Discussion :

[Stéphane le calme]

Les premiers recours collectifs contre Intel suite aux vulnérabilités critiques Meltdown et Spectre
ont été lancés aux États-Unis

Il y a quelques jours, nous rapportions que des chercheurs de Google ont découvert que la temporisation du cache de données des processeurs modernes peut être utilisée de manière abusive pour récupérer illégalement les informations sur un ordinateur. Cette fonctionnalité est utilisée par la plupart des processeurs modernes pour optimiser les performances, mais elle peut également occasionner de graves problèmes de sécurité, car des attaquants pourraient tirer parti de l’exécution spéculative afin de lire le contenu de la mémoire du noyau d’un ordinateur qui en temps normal aurait dû leur être inaccessible.

Ces vulnérabilités critiques ont touché Intel, ARM et AMD, bien qu’Intel était le plus touché. Google a prévenu qu’il avait informé les trois entreprises depuis le 1^er juin et clarifié les détails relatifs à cette affaire en fournissant une liste des différentes variantes de la faille critique dont il est question.

Les failles, appelées Meltdown et Spectre, existent dans pratiquement tous les processeurs modernes et pourraient permettre aux pirates informatiques de voler des données sensibles, bien qu'aucune violation de données n'ait encore été signalée. Alors que Spectre affecte les processeurs fabriqués par une variété de sociétés, Meltdown semble affecter principalement les processeurs Intel fabriqués depuis 1995.

Aussi, trois recours collectifs distincts ont été intentés par des plaignants en Californie, en Oregon et en Indiana en vue d'obtenir une indemnisation. Il est probable que le nombre de recours augmente au fil du temps. Tous les trois recours citent la vulnérabilité de sécurité et le retard d'Intel dans la divulgation publique à partir du moment où il a été informé pour la première fois par les chercheurs des failles de juin.

Les plaignants citent également le ralentissement présumé de l'ordinateur qui sera causé par les correctifs nécessaires pour résoudre les problèmes de sécurité. « Contrairement à ce que prétendent certains rapports, les impacts sur les performances dépendent de la charge de travail et, pour l'utilisateur moyen, ne devraient pas être significatifs et seront atténués au fil du temps », avait affirmé Intel dans une déclaration antérieure.

« La vulnérabilité de sécurité révélée par ces rapports suggère que cela pourrait être l'une des plus grandes failles de sécurité jamais rencontrées par le public américain », a déclaré Bill Doyle de Doyle APC, l'un des avocats représentant les plaignants Steven Garcia et Anthony Stachowiak (district de Californie). « Il est impératif qu'Intel agisse rapidement pour résoudre le problème et que les consommateurs soient pleinement indemnisés pour toutes les pertes subies du fait de leurs actions. »

Selon les experts juridiques, pour pouvoir demander réparation, les consommateurs vont devoir montrer des dommages concrets. Ils s'attendent également à ce que les recours collectifs intentés par les consommateurs ne représentent qu'un coût auquel Intel devra faire face dans le sillage des révélations de Meltdown.

Eric Johnson, doyen de la Owen Graduate School of Management de l'Université Vanderbilt, a déclaré : « La responsabilité potentielle est grande pour Intel. Tout le monde se bousculera au cours des prochains jours pour comprendre à quel point c'est important. »

Les experts en sécurité pensent que les grands fournisseurs de services cloud tels qu'Amazon, Google et Microsoft vont probablement chercher une forme de compensation de la part d'Intel pour les corrections logicielles ou matérielles qu'ils sont forcés de faire et qui pourraient potentiellement affecter leur capacité de calcul globale. Néanmoins, Amazon, Microsoft et Google ont tous déclaré qu'ils ne s'attendent pas à des problèmes de performance significatifs pour la plupart de leurs clients de service cloud.

Selon Kim Forrest, analyste senior de recherche sur les actions chez Fort Pitt Capital Group à Pittsburgh, qui détient des actions d'Intel, l'incident devrait inciter les sociétés de cloud computing à faire pression sur Intel pour obtenir des prix plus bas sur les puces : « Ce que les [clients du cloud d'Intel] vont dire, c'est que vous nous avez fait du tort, nous vous détestons, mais si nous pouvons obtenir un rabais, nous achèterons toujours chez vous. »

Forrest suggère également qu'Intel pourrait devoir augmenter ses dépenses de développement de puces pour se concentrer sur la sécurité.

Source : The Guardian

Et vous ?

Partagez-vous l'avis de Forrest qui pense que cette crise pourrait permettre aux fournisseurs de cloud de faire pression sur Intel pour baisser le prix des puces ?
Selon vous, cette crise est-elle susceptible d'avoir un impact sur le volume de vente de puces d'Intel au profit de Samsung ? Pourquoi ?

Voir aussi :

Bogues critiques touchant les CPU modernes : Google a informé Intel depuis des mois et confirmé qu'ils affectent plus Intel et ARM qu'AMD
Vulnérabilité Spectre : Google publie une nouvelle technique de mitigation elle introduirait un impact négligeable sur les performances des machines

[Iradrille]

Partagez-vous l'avis de Forrest qui pense que cette crise pourrait permettre aux fournisseurs de cloud de faire pression sur Intel pour baisser le prix des puces ?
Selon-vous, cette crise est-elle susceptible d'avoir un impact sur le volume de vente de puces d'Intel au profit de Samsung ? Pourquoi ?

Samsung est autant touché touché qu'Intel par Spectre. Si baisse il y a, elle sera généralisée.

Spectre semble, pour le moment, vraiment bien porter son nom et hanter le monde info tel que nous le connaissons.

[cirle78]

Avec le bug de l'An 2000, le monde de l'informatique avait déjà fait fort.....

Alors là avec un Bug processeur potentiel , ne pouvant pas être mis en pratique par le commun des mortels , on en fait du blabla....... avec la mise en cloud, y a-t-il vraiment besoin d'un bug pour avoir accès à nos données par une tierce personne.... pas besoin de se compliquer la vie, un vulgaire administrateur des serveurs suffit pour avoir des informations... Nous sommes partis pour mettre tous nos serveurs d'entreprise dans le CLOUD et on a peur d'un bug. Est ce que chez vous, vous mettez votre portefeuille sur le palier de votre appartement sans surveillance car il y a une porte à digicode à l'entrée ;-)

[LordMacharius]

Avec le bug de l'An 2000, le monde de l'informatique avait déjà fait fort.....

Alors là avec un Bug processeur potentiel , ne pouvant pas être mis en pratique par le commun des mortels , on en fait du blabla....... avec la mise en cloud, y a-t-il vraiment besoin d'un bug pour avoir accès à nos données par une tierce personne.... pas besoin de se compliquer la vie, un vulgaire administrateur des serveurs suffit pour avoir des informations... Nous sommes partis pour mettre tous nos serveurs d'entreprise dans le CLOUD et on a peur d'un bug. Est ce que chez vous, vous mettez votre portefeuille sur le palier de votre appartement sans surveillance car il y a une porte à digicode à l'entrée ;-)

Je pense que tu te trompes de combat. Ici il n'est pas question du commun des mortels mais bien de personnes ayant des capacités avancés de piratage/intrusion. Ce n'est surement pas un développeur isolé qui ira exploiter cette faille mais des grosses structures comme les états qui n'ont pas besoin d'un retour sur investissement rapide.
Et c'est bien pour cela que google et consort ont peur de ce problème.

Maintenant je suis assez circonspect quant à la découverte fort récente de ce problème, je ne serais pas étonné de voir des exploit découvert au cours des mois qui arrivent.

[petitours]

Avec le bug de l'An 2000, le monde de l'informatique avait déjà fait fort.....

Alors là avec un Bug processeur potentiel , ne pouvant pas être mis en pratique par le commun des mortels , on en fait du blabla....... avec la mise en cloud, y a-t-il vraiment besoin d'un bug pour avoir accès à nos données par une tierce personne.... pas besoin de se compliquer la vie, un vulgaire administrateur des serveurs suffit pour avoir des informations... Nous sommes partis pour mettre tous nos serveurs d'entreprise dans le CLOUD et on a peur d'un bug. Est ce que chez vous, vous mettez votre portefeuille sur le palier de votre appartement sans surveillance car il y a une porte à digicode à l'entrée ;-)

+1 c'est un peu si on mettait nos bijoux devant la fenêtre au Rdc et qu'on s'inquiétait d'avoir une porte blindée pas assez solide.

[Bousk]

Maintenant je suis assez circonspect quant à la découverte fort récente de ce problème, je ne serais pas étonné de voir des exploit découvert au cours des mois qui arrivent.

La faille était connue depuis plusieurs mois mais gardée sous NDA. https://cloudblogs.microsoft.com/mic...ndows-systems/

[petitours]

La faille était connue depuis plusieurs mois mais gardée sous NDA. https://cloudblogs.microsoft.com/mic...ndows-systems/

Suffit de regarder à quelle date le patron a revendu ses stock option pour connaitre la date de découverte

[Gogo52120]

Je tourne avec des serveurs SQL, Je suis touché par ce problème, déjà que les processeurs rapide son dure à trouvé (peu de cœurs mais des bonne fréquences) si en plus ont me retire quelques % à chaque requêtes ...