C’est une bonne nouvelle, en quelque sorte. Skyfall et Solace, les deux nouvelles failles de sécurité que nous évoquions il y a quelques jours ne sont en fait pas des failles. Le créateur du site qui annonçait leur existence l’a mis à jour pour dévoiler la supercherie et préciser qu’il a voulu mener une « expérience sociale ».
Pour résumer, Rob Leadbeater considère que les failles Spectre et Meltdown qui sont, elles, bien réelles, n’auraient pas eu autant d’attention sans nom, ni logo. Et que n’importe qui pouvait inventer une faille de sécurité crédible en choisissant un nom cool et un logo. Il a opté pour « Skyfall » et « Solace » pour rester dans l’univers de James Bond (Skyfall et Quantum of Solace sont des films récents dans la saga) qui était utilisé pour les vraies failles (Spectre est le dernier film de la saga, « Meltdown » est le nom du dernier niveau du jeu The World is not Enough).
Pour donner du poids à son argument, l'homme, ingénieur chez Atos, évoque aussi une série de failles de sécurité corrigées récemment par Oracle et qui n’ont reçu aucune attention de la part des médias. Ce n’est pas faux, mais on doit aussi souligner que cela n’a absolument rien à voir. Les deux failles dénichées dans les processeurs touchent quasiment tous les ordinateurs actuellement en activité et, surtout pour Meltdown, elles peuvent très facilement être exploitées.
L’attention du grand public a certainement été plus facilement attirée par les noms et logos des deux failles, c’est vrai. Néanmoins, ce n’est pas la seule raison et ce n’est même pas la plus importante. Par ailleurs, on ne peut pas reprocher aux chercheurs en sécurité qui ont trouvé les failles de les avoir associées à un nom accrocheur. Ce sont des failles très sérieuses et il fallait précisément attirer l’attention du grand public : tout le monde est concerné, après tout.
Ce n’est certainement pas une raison pour profiter de ces vraies failles pour en créer de fausses et diminuer l’impact des menaces sérieuses. Cela étant, nous sommes aussi responsables de leur diffusion en publiant un article sans vérifier au préalable s’il s’agissait d’une information fiable et à ce titre, nous vous présentons nos excuses.
