2018 commence fort pour la sécurité informatique. Meltdown et Spectre sont deux bugs critiques situés au niveau du processeur des appareils. Ordinateurs, serveurs et smartphones peuvent être touchés. On vous explique tout.

Le 3 janvier 2018, de premières informations commençaient à sortir sur des failles de sécurité touchant les processeurs Intel. Le 4 janvier, la situation commence à s’éclaircir et nous en savons un peu plus sur ce qu’il s’est passé du côté des microprocesseurs, soit l’unité de calcul au cœur de votre ordinateur.

Il n’y a donc pas qu’une seule faille, mais deux. La première a été nommée Meltdown et concerne uniquement les processeurs Intel. La seconde, plus pernicieuse, a été nommée Spectre et d’après les équipes de chercheurs en informatique qui les ont découvertes, elles concernent tous les processeurs Intel, AMD, mais également ceux basés sur une architecture ARM. On vous gâche tout de suite la surprise : la première peut être corrigée par un patch, la seconde n’a pas de correctif et ne pourra pas en avoir — tout au mieux peut-on mitiger le risque.

Maintenant que les contours du problème sont résumés, passons aux détails. Pour les anglophones, une documentation a été mise en ligne par les chercheurs. Elle est très complète et accessible.

Est-ce que mon appareil est touché par Meltdown ou Spectre ?

Probablement, oui, dans la mesure où l’une des deux failles concerne tous les processeurs Intel qui équipent les ordinateurs et les serveurs (notamment utilisés pour les services de cloud). Certains tests positifs ont été faits sur des processeurs de 2011, mais le défaut qui a été exploité est déjà en place sur des processeurs sortis en 1995. Vous avez probablement changé d’ordinateur depuis cette date.

Dans le cas de Spectre, la réponse est positive, quelle que soit votre situation. Ordinateurs de bureau, ordinateurs portables, serveurs et même les smartphones qui utilisent des processeurs ARM (presque tous) peuvent être touchés.

CC Jiahui Huang

Qu’est-ce qu’il faut faire ?

Si vous avez un PC tournant sur Windows 10, Microsoft a déployé un patch de sécurité critique à 23 heures le 3 janvier 2018. Si vous ne l’avez pas reçu en comptant 24h après la publication, c’est peut-être à cause de votre antivirus.

Si vous avez un PC tournant sur des versions antérieures de Windows toujours supportées (7 et 8), un patch devrait être disponible mardi prochain.

Si vous avez un Mac, Apple a déjà une partie du correctif sur la version 10.13.2 de macOS que vous pouvez installer. La version encore en bêta 10.13.3  amènera d’autres corrections.

Si vous avez un ordinateur sous Linux, un correctif du noyau est déjà disponible.

Du côté des services de Cloud, si vous en avez l’utilisation, assurez-vous simplement que votre hébergeur est conscient de la faille (il l’est probablement, sinon changez) et qu’un correctif est appliqué ou en cours d’application. OVH a par exemple communiqué sur l’installation du patch correctif et les leaders du domaine pour les pros que sont Amazon avec AWS et Microsoft avec Azure ont prévu le déploiement en urgence du correctif. Ces services communiqueront la marche à suivre à leurs clients sur ce qu’ils doivent faire ensuite.

Est-ce que le patch disponible pour Meltdown va affecter les performances de mon PC ?

Plusieurs tests devront être effectués pour en être certain. Les premières analyses parlent d’une réduction des performances entre 5 % et 30 % après l’application du patch, mais les chiffres les plus élevés ne concerneraient qu’une opération spécifique effectuée par le processeur dans le cadre d’un usage serveur.

Cela signifie que si vous avez acheté un processeur Intel récent, vous ne devriez pas ressentir la baisse de performance, par exemple en jeu. En revanche, les processeurs les plus anciens pourraient être moins bien lotis.

Côté serveur, c’est une autre histoire et probablement un casse-tête à venir pour les services qui doivent assurer un niveau de performance et de sécurité maximum à leurs utilisateurs.

Mais attendez, on se protège de quoi ?

Oh trois fois rien, simplement de deux failles qui donnent un accès à une partie critique de la mémoire du processeur, normalement inaccessible. D’après les chercheurs, elle contient entre autres, temporairement, vos mots de passe, vos photos, vos emails, des documents confidentiels… bref, tout ce qu’un ordinateur peut utiliser au moment où c’est utilisé. C’est donc grave surtout si on extrapole la question et qu’on passe aux serveurs faisant transiter des millions de données rapidement.

Meltdown s’appelle ainsi, car elle fait « fondre » les protections entre les applications et le système d’exploitation.

Spectre est plus pernicieux et casse l’isolation entre différentes applications. Imaginez-vous dans une pièce fermée en train de déposer de l’argent dans une boîte. Manque de chance, un petit malin a trouvé comment faire un trou dans le fond de votre boîte et l’argent tombe dans sa main. En plus, le trou est invisible.

D’après les chercheurs, une attaque qui exploite Spectre est beaucoup plus complexe, mais beaucoup plus dévastatrice aussi, car plus une application fait bien son travail et respecte les protocoles de sécurité, plus ces protocoles sont connus et documentés et peuvent être exploités. Pire : il n’existe pas de patch pour Spectre, car il s’agit d’une faille matérielle.

Vous voulez dire qu’il va falloir changer d’ordinateur pour se débarrasser de Spectre ?

C’est radical, mais on estime que Spectre ne pourra être complètement colmaté qu’après un cycle de renouvellement hardware, c’est-à-dire après que les fabricants de processeurs ont changé de méthode pour les construire et que ces nouveaux processeurs sont utilisés massivement.

Cela dit, des correctifs logiciels peuvent être appliqués pour colmater des failles connues qui se basent sur Spectre. Tout n’est donc pas perdu, mais il est possible que janvier 2018 soit le début d’un jeu du chat et de la souris entre des hackers malveillants (ou des gouvernements) et la communauté des chercheurs en sécurité informatique.

Reconnaissons que les logos sont mignons.

Qui a découvert Spectre et Meltdown ?

Meltdown : Jann Horn, chercheur dans l’équipe du Google Project Zero, Werner Haas et Thomas Prescher pour Cyberus Technology et Daniel Gruss, Moritz Lipp, Stefan Mangard et Michael Schwarz pour la Graz University of Technology.

Spectre  : Jann Horn toujours et Paul Kocher.

Ces équipes ont travaillé ensemble pour reproduire le bug et fournir des preuves de concept. Bravo à elles.

Quelle est la réaction des entreprises concernées ?

Intel : « C’est pas siiiiiiii grave et puis c’est pas que nous et puis ça n’affectera pas vraiment les performances. Oh regardez, un écureuil. »

AMD  : « Nos processeurs ne sont pas touchés ! »

Les chercheurs de Google  : « En fait, si. »

AMD : «  :(… mais que sur une variante ! »

ARM  : « Bon d’accord, nous aussi on est touché, ça sert à rien de le planquer. »

Tous  : « Nous allons travailler ensemble pour trouver des solutions. »

Le CEO d’Intel, énervé  : « Mais puisque je vous dis que j’ai vendu toutes mes parts en novembre pour m’acheter un yacht ! »

Cet article sera mis à jour à mesure que de nouvelles informations seront communiquées.

Partager sur les réseaux sociaux