Meltdown et Spectre, la fin du monde ?

Il n’est pas de jour sans qu’on apprenne qu’un opérateur de niveau national, voire étatique, s’est fait pirater l’information de millions de compte, ou qu’une faille dans un logiciel majeur a été détectée.

Cette fois, il s’agit d’une faille touchant le matériel. Un défaut de conception des processeurs rend vulnérable tous les ordinateurs, smartphones, ou tablettes équipées de processeur Intel depuis 1995, c’est à dire une part énorme du parc installé (y compris les Mac, ceux-ci n’utilisant plus les processeurs PowerPC depuis 2006). Les processeurs AMD et ARM semblent moins concernés.

La découverte de ces failles a été annoncée ce 3 janvier 2018 par deux équipes de chercheurs d’experts en sécurité informatique employés par Google et chargés de trouver des vulnérabilités Zero day. Cette faille est inhérente à la manière dont les processeurs des machines sont conçus.

Meltdown et Spectre ont un point commun, elles permettent d’accéder à des zones normalement interdites :

  • un programme exploitant Meltdown pourra aller lire la mémoire vive de l’ordinateur, contenant clés de chiffrement et autres informations sensibles. En théorie, il peut prendre totalement le contrôle du système.
  • un programme exploitant Spectre pourra aller lire la les informations manipulées par les applications en cours d’exécution. Cette faille est presqu’impossible à patcher, selon ces experts.

L’exploitation de ces deux failles est indétectable, elles ne laissent aucune trace sur les machines.

Le code malicieux de Meltdown et Spectre est très difficile à détecter par les antivirus.

Un trou de sécurité maîtrisé pour MeltDown, mais pas pour Spectre.

La solution idéale serait de changer le processeur : la conception d’un nouveau processeur prend des années et la sortie d’un nouveau modèle bloquant MeltDown et Spectre n’est donc pas pour tout de suite.

Les équipes de Google avaient prévenu les éditeurs depuis quelques mois, qui ont tous publié des correctifs pour stopper MeltDown. A notre connaissance, il n’y a pas de correctif contre Spectre, mais les antivirus pourraient, à terme, parvenir à le détecter. L’inconvénient de ces correctifs lourds – il est très difficile de corriger une faille matériel avec un correctif logiciel – est qu’ils ont un impact important sur les performances des machines, les ralentissant de 5 à 30%.

Il faut donc se résoudre à la baisse de performance liée à l’application du correctif pour MeltDown, et demeurer extrêmement vigilant quand aux programmes installés sur les machines, pour ce qui concerne Spectre.

Et en attendant la découverte de la prochaine faille, se rappeler que « le seul ordinateur réellement en sécurité est un ordinateur éteint… et encore… je ne suis pas sûr »…