Aux États-Unis, le volet judiciaire s'ouvre dans l'affaire de la vulnérabilité Meltdown. Trois actions de groupe ont été lancées contre Intel. La société est accusée d'avoir manqué à ses obligations et de concevoir des correctifs qui vont affecter les performances des processeurs.

Il fallait s’y attendre. À peine les premières révélations dans la presse concernant la vulnérabilité Meltdown affectant les processeurs Intel ont-elles eu lieu que déjà le dossier se judiciarise. Aux USA, trois recours collectifs sont recensés par les médias, dans trois États différents : en Californie, dans l’Oregon et dans l’Indiana. D’autres pourraient surgir dans les jours et les semaines à venir.

Ces trois actions en justice accusent le constructeur américain d’avoir manqué à ses obligations. Intel aurait dû mieux sécuriser ses produits mais aussi informer en temps et en heure sa clientèle. Elles reprochent aussi à la firme les effets négatifs supposés des correctifs qui sont en train d’être conçus ou en cours de déploiement. Selon les plaignants, ces patchs diminuent la performance des processeurs.

Ce dernier point demeure toutefois en débat. Intel, dans sa position, conteste sans surprise ces allégations — le fondeur se retrouverait en bien fâcheuse posture s’il lui fallait rappeler, remplacer ou rembourser les centaines de milliers voire les millions processeurs qu’il a vendus ces dernières années. Le constructeur défend donc la thèse que les correctifs ne vont pas ou peu affecter les processeurs.

La société dirigée par Brian Krzanich n’est pas la seule à dire cela. Google aussi juge que les pertes seront négligeables après les correctifs, mais uniquement dans un des deux cas de figure concernant la vulnérabilité Spectre, pas pour Meltdown. Le géant du web a visiblement trouvé une méthode sans perte, ou dont l’impact est en pratique insignifiant.

Pour Meltdown, ce sont les correctifs KPTI qu’il faut appliquer ; cependant, ces derniers paraissent avoir un effet négatif sur les performances pour certaines applications (comme les bases de données et des serveurs ayant un fort trafic). Alors que les tests ont montré dans un premier temps des baisses de performance allant de 5 à 30 % — l’impact le plus fort étant sur les serveurs et non sur les ordinateurs personnels.

« L’impact observé sur les performances est négligeable »

Concernant l’une des deux variantes de Spectre, l’équipe de Google qui travaille avec celle qui a découvert les failles (Project Zero) affirme avoir « développé une mitigation inédite nommée Retpoline  » qui ne semble pas avoir d’effet sur la performance des processeurs : « Nous avons partagé Retpoline avec nos partenaires et nous l’avons déployée sur les systèmes de Google. L’impact observé sur les performances est négligeable ».

La faille Meltdown a été identifiée en juin 2017 et elle a été conservée sous embargo jusqu’en début d’année, avant que les premières révélations ne sortent dans la presse. Une communication plus globale autour de cette faille doit avoir lieu le 9 janvier, avec la levée complète de l’embargo ; Intel et Google, entre autres ont cependant déjà communiqué sur ce dossier.

CC Jiahui Huang

Le calcul spéculatif

Cette vulnérabilité trouve son origine dans les efforts d’Intel pour accélérer la vitesse d’exécution des tâches avec l’introduction, il y a maintenant plusieurs années, du « calcul spéculatif » : le processeur essaie d’anticiper la prochaine action en établissant des hypothèses et en effectuant les calculs concernés. S’il a raison et que l’action a bien lieu, le processeur « gagne du temps ».

Bien sûr, il arrive que le calcul spéculatif se trompe. Quand les hypothèses sont fausses, il lui faut les abandonner et zapper des instructions exécutées spéculativement. Or, cette étape ne se fait pas parfaitement. Le processeur, dans le cadre de son calcul spéculatif, fait parfois venir des données dans la mémoire cache mais, lors de l’abandon, des traces de ces données peuvent être retrouvées.

Processeur
CC Dmitry Grigoriev

C’est cette découverte qui a été faite par l’équipe de chercheurs chez Google. Il peut être possible d’intercepter et de récupérer ces données dans certaines conditions. Maintenant que l’on a trouvé que le fonctionnement « normal » des processeurs Intel peut être exploité pour voler des données dans la mémoire des processeurs, il faut corriger. Or, c’est à ce niveau que des questions apparaissent.

La correction est susceptible d’altérer le fonctionnement du calcul spéculatif, de rendre le travail séquentiel des processeurs plus lent et d’entraîner une baisse des performances sur certaines actions. C’est en tout cas ce que certains tests ont laissé entendre et c’est sur ce fondement, entre autres, que les plaignants font reposer leurs actions judiciaires. Mais des développements plus récents tendent à infirmer ces mesures.

Crédit photo de la une : Michael Saechang

Partager sur les réseaux sociaux