Meltdown et Spectre : le point sur les failles majeures touchant aussi bien les CPU Intel que les autres marques et architectures

Hardware

Par Gaël Weiss le

Ce qui était encore hier une faille majeure qui ne semblait toucher que les processeurs Intel s’est rapidement transformé en quelque chose d’encore plus important. Les chercheurs en sécurité qui ont découvert la faille viennent en effet de mettre en ligne un site web récapitulatif sur tout ce que l’on sait jusqu’à présent. Il n’y plus une seule faille, mais deux et beaucoup de mauvaises nouvelles. Meltdown, la première, ne concerne que les processeurs Intel et peut être corrigée par un patch. Mais Spectre, la seconde, concerne pratiquement tous les processeurs du monde entier et ne peut être corrigée par un patch. Faisons le point.

Hier, nous écrivions qu’une faille majeure touchant des processeurs Intel pourrait ralentir les PC de 5 à 30 %. Les détails étaient ténus pour cause d’embargo, mais la nouvelle a rapidement fait le tour du web et des sites spécialisés. Ce qui a poussé Intel à réagir et surtout les experts en sécurité à mettre en ligne un site web récapitulatif (et des logos mignons) sur tout ce que l’on sait actuellement de cette faille. Et ce matin, on commence enfin à y voir plus clair.

Il n’y a donc pas une faille, mais deux failles, nommées Meltdown et Spectre. Meltdown touche spécifiquement les processeurs Intel, tandis que Spectre concerne non seulement les processeurs Intel, mais aussi les puces d’AMD et toutes celles basées sur l’architecture ARM Cortex A d’ARM. Ces deux failles font globalement, et pour simplifier, la même chose : elles permettent d’accéder à une partie de la mémoire du processeur qui devrait normalement être inaccessible. Pour plus d’informations techniques sur ces failles, nous vous renvoyons sur l’excellent article de Hardware.fr expliquant comment fonctionnent ces failles.

Le cas de Meltdown

Quand bien même ses conséquences pourraient être graves, le cas de Meltdown est pour l’instant le moins préoccupant. Son cas est en effet connu depuis le milieu de l’année dernière et les éditeurs de système d’exploitation ont pu s’y préparer en sortant des patchs afin de corriger la faille. Microsoft va en effet déployer dès ce soir une mise à jour pour Windows 10 et deux autres mardi prochain pour Windows 7 et pour Windows 7 et 8. Mac OS a déjà été partiellement mis à jour avec la version 10.13.2 et devrait continuer ses efforts dans les prochains jours. Quant à Linux, son noyau a été mis à jour il y a quelques jours afin de le protéger d’éventuelles attaques.

Reste que si ce patch est efficace, il risque toutefois d’entraîner des chutes de performances de l’ordre de 5 à 30 %. Cela ne devrait pas ou peu concerner les PC et ordinateurs des particuliers. Selon les premiers benchmarks, cela ne devrait pas avoir d’influence sur le jeu vidéo en particulier. Mais c’est une tout autre histoire en ce qui concerne les data centers équipés de processeurs Intel. Les hébergeurs ou toutes les solutions dans le Cloud (Shadow, pour ne citer qu’eux) pourraient rencontrer des problèmes de performances problématiques.

Le cas de Spectre

Le cas de Spectre est beaucoup plus préoccupant. D’une part, la faille touche la très grande majorité des processeurs dans le monde et d’autre part il n’existe actuellement aucun patch permettant de la combler. Basiquement, elle brise l’isolation entre les différentes applications tournant sur un ordinateur, permettant à un hacker malveillant de s’emparer d’informations personnelles par ce biais.

Si Spectre est selon les chercheurs en sécurité beaucoup plus dure à exploiter, elle ne peut aujourd’hui pas être corrigée de façon logicielle. C’est tout juste si l’on peut la rendre un peu plus difficile à exploiter à l’aide de protections logicielles (mises à jour) déployées par les développeurs d’OS. Elle touche toutefois les processeurs Intel, certains (mais pas tous) processeurs AMD et une partie des puces basées sur l’architecture ARM.

Cela signifie concrètement que le meilleur moyen de se protéger est… de changer de processeur. Et encore, étant donné qu’il s’agit d’un problème d’architecture, il faudra sûrement attendre de long mois avant que les différents constructeurs et fondeurs sortent des puces dont le design les protégera de ces failles.

Maintenant que cette faille Spectre a été révélée, il faut s’attendre à ce qu’elle soit exploitée par des pirates dans les prochaines semaines ou mois. L’année commence mal pour la sécurité informatique mondiale. À moins que ?