Ce n'est pas parce qu'une faille informatique a l'air dramatique qu'elle est dangereuse
Hector Martin a découvert une vulnérabilité dans la puce M1, le processeur mis en avant par Apple comme un des principaux arguments de vente des derniers iMac et MacBook.
En plus, cette faille s'avère concrètement irréparable. Elle tient dans la constitution physique du processeur, c'est-à-dire qu'il faudrait remodeler le silicium de la puce pour la corriger, et qu'un correctif logiciel ne suffirait pas. Les M1 déjà sur le marché sont donc condamnés à garder la vulnérabilité, et Apple devra faire des changements dans sa production s'il souhaite qu'elle n'affecte pas ses futurs ordinateurs.
Autrement dit, l'ingénieur logiciel aurait pu décider de présenter sa découverte de façon dramatique : une faille irréparable sur les M1 d'Apple, qui touche des millions de personnes. Mais il a préféré faire preuve d'honnêteté et de beaucoup d'humour (enfin, d'humour d'ingénieur informatique) dans sa publication : « Juste parce que la vulnérabilité a un site dédié et qu'on en parle dans les médias ne veut pas dire vous devriez vous en inquiéter. »
Faut-il donner un nom aux vulnérabilités ?
La médiatisation des vulnérabilités mène toujours à un vaste débat au sein de la communauté de la cybersécurité. Certains trouvent que les chercheurs en font trop en donnant un nom à leurs vulnérabilités et qu'ils exagèrent ses conséquences potentielles pour attirer l'attention. D'autres argumentent que c'est un bon moyen pour prévenir le grand public et forcer une campagne de mise à jour massive, quitte à effrayer un peu trop.
Pour copier ce fonctionnement avec ironie, Martin a nommé sa découverte M1RACLES, et a créé un logo et un site dédié. Son objectif ? « Se moquer de la façon ridicule dont les rapports de vulnérabilités sont devenus racoleurs ces derniers temps. » Pour ne pas laisser de doute sur sa parodie il désamorce les inquiétudes dès la première ligne du site : « Est-ce que vous devriez vous inquiéter ? Probablement pas. »
En 5 lignes, le chercheur résume M1RACLES : le défaut de la puce permet à deux applications d'échanger des données entre elles à un niveau profond l'ordinateur. Cet échange peut se faire entre deux applications, lancées par deux utilisateurs différents avec différents niveaux de privilèges, c'est-à-dire avec différents droits d'accès et de modification sur l'ordinateur. D'après lui, la faille permet de « créer un canal secret pour l'échange clandestin de données ». Mais il ne sera très probablement pas exploité par des cybercriminels.
La limite, c'est que ce genre de canal secret est « complètement inutile à moins que le système soit déjà compromis ». Autrement dit, il faut que le malware soit déjà sur l'ordinateur pour en profiter, et si c'est le cas, il aura vraisemblablement des moyens bien plus efficaces de manipuler ou corrompre les applications.
Dans une FAQ adressée à lui-même, Martin balaie tous les doutes -- même les plus délirants -- sur les capacités de la vulnérabilité :
non, elle ne permet pas de prendre le contrôle d'un ordinateur ;
non, elle ne permet pas de voler des informations privées ;
non, un JavaScript ne permet pas de la déclencher ;
oui, elle pourrait servir pour Rickroll quelqu'un (mais il y a des moyens plus simples de le faire)...
À la rigueur, il concède que des entreprises publicitaires peu scrupuleuses pourraient s'en servir, mais encore une fois, elles ont des moyens d'accéder aux données bien plus efficaces (et légales). Bref, ce serait un scénario « fou », de ses propres mots.
Mais alors, pourquoi publier sa trouvaille ? Et bien, car la vulnérabilité, même si peu dangereuse, n'en reste pas moins rare et intéressante d'un point de vue technique. Prévenu au début de l'année, Apple a étiqueté la vulnérabilité, mais n'a pas encore fait part de sa volonté ou non de la réparer. « Quelqu'un dans l'équipe de design du silicium d'Apple a fait une boulette. Ça arrive. Les ingénieurs sont humains », conclut le chercheur. Sans conséquence cette fois.