Meltdown et Spectre : tout ce qu'il faut savoir sur le scandale sécurité de 2018

C’est le premier scandale informatique de 2018. Deux failles ont été découvertes dans les processeurs qu’ils proviennent d’Intel, d’AMD et même d’ARM, révèle The Register. Avec un tel champ d’action, tout le monde est potentiellement touché.

Nommées Meltdown (CVE-2017-5754) et Spectre (CVE-2017-5753 et CVE-2017-5715), ces vulnérabilités font partie intégrante des microprocesseurs. Si la première est logicielle, la seconde est logée physiquement dans la puce. Toutes deux sont difficiles à colmater, mais Spectre est impossible à éradiquer sans en passer par un changement de matériel.

Un véritable désastre qui pourrait mener l’industrie du microprocesseur à repartir de zéro afin de proposer des composants sains. Mais nous n’en sommes pas encore là. Actuellement, les techniciens tentent encore de corriger ces failles avec plus ou moins de succès.

Comment ont-elles été découvertes ?

Leur existence ne devait être communiquée que la semaine prochaine, mais un article de The Register a fait voler le scellé en éclat.

Découverts en 2017, Meltdown et Spectre se sont manifestés dans le travail de Jann Horn, chercheur dans l’équipe du Google Project Zero. Pour le premier, il était alors associé à d’autres ingénieurs de Cyberus Technology et de la Graz University of Technology. En revanche, il n’était qu’avec le cryptographe américain Paul Kocher pour découvrir Spectre, lequel s’avère être le plus virulent.

Muni de preuves de concept après être parvenu à reproduire ces vulnérabilités, Google a ensuite alerté Intel, AMD et ARM en juin 2017, lesquels ne se sont pas empressés de propager l’information.
Mis devant le fait accompli aujourd’hui, ils ne se sont pas encore prononcés.

En quoi sont-elles nocives ?

Ces deux failles laissent une ouverture béante sur la mémoire du processeur, normalement hermétique et protégée. De manière temporaire, celle-ci contient les mots de passe de l’utilisateur, ses photos, ses courriels ou encore ses documents. En somme, tout ce qu’un ordinateur - ou un smartphone - peut contenir d’important n’est désormais plus en sécurité.

Comme toute faille, elles ne valent rien tant qu’elles ne sont pas exploitées, mais gageons que les hackers sont déjà à pied d’œuvre pour s’emparer de ce nouveau filon. Meltdown est la plus simple à corriger puisqu’elle fait fondre la protection entre les applications et le système d’exploitation. Une défaillance visible donc, ce qui n’est pas le cas de Spectre. Celle-ci crée un trou dans la protection, une brèche indétectable.

SpectreSpectre

Qui concernent-elles ?

Potentiellement, tous les systèmes informatiques sont touchés. Que ce soit un ordinateur portable, un smartphone ou un serveur, tous utilisent des microprocesseurs issus majoritairement des trois entreprises concernées : Intel, AMD et ARM.

Le champ des processeurs visés est large puisque Meltdown et Spectre existeraient depuis plus de vingt ans.

Meltdown se concentre sur ordinateurs personnels et les serveurs (services en ligne / Cloud). Côté composant, cela correspond à tous les processeurs Intel depuis 1995, à l'exception des Intel Itanium et Atom d’avant 2013. Elle a d’ailleurs été testée avec succès sur un ensemble de processeurs Intel datant pour le plus vieux de 2011. À noter que la foire aux questions (en anglais) dédiée à ces failles indique qu’à « l'heure actuelle, il n'est pas clair si les processeurs AMD et ARM sont également affectés par Meltdown. »

MeltdownMeltdownL’affaire se complexifie avec Spectre, lequel s’attaque à tous les systèmes, ou presque. « Tous les processeurs modernes capables de conserver de nombreuses instructions à la volée sont potentiellement vulnérables », rapporte le site meltdownattack.com. Et là « des vérifications ont eu lieu sur des processeurs Intel, AMD et ARM » et se sont toutes révélées positives.

Comment s’en débarrasser ?

Oubliez votre antivirus, il ne sera d’aucune utilité ici. Bien qu’il puisse en théorie bloquer une attaque lancée via ces failles, « c’est peu probable en pratique. Contrairement aux logiciels malveillants habituels, Meltdown et Spectre sont difficiles à distinguer des applications normales. » 

Actuellement, le meilleur moyen de se prémunir contre d’éventuelles attaques est de colmater Meltdown (un patch est disponible pour Windows, OSX et Linux) et de prier pour que les chercheurs trouvent rapidement une solution à Spectre.

Mais pour se débarrasser définitivement de celle-là, il faudra en passer par le changement du processeur puisqu’elle intervient au niveau matériel et non logiciel. En attendant que les fondeurs sortent de nouvelles séries, il faudra se contenter du patch à venir.

>>> Antivirus gratuit : quel est le meilleur en 2017 ?

Des patchs qui ralentiront votre processeur

À noter que ces opérations de maintenance ne sont pas sans séquelles pour le matériel. Meltdown et Spectre interviennent au coeur du processeur dans un système d’exécution spéculative qui permet d’anticiper le lancement d’instructions et donc d’améliorer les performances. Pour les contrer, les patchs bloquent ce système et brident de facto les performances.

Les premières estimations rapportent une baisse de la puissance de calcul du processeur comprise entre 5 et 30 %, la valeur la plus haute n’étant atteinte que sur des serveurs. Un particulier équipé d’un processeur récent ne devrait pas être gêné, même avec des jeux vidéo. En revanche, un processeur vieillissant sera beaucoup plus fortement touché par cette baisse qui pourrait lui être fatale, jusqu’à le rendre obsolète pour son utilisateur.

Meltdown

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
Commenter depuis le forum
    Votre commentaire