À 22 ans, Jann Horn est employé par Alphabet dans l'équipe Project Zero, chargée de traquer les vulnérabilités des appareils. Il est aussi l'ingénieur qui a identifié les failles Meltdown et Spectre, et qui a informé les entreprises concernées en juin 2017.

Les gens qui connaissent Jann Horn parlent d’une détermination obstinée et d’un esprit puissant pour le décrire. Du haut de ses vingt-deux ans, l’ingénieur est à l’origine de la découverte des bugs critiques Meltdown et Spectre, localisés dans les processeurs des appareils. Il était donc logiquement au centre de l’attention, lors d’une conférence organisée à Zurich il y a une semaine.

En 2013, Jann Horn assistait en compagnie de 64 autres étudiants à une réception, organisée à Berlin en présence de la chancelière allemande. Angela Merkel félicitait alors les gagnants d’un concours organisé par le gouvernement, afin d’encourager les étudiants à se tourner vers la recherche scientifique.

Jann Horn faisait partie du Project Zero

Quelques années plus tard, le jeune homme a intégré Google en tant que chercheur spécialisé dans la cybersécurité. Il a en effet rejoint le Project Zero au sein d’Alphabet — une équipe chargée de dénicher de potentielles failles dans des produits, y compris ceux créés par Google.

Lui et ses vingt-deux printemps ont été parmi les premiers à signaler la faille de sécurité touchant les microprocesseurs, qui a amené Intel à plancher rapidement sur des correctifs — l’entreprise assurant que ces derniers n’ont pas d’impact négatifs sur leurs performances.

Stiftung Jugend forscht e. V.

Il a consulté des manuels de processeurs

Le jeune ingénieur ne s’attendait pas à découvrir cette faille majeure lorsqu’il a commencé, en avril dernier, la lecture des manuels accompagnant les processeurs Intel. En se lançant dans ce travail colossal — les documents font des milliers de pages –, Jann Horn a expliqué qu’il voulait vérifier que ce matériel puisse supporter des lignes de code qu’il avait mis au point.

Ce faisant, l’ingénieur s’est intéressé à la façon dont les processeurs géraient l’exécution spéculative. Il s’agit d’une technique permettant à la puce d’améliorer sa propre vitesse, en « anticipant » des instructions qui ne lui ont pas encore été données. Les manuels consultés par Jann Horn indiquaient qu’en cas d’erreur de la part du processeur, les données resteraient stockées dans la mémoire de la puce. C’est ainsi que l’ingénieur a suspecté que cette information pourrait être utilisée à des fins malveillantes.

« À ce moment, je me suis rendu compte que le modèle de code sur lequel nous travaillions pouvait potentiellement laisser échapper des données secrètes. J’ai alors réalisé que cela pouvait — du moins en théorie — affecter bien plus que l’extrait de code sur lequel nous travaillions  », a expliqué l’ingénieur.

« Cela pouvait affecter bien plus que notre extrait de code » — Jann Horn

Jann Horn parle alors d’un « processus graduel » pour décrire le cheminement qui l’a amené à suspecter la présence d’une faille. L’ingénieur savait qu’une équipe de chercheurs en sécurité à l’université de Graz, formée de Moritz Lipp, Daniel Gruss et Michael Schwarz, travaillait déjà sur cette vulnérabilité potentielle. Chacun de leur côté, les trois ingénieurs s’étaient mis à écrire des lignes de code pour tester la faille, échangeant leur progression via une messagerie instantanée — finalement, la vulnérabilité a été trouvée par Daniel Gruss.

Après avoir consulté Felix Wilhelmm, un autre jeune chercheur de Google à Zurich, Jann Horn a demandé conseil auprès d’un autre de ses collègues plus expérimenté, Robert Swiecki. Ce dernier a conseillé le jeune ingénieur sur la meilleure manière d’alerter Intel et les autres entreprises concernées. Le 1er juin suivant, Jann Horn les informait de la faille.

La suite de l’histoire est plus connue : Spectre et Meltdown ont été révélés au grand public en janvier 2018, posant immédiatement la question des protections et des conséquences possibles de ces énormes failles de sécurité.

Partager sur les réseaux sociaux