Intel fait face à un procès en cas de bug « chute » et réclame 10 XNUMX $ par plaignant

Une plainte en recours collectif a été déposée contre Intel cette semaine pour sa gestion des bogues de fuite de données dans ses processeurs.

In un dossier de 112 pages auprès de la division de San Jose du district nord de Californie du tribunal de district des États-Unis, cinq représentants des plaignants allèguent que le géant des puces était au courant d'instructions erronées qui ont permis des problèmes tels que le récent bug « Downfall », une demi-décennie avant de publier un quelconque correctif.

Déterminer si la négligence d'Intel constitue une infraction juridique peut cependant être compliqué et cela pourrait avoir de vastes conséquences pour l'industrie technologique.

« Ne jamais avoir de faille est une exigence irréaliste », déclare John Gallagher, vice-président de Viakoo Labs chez Viakoo, mais « si mes données sont volées parce qu'un fournisseur n'a pas appliqué un correctif à temps, je devrais pouvoir le poursuivre en justice. à cause de la négligence. »

Comment Intel a géré ses problèmes de puces

La chute était le nom donné à CVE-2022-40982, une vulnérabilité de divulgation d'informations CVSS de note moyenne de 6.5 dans les processeurs Intel de sixième à onzième génération. Comme l'a révélé un chercheur de Google lors du Black Hat d'août dernier, un attaquant pourrait profiter d'une instruction vulnérable du les processeurs utilisent pour l'exécution spéculative afin d'accéder aux informations privilégiées des autres utilisateurs dans un environnement informatique partagé.

Bien qu'il existe dans des millions, voire des milliards, d'ordinateurs dans le monde (Intel bénéficie une majorité du marché mondial des processeurs x86), « au niveau individuel, cela n’aura pas d’impact sur la plupart des gens ; il s'agit d'un exploit relativement complexe et basé sur le partage d'un utilisateur par un ordinateur ou un environnement cloud », note Gallagher.

Alors que le chercheur de Google a mis Downfall sous les projecteurs pour la première fois en août, le nouveau procès remonte bien plus loin que cela.

En 2018, un passionné de matériel informatique a publié ses conclusions démontrant la vulnérabilité d’exécution transitoire de type Downfall dans les processeurs Intel. C'était similaire à d'autres bugs de puces plus tristement célèbres - Spectre et Meltdown - et encore un autre cas similaire - NetSpectre – est apparu à peu près à la même époque.

«Cependant, malgré plusieurs divulgations de vulnérabilités (de notoriété publique) faites à Intel sur le sujet, Intel n'a pas soigneusement analysé [sic] les effets secondaires possibles de l'AVX ISA et n'a pas conçu de solutions matérielles pour les corriger en 2018. Ou en 2019, ou 2020, ou 2021, ou 2022. Au lieu de cela, Intel a donné la priorité aux bénéfices, vendant des processeurs défectueux pendant des années après avoir clairement su qu'ils étaient défectueux », indique la plainte.

En accord avec la révélation Black Hat cette année, Intel a publié un correctif pour Downfall. Mais ce correctif, souligne la plainte, réduit les vitesses de traitement à un tel degré que « les plaignants se retrouvent avec des processeurs défectueux qui sont soit extrêmement vulnérables aux attaques, soit doivent être ralentis au point de devenir méconnaissables pour les « réparer ».

Pour cela, l’accusation demande « une réparation pécuniaire contre Intel, mesurée comme le plus élevé des montants suivants : (a) des dommages réels d’un montant à déterminer lors du procès ou (b) des dommages-intérêts légaux d’un montant de 10,000 XNUMX $ pour chaque plaignant ».

Intel devrait-il être tenu légalement responsable ?

Le seuil à partir duquel une mauvaise correction d’une vulnérabilité se transforme en négligence pure et simple n’est pas encore clairement défini par la loi.

« L'année prochaine fera 30 ans que « l'erreur de virgule flottante » d'Intel a fait la une des journaux et a amené Intel à rappeler ses puces (potentiellement pour éviter d'être jugé légalement responsable). Depuis lors, la responsabilité légale n'est pas beaucoup plus claire, car il y aura toujours des cas particuliers et des défauts mineurs qui n'atteindront pas le niveau de responsabilité légale », réfléchit Gallagher.

Et qu'Intel ait tort ou non, un bug complexe de canal secondaire avec des conséquences limitées pour la plupart des propriétaires d'ordinateurs ne constitue pas l'argument le plus clair pour inverser cette tendance. "S'il s'agissait d'une faille largement exploitée qui aurait pu raisonnablement être évitée, elle pourrait donner lieu à une responsabilité juridique, mais sans cela, ce n'est qu'un autre exemple de la façon dont, même avec les tests et la conception de produits les plus rigoureux, des failles peuvent survenir", dit-il. .

« Si chaque attaque par canal secondaire exploitant une faille architecturale au niveau de la puce était portée en justice », conclut-il, « les dossiers déborderaient ».

Bathaee Dunne LLP, représentant l'accusation, a refusé de commenter cette histoire. Dark Reading a également contacté Intel, qui n'a pas encore répondu à la date de cette publication.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/vulnerabilities-threats/intel-downfall-lawsuit-10k-plaintiff-ignoring-chip-bug