Quand l'équipe du Project Zero d'Alphabet / Google a découvert les failles Meltdown et Spectre en juin 2017, des courriers ont été adressés à Intel, AMD et ARM pour leur en faire prendre connaissance, leur laissant 90 jours pour les corriger avant la diffusion publique, constituant la pratique courante en la matière.

spectre Alphabet a ensuite laissé les entreprises concernées décider d'avertir ou non les autorités sur l'existence de ces vulnérabilités, et notamment l'US-CERT (United States Computer Emergency Readiness Team) qui publie des bulletins réguliers sur les menaces informatiques de manière à permettre de réagir rapidement face à l'émergence de nouvelles failles.

Dans le cas de Meltdown et Spectre, l'US-CERT n'a pas été avertie de leur existence avant l'annonce de leur existence le 3 janvier 2018 via le site The Register.

Intel s'en explique maintenant en indiquant ne pas avoir jugé utile d'avertir les autorités dans la mesure où aucune cyberattaque les exploitant n'avait été recensée. Le groupe n'a pas non plus mené d'étude sur la dangerosité des failles pour les infrastructures critiques, estimant que les systèmes industriels ne seraient pas touchés.

De son côté, Microsoft a averti les éditeurs d'antivirus de l'existence des failles plusieurs semaines avant leur apparition publlique pour qu'ils puissent adapter leurs produits, indique Reuters.

Source : Reuters