Failles de sécurité des processeurs : les premiers éléments sur Meltdown et Spectre
Deux graves failles de sécurité, baptisées Meltdown et Spectre, semblent toucher un très important nombre de processeurs dans la plupart des appareils (ordinateurs, serveurs ou encore smartphones). Voilà ce que l'on sait pour le moment.
Le 3 janvier dernier, de premières informations concernant d’importantes failles de sécurité au sein même des processeurs, le cœur même de n’importe quel système informatique, étaient dévoilées. En ce 4 janvier, certains acteurs concernés commencent à donner quelques détails et — même si bien des éléments restent à éclaircir et que nous ne sommes probablement qu’au tout début de l’affaire — il semble que nous soyons face à l’une des plus graves crises de l’informatique moderne tant les conséquences semblent importantes et touchent un nombre important d’utilisateurs.
Des failles qui touchent presque tout le monde
Alors qu’une rumeur d’embargo jusqu’au 9 janvier prochain fait actuellement du bruit (et que le CEO d’Intel a vendu énormément de ses stock options fin novembre dernier…), des chercheurs, et notamment ceux du Projet Zero de Google, ont donc décidé de dévoiler leurs découvertes autour de deux failles affectant visiblement un grand nombre de processeurs. Intel semble le plus touché, mais AMD et surtout ARM ne semblent pas totalement épargnés. Cela veut dire que de très nombreux produits utilisés ces dernières années, allant d’ordinateurs à des appareils mobiles en passant par des serveurs et des services cloud, sont probablement affectés par les failles Meltdown et/ou Spectre.
Derrière ces deux noms se cachent deux bugs critiques qui peuvent permettre à une personne malintentionnée d’accéder à la mémoire normalement protégée de votre processeur et ainsi accéder aux données qui y transitent (fichiers, mots de passe…etc.). Meltdown, qui ne touche qu’Intel, fait “fondre” l’isolation entre les applications et le système d’exploitation quand Spectre, plus compliqué à exploiter mais également plus dangereux, plus difficile à empêcher et touchant plus de modèles et marques de processeurs, brise l’isolation entre les applications.
Des premiers correctifs, mais beaucoup reste à faire
Alors qu’un correctif contre Meltdown est déjà disponible pour Linux et partiellement pour macOS, Microsoft va proposer des patchs assez rapidement (dès aujourd’hui pour Windows 10, mardi prochain pour Windows 7 et 8). Android devrait être patché dans la semaine également, mais connaissant la fragmentation de l’OS cela n’est pas spécialement rassurant. Malheureusement, de premiers retours évoquent une perte de performances entre 5% et 30% suite à l’application de ce patch. Cependant, le jeu vidéo et les processeurs les plus modernes ne devraient pas être trop touchés car les plus importantes pertes devraient avoir lieu dans le cas d’une opération serveur spécifique. Les fournisseurs de services dans le cloud devront donc probablement trouver des solutions pour compenser.
Bien des services et applications devront probablement également passer par la case mise à jour (Intel travaille activement avec les acteurs de l’industrie sur le problème) et il n’est pas impossible également que ces failles qui touchent le cœur même de l’architecture des processeurs forcent les constructeurs à revoir leur manière de concevoir des CPU et les utilisateurs à changer de matériel dans les mois à venir pour contourner Spectre de manière matérielle. Il s’agit bien entendu d’une prédiction assez alarmiste et le plus raisonnable sera de laisser passer quelques jours pour en savoir plus.