuvent être prononcés pour tenter de rassurer.
« Le plan va continuer comme prévu »
Droit dans ses bottes, Intel ne semble pas avoir décidé de changer quoi que ce soit à ses plans et indique que ses processeurs « restent parmi les plus sécurisés du monde ». Ce, malgré les multiples problèmes rencontrés ces derniers temps, notamment avec le Management Engine.
Mais le constructeur n'est effectivement pas le seul touché par des failles d'ampleurs en ces temps où la problématique de sécurité concerne de plus en plus souvent le matériel. Ainsi, il faudra attendre la semaine prochaine pour en savoir plus, la société promettant alors de nouvelles mises à jour.
On devrait alors enfin savoir de quoi il en retourne avec la fin de l'embargo et avoir des nouvelles des autres constructeurs et savoir qui est réellement concerné, Intel confirmant avoir décidé de communiquer maintenant « du fait des nombreux articles de presse erronés ».
Côté coulisse : les partenaires informés progressivement depuis novembre
Car derrière la communication publique, les choses s'activent. Il faut dire que les partenaires d'Intel sont nombreux et les retombées potentielles importantes. Alors que le secteur est censé être dans une période entre retour des fêtes et préparation du CES, la multiplication des articles ces derniers jours à fait l'effet d'une bombe.
Cela a obligé de nombreuses sociétés à se positionner, sans toujours savoir de quoi il en retourne. Des géants du Cloud comme AWS (Amazon) ou Azure (Microsoft) ont ainsi prévenu leurs clients d'une mise à jour de sécurité (voir notre analyse), en France, OVH a réagi, tout comme Online.net.
Mais cela concerne bien plus largement tous ceux qui exploitent des datacenters pour une raison ou une autre, ainsi que toute la chaîne de conception / distribution... sans parler du grand public, avec certains qui évoquaient déjà des Core i7 aux performances d'un Ryzen 5 sans pourtant savoir de quoi il en retourne vraiment.
Ainsi, cela fait plusieurs semaines que tout se prépare en coulisse pour l'embargo du 9 janvier, et que les partenaires sont prévenus, de manière plus ou moins rapide selon leur importance dans la chaîne. Selon nos informations, le programme a débuté le 29 novembre dernier, avec des mises à jour régulières tout au long du mois de décembre.
Une pluie de mises à jour le 9 janvier, toutes les gammes sont touchées
C'est ainsi sous le petit nom de CVE-2017-5715 (Spectre) que l'une des vulnérabilités sera annoncée, sa description précisant qu'elle n'est pas spécifique aux processeurs Intel. Une mise à jour du microcode des processeurs tentera d'y répondre, celle-ci étant distribuée via une mise à jour à la fois côté BIOS/UEFI et côté OS, notamment via Windows Update pour ce qui concerne le système d'exploitation de Microsoft.
« Intel recommande fortement à ses clients de rendre ces mises à jour disponibles à l'utilisateur final le même jour que la levée de l'embargo, soit le 9 janvier 2018 » précise un document auquel nous avons pu avoir accès. Les mises à jour du microcode sont diffusées depuis quelques jours maintenant, surtout pour les processeurs récents de la génération Coffee Lake, Kaby Lake, Skylake, Broadwell, Haswel, Apollo Lake, Gemini Lake et Denverton.
Cela confirme que la faille touche les produits du constructeur de manière assez large, et que de nombreux types de produits seront concernés, notamment les NAS par exemple.
D'autres mises à jour étaient prévues dans un second temps, sans que l'on sache exactement à quelle date elles doivent être rendues disponibles : Sandy Bridge, Westmere, Wolfdale, Yorkfield, Avoton, Cherryview, Braswell, SoFIA, Tangier Baytrail mais aussi Knights Mill et Knights Landing côté Xeon Phi.
Un CES qui s'annonce chaud... le cas de Brian Krzanich en suspens
C'est donc le jour de l'ouverture officielle du CES de Las Vegas que ces informations et ces mises à jour seront diffusées. Il faudra donc être vigilant pour se tenir informés. Bien entendu, nous profiterons de notre présence sur place pour tenter d'en savoir plus, et surtout vous tenir au courant des dernières évolutions concernant ces failles.
Pour Intel, quoi qu'il se passe dans les jours à venir, un autre combat pourrait commencer sur un terrain plus rugueux. En effet, mi-décembre, The Motley Fool a évoqué le fait que le PDG Brian Krzanich avait vendu toutes les stocks options qu'il pouvait selon une déclaration d'Intel le... 29 novembre dernier, son rôle lui imposant d'en garder 250 000 au minimum.
De quoi mettre un sérieux doute sur la foi de l'homme en sa propre société, alors qu'il est lui-même contesté depuis un certain temps du fait des multiples ratés d'Intel dans de nombreux secteurs ces dernières années, malgré de bonnes performances financières. Mais cette vente est aussi de nature à faire naître des suspicions de délit d'initié en raison de son timing plutôt concordant avec celui de l'annonce de la faille aux partenaires.
Il faudra donc voir si le gendarme boursier américain, la SEC, décide de se saisir de ce cas et si Intel compte s'exprimer publiquement sur le sujet. Ce n'était pas le cas dans le communiqué de presse diffusé ce soir. Un porte-parole a néanmoins indiqué depuis à Gizmodo que cette vente découlait d'une procédure engagée de longue date.
