Deux failles de nature différente
En matière d’étendue du désastre, il était difficile d’imaginer pire. Au cours de la semaine, plusieurs équipes de chercheurs ont dévoilé – de manière anticipée après les révélations du site britannique spécialisé The Register – deux failles informatiques touchant des millions d’ordinateurs personnels, smartphones et serveurs logés dans les data centers : Meltdown et Spectre. La faute à qui ? Aux trois grands fabricants de processeurs, Intel, AMD et ARM.
Meltdown ne concerne que les processeurs Intel. Elle permet à un logiciel espion d’accéder à la mémoire système des processeurs. Ce lieu, normalement bien gardé, peut contenir des informations sensibles, à commencer par des identifiants et des mots de passe.
Spectre concerne, de son côté, les trois fabricants : Intel, AMD et ARM. La vulnérabilité n’est pas la même que celle de Meltdown. Un logiciel espion pourrait, via une application, accéder aux données d’une autre application. Autrement dit, dérober directement un peu plus que des mots de passe, notamment des photos ou des correspondances.
À voir aussi sur Konbini
Les remèdes… ou pas
Si Meltdown peut-être contrecarré, ce n’est pour l’instant pas le cas de Spectre. Microsoft, Apple et la communauté de Linux vont ou ont déjà mis en place des “patchs” permettant de colmater la faille Meltdown. Pour Spectre, qui concerne également les smartphones, il n’y a encore aucun remède. Grand bien nous fasse, les attaques sont bien plus difficiles à mener que pour Meltdown.
Parce qu’ils réagenceront un peu les relations entre les applications et les processeurs, les patchs Meltdown pourraient ralentir, selon The Register, la vitesse des processeurs de 5 à 30 %. L’utilisateur lambda et le gamer ne devraient pas constater de grande différence. En revanche, cela pourrait lourdement affecter les serveurs des data centers et donc les services cloud.
Pour se protéger de Meltdown, il faudra donc installer les patchs proposés par les éditeurs d’OS dans leurs mises à jour. Les hébergeurs feront eux aussi le nécessaire pour installer les patchs sur leurs serveurs.
Mystères et réprimandes
Traduction : Meltown ou Spectre ont-ils été utilisés ? Nous n’en avons aucune idée.
Y a-t-il une morale à cette histoire ? Sans aucun doute, selon The Register. Ces “méga-gaffes”, pour reprendre ses termes, seraient en grande partie dues à un gigantesque loupé dans les considérations sécuritaires au profit d’une guerre économique et d’une course à la rapidité entre constructeurs. Car les deux failles se basent sur deux processus récemment installés sur les processeurs afin de les faire carburer : “l’exécution dans le désordre” pour Meltdown et “l’exécution spéculative” pour Spectre.