Publié le 05 janvier 2018
NUMÉRIQUE
Failles d’Intel : les défauts de cybersécurité sont une menace majeure pour toutes les entreprises
Meltdown et Spectre. C’est le nom des deux failles de sécurité découvertes dans les produits d’Intel, le premier producteur mondial de microprocesseurs. Celles-ci n’ont pas encore été réparées et sont toujours la cible potentielle de pirates. Elles pourraient avoir des conséquences majeures sur l’entreprise, financière et surtout réputationnelle.

Intel
La nouvelle a de quoi terrifier nos sociétés à large échelle. La vaste majorité de nos ordinateurs, téléphones, serveurs, tablettes et autres terminaux numériques sont porteurs de deux failles de sécurité, baptisée Meltdown et Spectre. Elles concernent directement les processeurs - le cerveau de tous les systèmes informatiques - fournis par le géant mondial du secteur, Intel.
Elles ont été découvertes en juin dernier par des chercheurs qui ont immédiatement alerté le fabricant américain. Suite à des rumeurs début janvier, Intel a confirmé l’existence de ces défauts de conception le 4 janvier. Ils permettent potentiellement d’accéder à toutes les données qui transitent sur un ordinateur (données personnelles, comptes bancaires, mot de passe…).
Ce défaut d’Intel est un danger pour les utilisateurs mais une menace encore plus imminente pour l’entreprise, dont l’action a perdu cinq points en deux jours. Dans un second temps, celle-ci devrait sûrement être confrontée à des risques judicaires et financiers.
Risque de dégradation des produits
Plusieurs grands noms du numérique, comme Microsoft, Amazon, Google et OVH ont annoncé avoir pris des dispositions pour protéger leurs données. Mais selon plusieurs experts, il ne s’agit que de rustine. Seul un correctif majeur d’Intel, s’il est possible, permettra de combler ces deux failles.
Or plusieurs observateurs craignent que cela conduise à un ralentissement des processeurs. Fin décembre, Apple a reconnu avoir ralenti volontairement le processeur de certains Iphones pour palier la mauvaise conception des batteries. Immédiatement des actions de groupe ont vu le jour aux États-Unis, en France et en Israël. Face à la bronca des clients, la marque à la pomme a dû immédiatement faire amende honorable en annonçant le remplacement des batteries à prix réduit.
Au-delà de ce premier risque de procédures judiciaires, Intel pourrait être attaqué si la faille était finalement exploitée par des pirates malintentionnés. Le PDG d’Intel, Brian Krzanich, se défend sur CNBC : "Nous n'avons trouvé aucun cas d’utilisation de cette faille". Puis il nuance : "C'est très difficile. Nous ne pouvons pas sortir et vérifier tous les systèmes (…)". Avant d’ajouter : "Mais il est difficile d’utiliser cette faille. Vous devez avoir accès aux systèmes, puis accéder à la mémoire et au système d'exploitation. Nous sommes assez confiants".
Le PDG de l’entreprise pourrait d’ailleurs être doublement mis en difficulté. Plusieurs journaux américains ont révélé que fin novembre, ce dernier a vendu 24 millions de dollars de ses actions d’Intel, ne conservant que le minimum (250 000 parts) requis par son poste. Le dirigeant avait alors connaissance de la faille. Toutefois les porte-paroles d’Intel nient tout lien entre ces deux faits.
Une réputation de vulnérabilité
La menace que fait peser la cybersécurité sur la réputation des entreprises et sur leurs responsabilités juridiques est croissante. Déjà cet été, HBO, qui produit entre Game Of Thrones, s’est fait pirater 1,5 To de données. Les pirates ont menacé de faire fuiter l’épisode final de la saison 7 de la série Game of Thrones à moins que l’entreprise ne paie une rançon de 6 millions d’euros. Les conséquences financières ont été limitées au final, mais l’image de l’entreprise en a pris un coup.
"Une fois que vos systèmes ont été compromis, vous êtes vu comme quelqu'un qui est attaqué et qui est vulnérable", explique à Reuters Dimitri Sirota, PDG de BigID, un éditeur de logiciel de sécurité. "Une entreprise touchée va devoir investir du temps, de l’énergie et de l’argent pour redonner confiance à ses clients à coups de communication marketing. Son image est totalement dégradée", ajoute Cédric Cailleaux spécialiste du sujet chez Axians.
La cybersécurité est par ailleurs devenue un point clé des Principes pour l’investissement responsable (PRI), lancés par les Nations unies en 2006. Un groupe de travail a été créé pour travailler sur ce sujet. Au niveau européen, à partir du 25 mai 2018, entrera en application la réglementation européenne sur les données personnelles. Elle impose aux entreprises utilisant et hébergeant des données de citoyens européens de renforcer la cybersécurité. Faute de quoi les entreprises pourraient subir des amendes massives allant jusqu’à 4 % de leur chiffre d’affaires.
Ludovic Dupin @LudovicDupin