Intel poursuivi pour avoir sciemment vendu des processeurs défectueux

Selon Tom's Guide , la vulnérabilité est exploitée par les instructions AVX2 et AVX-512 via une attaque qu'Intel appelle Gather Data Sampling (GDS). Les premières informations concernant le procès à venir ont été publiées en août 2023. La vulnérabilité affecte les processeurs Intel de la 6e génération (Skylake) à la 11e génération (Rocket Lake), y compris les puces Xeon basées sur la même architecture, affectant potentiellement des milliards de processeurs.

Intel a admis que, pour certaines charges de travail, la baisse de performances après l'installation du correctif pouvait atteindre 50 %. Une série de tests réalisés peu après la découverte de l'incident a montré une dégradation des performances allant jusqu'à 39 %, les applications s'appuyant fortement sur les instructions AVX2 et AVX-512 étant les plus affectées.

En 2018, lors de la découverte de Downfall, plusieurs sites d'information ont rapporté que les vulnérabilités Spectre et Meltdown, qui ciblent le processus d'exécution spéculative utilisé par de nombreux processeurs modernes pour accélérer les calculs, avaient été largement médiatisées. Cela a incité les chercheurs en sécurité à se pencher sur des vecteurs d'attaque similaires. En juin 2018, le chercheur Alexander Yee a signalé une nouvelle variante de Spectre pour les processeurs Intel, ciblant AVX et AVX512. L'information a été gardée strictement confidentielle pendant deux mois afin de permettre à Intel de remédier à la situation.

En réalité, selon la plainte, Yee n'était pas le seul à avoir alerté Intel des vulnérabilités AVX. Plus précisément, les plaignants affirment : « À l'été 2018, alors qu'Intel luttait contre les conséquences des attaques Spectre et Meltdown et promettait des correctifs matériels pour les futures générations de processeurs, l'entreprise a reçu deux rapports de vulnérabilité tiers distincts qui identifiaient plusieurs vulnérabilités liées à AVX dans ses processeurs. » Les plaignants soulignent qu'Intel a reconnu avoir lu ces rapports.

La principale plainte formulée dans les documents judiciaires demandant un procès devant jury devant le tribunal de district de San Jose ne porte pas sur l'existence de la vulnérabilité Downfall ni sur la baisse de performances liée aux correctifs, mais sur l'inaction d'Intel. Les plaignants allèguent que l'entreprise connaissait la faille à l'origine de Downfall depuis 2018, mais qu'elle a sciemment vendu des milliards de processeurs depuis sa découverte. Les consommateurs se retrouvent donc face à deux options (toutes deux inacceptables) : acheter des processeurs vulnérables ou installer un correctif destructeur de performances pour les protéger. C'est pourquoi les plaignants réclament une indemnisation à Intel.