Intel risque de payer très cher les failles de sécurité de ses processeurs, en particulier la menace Downfall rendue publique en août. Une plainte collective a été déposée aux États-Unis : les plaignants réclament pas moins de 10 000 dollars pour chaque client lésé.
Une plainte collective a été déposée contre Intel aux États-Unis pour sa gestion des vulnérabilités trouvées dans ses processeurs, en particulier concernant la faille de sécurité Downfall. Avec un dépôt initial de plainte qui compte pas moins de 112 pages, ça sent mauvais pour le fabricant de processeurs. La nouvelle était attendue depuis août, lorsqu’un cabinet d’avocats américain avait déclaré son intention de porter une plainte.
Qu’est ce que Downfall, cette faille de sécurité des processeurs Intel ?
Downfall est une faille de sécurité découverte dans de nombreux processeurs d’Intel, elle affecte les processeur Intel à partir de la 6e génération de processeurs Skylake, jusqu’à la 11e génération de processeurs Rocket Lake et Tiger Lake. Les futurs processeurs Meteor Lake, qui s’appelleront Core Ultra ne seront pas affectés par la faille à leur sortie.
Cette faille est liée aux fonctions d’optimisation de la mémoire des processeurs Intel. Elles permettent à certains registres matériels protégés d’être accessibles par un logiciel (potentiellement malveillant), alors qu’ils ne devraient pas l’être. Pour ce faire, il exploite les instructions Gather présentes dans les processeurs qui prennent en charge les jeux d’instructions AVX2 et AVX-512. Cela expose les machines au vol de données sensibles, comme des mots de passe.
Pour remédier au problème, Intel a rapidement déployé un correctif. Petit hic, les BIOS mis à jour avec le correctif ont vu leurs performances considérablement réduites, comme le révélaient des tests effectués par le site Phoronix en août.
Les plaignants critiquent le correctif d’Intel de sa faille de sécurité CPU
C’est précisément ce que reproche les plaignants, qui affirment que les processeurs Intel sont “défectueux” :
- Soit parce qu’ils sont vulnérables aux cyberattaques
- Soit parce qu’ils sont désormais nettement moins performants depuis le déploiement du correctif
La plainte ne concerne pas que Downfall, elle concerne également les menaces Meltdown et Spectre. Selon les plaignants, Intel serait au courant de ces vulnérabilités de ses processeurs depuis 2018, lorsque des chercheurs en cybersécurité en avait publiquement révélé l’existence.
À lire > Windows 12 : Intel parie sur une sortie imminente du nouvel OS
L’entreprise est ainsi accusée d’avoir vendu des CPU qu’elle savait défectueux pendant plusieurs années. Dans le cas de Downfall, le chercheur de Google qui l’avait découverte affirmait avoir laissé plus d’un an à Intel pour agir, avant de l’y obliger en révélant publiquement le pot aux roses.
C’est pourquoi les plaignants cherchent à obtenir des dommages-intérêts soit “sous la forme d’un montant à déterminer lors du procès“, soit “d’un montant de 10 000 dollars pour chaque plaignant“. On ignore le nombre personnes représentées par la plainte, mais elle pourrait potentiellement concerner des millions de clients américains : une somme record en vue ?