Pendant une brève période, il a semblé que les utilisateurs de téléphones mobiles étaient exemptés des problèmes qu’ils rencontraient. Après tout, cela faisait longtemps qu'aucun fournisseur de téléphone n'avait utilisé de puces Intel dans aucun produit. Les fans d'Apple ou les clients d'Android n'avaient donc rien à craindre..

Tout a changé quand il a été révélé qu'il existait deux failles dans le processeur et que la seconde, Spectre, affectait très certainement les puces ARM - ce qui signifiait à peu près tous les téléphones et tablettes disponibles..

Ce qui a ensuite suivi a été presque une classe de maître sur la manière dont la rumeur a été diffusée et comment la désinformation peut se répandre. Tout d'abord, il convient de rappeler que cette vulnérabilité avait été identifiée et signalée il y a sept mois et qu'elle n'aurait vraisemblablement pas été révélée avant la semaine prochaine (alors que le monde de la technologie s'était décroché à Las Vegas pour CES et ces journalistes techniques ennuyeux serait occupé autrement).

Mais il y avait aussi l’incertitude quant à la signification de Spectre pour les utilisateurs et aux messages contrastés. D’une part, on lui disait que c’était pire que Meltdown car il n’aurait pas été aussi facile d’y apporter des corrections; et, d'autre part, comment ce n'était pas si grave que ce n'était pas quelque chose qui pourrait être exploité par un script kiddie travaillant seul, mais aurait besoin d'équipes sponsorisées par l'Etat.

Et selon Adam Donenfeld, conseiller en sécurité chez Zimperium, les dangers pour les utilisateurs individuels sont limités.. “Spectre est essentiellement une vulnérabilité de divulgation d’informations. Bien qu'il soit possible de voler des informations en utilisant cette vulnérabilité, voler une information ciblée spécifique n'est pas aussi facile qu'il y paraît,” il a dit.

Il a souligné qu'il existait déjà une protection disponible. “À partir de maintenant, l'utilisateur moyen peut attendre ou installer une solution de sécurité tierce. De toute évidence, il s’agit d’une nouvelle classe de vulnérabilités que nous n’avons pas encore vue. Il pourrait donc y en avoir plus. Mais, un prochain correctif résoudra les problèmes connus liés à cette classe de bogues..”

Cela ne veut pas dire que les vulnérabilités ne sont pas inquiétantes pour les utilisateurs. De nombreux utilisateurs d’Apple, qu’il s’agisse de téléphones ou d’ordinateurs, croient depuis longtemps que leurs appareils sont protégés contre toute forme d’attaque. Ainsi, la nouvelle que leurs téléphones sont également vulnérables aux attaques - même si Apple a publié une déclaration affirmant que la société réagir à la vulnérabilité Specter. Selon la déclaration de l'entreprise, “Apple va publier une mise à jour pour Safari sur macOS et iOS dans les prochains jours afin d'atténuer ces techniques d'exploitation. Nous continuons à développer et à tester d’autres mesures d’atténuation au sein du système d’exploitation pour les techniques Spectre, et nous les publierons dans les prochaines mises à jour d’iOS, de macOS et de tvOS. watchOS n'est pas affecté par Spectre.”

Évidemment, les utilisateurs ne s'inquiétaient pas uniquement pour Apple, mais aussi pour ce qui était des puces qu'ARM fabriquait pour d'autres fournisseurs, tels que Qualcomm. La société a également publié une déclaration visant à apaiser les inquiétudes de ses clients. “Fournir des technologies qui prennent en charge une sécurité et une confidentialité solides est une priorité pour Qualcomm et, à ce titre, nous travaillons avec ARM et d'autres entités pour évaluer l'impact et développer des mesures d'atténuation pour nos clients. Nous sommes en train de déployer ces mesures d'atténuation auprès de nos clients et encourageons les utilisateurs à mettre à jour leurs appareils lorsque des correctifs sont disponibles..”

Hype

Avec de telles déclarations, il est clair que les fournisseurs tentent de répondre aux préoccupations des utilisateurs. Selon Donenfeld, les fabricants ont des inquiétudes au-delà des problèmes techniques. “Je pense que les fournisseurs de services mobiles ne sont pas aussi préoccupés par l'impact, mais plutôt par le battage publicitaire qui le sous-tend: les vulnérabilités en matière de divulgation d'informations ne sont pas nouvelles. À la fin de la journée, il s’agit d’un simple correctif qui corrige ces bogues, tout comme d’autres vulnérabilités. L’un des problèmes, cependant, est que la vulnérabilité (et certains PoC) ont été publiées avant l’installation d’un correctif. Mais ces vulnérabilités nécessitaient davantage de vulnérabilités pour enchaîner, afin de parvenir à un compromis complet du périphérique.”

L'épisode a fait une chose, cependant, il a concentré les esprits des utilisateurs de mobiles sur les vulnérabilités de leurs appareils. Tandis que les utilisateurs (dans l'ensemble) font preuve de diligence pour mettre à jour leurs ordinateurs et installer un logiciel antivirus, les mêmes efforts n'ont pas été déployés sur les mobiles: la faille Specter pourrait-elle changer cela? Donenfield n'engage pas: “J'espere. Mais Spectre n’est pas différent et n’éclaire pas le point de vue des utilisateurs sur leur téléphone: une solution de sécurité pour les appareils mobiles était nécessaire avant, elle est également nécessaire après ce correctif.”

Cela ne veut pas dire que, une semaine après que Spectre ait été signalé pour la première fois, l’industrie ne pouvait pas améliorer les choses. Le fait que des nouvelles de vulnérabilité aient été divulguées et que la divulgation n'ait pas été gérée correctement est toujours controversé. Donenfeld pense que cela aurait pu être mieux géré “Je pense qu'il n'y a pas eu de divulgation responsable. Le fait que les détails de la vulnérabilité, ainsi que les PoC, aient été publiés avant le correctif de certains dispositifs phares, implique un problème de communication entre la partie divulgatrice et les fournisseurs..”

Et il est probable que ces points auront été notés et que des leçons ont été tirées - la preuve en sera la prochaine fois - nous serons mieux préparés: ne le ferons-nous pas??

  • Meilleures offres pour mobiles en janvier