Un juge de district américain a rejeté un projet de recours collectif contre Apple qui l’accusait de dissimuler les failles de sécurité Meltdown et Spectre et de réduire les performances de ses appareils en atténuant les vulnérabilités, ce qui réduisait la valeur de leurs appareils. Les plaignants ont exigé une compensation pour eux-mêmes ainsi que pour les autres propriétaires d’appareils Apple touchés par les actions d’Apple.
Les accusateurs ont déclaré qu’Apple avait déformé la confidentialité et la sécurité des iPhones et iPads ainsi que les performances de ses SoC personnalisés sur lesquels Apple a fait valoir que les fausses déclarations alléguées des plaignants étaient trop générales pour donner lieu à une action et qu’ils n’avaient pas allégué qu’une représentation spécifique était fausse.
« Les plaignants n’ont pas allégué une fausse déclaration affirmative, une omission donnant lieu à une action et une confiance réelle dans les déclarations inexactes d’Apple », a écrit le juge de district américain Edward Davila à San Jose, en Californie, dans sa décision, rapporte Reuters.
Les vulnérabilités de sécurité Meltdown et Spectre ont été découvertes à la mi-2017, puis rendues publiques début 2018. Alors que Meltdown affectait les puces d’Intel, Spectre touchait pratiquement tous les processeurs hautes performances modernes avec une exécution spéculative et dans le désordre. Les puces concernées comprenaient celles d’AMD et d’Intel ainsi que des systèmes sur puce personnalisés basés sur diverses architectures Arm, notamment celles d’Apple, Qualcomm, MediaTek et Samsung.
L’atténuation de Meltdown et Spectre entraîne une dégradation des performances. Étant donné qu’Apple était au courant des vulnérabilités avant qu’elles ne soient rendues publiques et les a atténuées avant qu’elles ne soient révélées, les plaignants ont allégué qu’elle avait trompé ses clients en annonçant les avantages de sécurité de sa plate-forme iOS ainsi que les avantages de performance de son dernier système sur puces par rapport à son SoC de génération précédente. Les accusateurs ont qualifié les actions d’Apple de frauduleuses.
« Les plaignants allèguent qu’Apple a été informé des défauts en juin 2017 mais ne les a divulgués publiquement que le 4 janvier 2018, après qu’un article du New York Times a divulgué les vulnérabilités », indique la plainte. « Apple a abordé l’exécution spéculative et Meltdown, révélant que sa mise à jour iOS 11.2 du 2 décembre 2017 comprenait une mise à jour logicielle pour remédier à la vulnérabilité. Le 8 janvier 2018, Apple a publié séparément iOS 11.2.2, une mise à jour logicielle pour traiter Spectre. »
Les plaignants ont déclaré que s’ils avaient eu connaissance des failles de sécurité potentielles du matériel et des logiciels d’Apple, ils n’achèteraient pas les produits de l’entreprise ou ne paieraient pas les prix qu’ils ont payés. De plus, après qu’Apple ait fait des annonces appropriées, leurs appareils ont perdu de la valeur.
« Les plaignants affirment que ces vulnérabilités sont importantes car, ‘s’ils avaient su que les données stockées sur leurs systèmes seraient compromises et mises à la disposition de tiers non autorisés’, ils n’auraient pas acheté leurs iDevices ni payé le prix qu’ils ont payé », indique le procès. « Après qu’Apple ait fait les annonces, les iDevices auraient perdu de la valeur. »
Le tribunal s’est rangé du côté d’Apple car toutes les réclamations liées à la sécurité et aux performances étaient correctes au moment où elles ont été faites.
« Parce que les plaignants sont incapables d’identifier une déclaration d’Apple qui soit à la fois suffisamment spécifique pour donner lieu à une action et qui était fausse lorsqu’elle a été faite, les plaignants n’ont pas formulé de plainte pour fraude en vertu d’une théorie affirmative de la fausse déclaration », indique la décision.
De plus, étant donné que les atténuations d’Apple ont affecté tous ses SoC, les comparaisons de performances entre les générations suivantes sont restées précises même après la mise en œuvre des atténuations, car les avantages de performances d’une génération à l’autre ne sont pas seulement conditionnés par des avantages d’exécution spéculatifs ou dans le désordre améliorés.
Alors que le recours collectif semble exagéré, la décision est un exemple d’affaire qui exonère les entreprises de toute responsabilité lorsqu’elles font certaines déclarations sur la performance avant que d’autres informations ne soient révélées qui pourraient la changer.