A gauche, Meltdown. A droit, Spectre. Crédit : Natascha Eibl.

Meltdown et Spectre : deux failles de sécurité béantes au cœur de nos processeurs

Deux failles informatiques touchent des millions d’ordinateurs personnels, smartphones et serveurs. Gros bad buzz chez Intel, AMD et AMR, multiples inquiétudes chez tous leurs utilisateurs.

À gauche, Meltdown. À droite, Spectre. (© Natascha Eibl).

Deux failles de nature différente

En matière d’étendue du désastre, il était difficile d’imaginer pire. Au cours de la semaine, plusieurs équipes de chercheurs ont dévoilé – de manière anticipée après les révélations du site britannique spécialisé The Register – deux failles informatiques touchant des millions d’ordinateurs personnels, smartphones et serveurs logés dans les data centers : Meltdown et Spectre. La faute à qui ? Aux trois grands fabricants de processeurs, Intel, AMD et ARM.

Publicité

Meltdown ne concerne que les processeurs Intel. Elle permet à un logiciel espion d’accéder à la mémoire système des processeurs. Ce lieu, normalement bien gardé, peut contenir des informations sensibles, à commencer par des identifiants et des mots de passe.

Spectre concerne, de son côté, les trois fabricants : Intel, AMD et ARM. La vulnérabilité n’est pas la même que celle de Meltdown. Un logiciel espion pourrait, via une application, accéder aux données d’une autre application. Autrement dit, dérober directement un peu plus que des mots de passe, notamment des photos ou des correspondances.

Les remèdes… ou pas

Si Meltdown peut-être contrecarré, ce n’est pour l’instant pas le cas de Spectre. Microsoft, Apple et la communauté de Linux vont ou ont déjà mis en place des "patchs" permettant de colmater la faille Meltdown. Pour Spectre, qui concerne également les smartphones, il n’y a encore aucun remède. Grand bien nous fasse, les attaques sont bien plus difficiles à mener que pour Meltdown.

Publicité

Parce qu’ils réagenceront un peu les relations entre les applications et les processeurs, les patchs Meltdown pourraient ralentir, selon The Register, la vitesse des processeurs de 5 à 30 %. L’utilisateur lambda et le gamer ne devraient pas constater de grande différence. En revanche, cela pourrait lourdement affecter les serveurs des data centers et donc les services cloud.

Pour se protéger de Meltdown, il faudra donc installer les patchs proposés par les éditeurs d’OS dans leurs mises à jour. Les hébergeurs feront eux aussi le nécessaire pour installer les patchs sur leurs serveurs.

Mystères et réprimandes

Nul ne sait si Meltdown et Spectre ont déjà été utilisées dans le monde, d’autant plus qu’elles sont pour le moment quasiment indétectables aux yeux imparfaits des antivirus. Pour preuve, ce message sans langue de bois posté sur la FAQ rédigée par les chercheurs :

Publicité

Traduction : Meltown ou Spectre ont-ils été utilisés ? Nous n’en avons aucune idée.

Y a-t-il une morale à cette histoire ? Sans aucun doute, selon The Register. Ces "méga-gaffes", pour reprendre ses termes, seraient en grande partie dues à un gigantesque loupé dans les considérations sécuritaires au profit d’une guerre économique et d’une course à la rapidité entre constructeurs. Car les deux failles se basent sur deux processus récemment installés sur les processeurs afin de les faire carburer : "l’exécution dans le désordre" pour Meltdown et "l’exécution spéculative" pour Spectre.

Publicité

Par Pierre Schneidermann, publié le 04/01/2018

Copié

Pour vous :