De quoi s'agit-il?
Spectre et Meltdown sont deux vulnérabilités affectant des microprocesseurs.
Les vulnérabilités les plus courantes avaient plutôt tendance à affecter le monde logiciel (software); Spectre et Meltdown affectent le monde matériel (hardware).
Rendues publiques début janvier 2018, ces deux failles ont été débusquées il y a quelques mois mais sont présentes sur la grande majorité des microprocesseurs depuis des années. Par conséquent, ce sont quasi tous les ordinateurs du monde qui sont impactés.
Ces failles permettent aux hackers d'accéder potentiellement à tout ce qui est stocké dans la mémoire des processeurs (tout ce qui est en train d'être "processé" par les processeurs en provenance des logiciels, donc par exemple des photos, des fichiers et des mots de passe).
Elles impactent:
- les ordinateurs de bureau et laptops
- les appareils mobiles (smartphones, tablettes)
- les serveurs (datacenter, cloud center, etc.)
- les objets connectés (Internet of Things)
En clair, tout ce qui a une puce est affecté, sauf les animaux domestiques!
Meltdown touche une partie des processeurs, ceux d'Intel – une grande partie, cela dit, puisqu'il s'agit d'environ 80% de parts de marché. Les processeurs AMD ne sont eux pas touchés. Meltdown casse l'isolation entre systèmes d'exploitation (OS) et logiciels et est particulièrement à craindre au niveau des services de cloud, là où les données de multiples clients se mélangent gaiement entre serveurs.
Spectre concerne tous les types de microprocesseurs en cassant l'isolation entre les différentes applications. Plus difficile à exploiter que Meltdown, la faille Spectre est aussi plus difficile à contrer, car pas patchable. Elle est amenée à perdurer.
Comment se protéger?
Le souci, c'est que les attaques possibles sont difficiles voire impossibles à détecter.
Et qu'il n'y a pas de solution simple à mettre en place pour un problème aussi complexe, puisqu'il concerne la façon dont fonctionnent les processeurs d'ordinateurs...
Pour régler définitivement le souci Spectre (et d'autres soucis similaires qui risquent de voir le jour), il faut donc reconcevoir la structure même des processeurs. Mettre en production une nouvelle génération de processeurs, par conséquent. Une tâche gigantesque et chronophage.
Pour régler la problématique Meltdown, un patchage est possible, mais l'effet de bord est non négligeable. On parle ici d'un ralentissement potentiel des ordinateurs patchés de 30% (dans le cloud) mais de moindre amplitude pour les ordinateurs personnels.
Alors, patcher, ou ne pas patcher?
Dans un premier temps, sitôt les failles rendues publiques, les grands acteurs du marché (Intel, AMD, Google, Microsoft et Apple) ont prôné le patchage tant pour Spectre que pour Meltdown. Le gourou Linux Linus Torvalds a critiqué (ou)vertement ces actions qui ont confondu vitesse et précipitation. Les protagonistes ont en effet agi de manière précipitée.
Suite à des effets secondaires indésirables et pour le moins gênants (machines qui ne redémarrent pas suite au patchage), Microsoft a fait machine arrière(le 9 janvier déjà). Quant à Intel, il recommande désormais (depuis le 11 janvier) de ne pas télécharger ses propres patchs suite au constat de nombreux rebootsimpromptus.
De nouveaux patchs plus mûrs sont en préparation chez Intel.
Affaire à suivre.
Wait and see, comme on dit Outre-Manche...
Au niveau helvétique, c'est le branle-bas de combat depuis début janvier, notamment dans les data centers, où l'on patche et met à jour aussi vite et bien que possible ce qui peut l'être, au gré des informations reçues par les fournisseurs de logiciels et de processeurs, ce qui n'est pas aisé, vu la nature contradictoire desdites informations, comme vu précédemment.
Les spécialistes romands Stéphane Koch et Solange Ghernaouti se sont exprimés récemment sur RTS, confirmant les ralentissements prévisibles des machines patchées et recommandant aux particuliers d'opter pour la double authentification autant que possible. Une couche de sécurité en plus et des logiciels et OS à jour, c'est ce que le particulier peut faire de mieux à l'heure actuelle pour se prémunir contre cette menace fantôme mais bien réelle.
En savoir plus
- sur la faille Spectre
- sur la faille Meltdown
- derniers développements Spectre & Meltdown