Panique sur le web. À cause des vulnérabilités baptisées Spectre/Meltdown et touchant majoritairement les puces d’Intel, c’est toute l’informatique mondiale qui est grippée ! Datacenter, fournisseurs dans le Cloud, ordinateurs et même les smartphones ! L’infrastructure IT de la planète repose sur quelques solutions. Avis de tempête dans les prochains mois avec la découverte d’autres failles...
Intel publie au compte-goutte les d’informations sur les vulnérabilités touchant le kernel (noyau) de ses processeurs produits ces… 10 dernières années.
Ces failles appelées « side channel analysis exploit » permettent à une personne malveillante (ou à un État…) d’observer le contenu de la mémoire protégée en contournant justement des protections au niveau du CPU. Elles permettent d’organiser deux types d’attaques :
- L’attaque Meltdown casse en effet l’isolation entre une application utilisateur et le système d’exploitation. Ce qui permet à un attaquant de lire en mémoire des données appartenant à l’OS ou à d’autres processus.
- La faille Spectre, décrite en détail dans ce document technique casse l’isolation entre les processus et permet à un processus de lire les données des autres.
Remède pire que le mal
Le fondeur de Santa Clara a déclaré qu’il publierait ses propres mises à jour de microcode pour résoudre le problème, et au fil du temps, certains de ces correctifs seront intégrés dans le matériel.
En attendant, c’est le web mondial qui est pris de panique. Le week-end pourrait être très tendu. En obligeant, les datacenters du monde entier à rebooter pour valider les correctifs, le Cloud pourrait tanguer dans les prochaines heures…
La solution consisterait donc à appliquer un correctif de sécurité. Des patchs sont déjà disponibles pour certains systèmes d’exploitation, notamment sous Linux. Microsoft, Apple, Google et d’autres éditeurs devraient réagir rapidement.
Mais le remède risque de dégrader l’état de santé du malade ! Les utilisateurs de PC pourraient s’attendre à un ralentissement approximatif de 5 à 30 %, selon la tâche et le modèle du processeur. Cependant Google aurait trouvé une méthode pour réduire l’impact de performances du correctif. Autre problème : certains antivirus sous Windows bloqueraient l’installation de la mise à jour…
Il y a quelques jours, Apple a été pointé du doigt pour les ralentissements des iPhone 6 à cause de l’application d’un correctif visant à compenser les baisses de performances de ses batteries. Avec l’affaire Intel, on atteint une autre dimension. Car les puces de cette marque (mais aussi celle des concurrents AMD et ARM qui sont concernés par la faille Spectre) sont partout. Pire, l’attaque Spectre pourrait être exploitée directement depuis un navigateur Web, via un site contenant du code conçu à cet effet.
Alerte générale
L’affaire amène trois constats principaux. Premièrement, ce sont plus les professionnels et les entreprises qui sont concernés que les particuliers. « La majorité des appareils informatiques dans le monde est concernée par ces failles de sécurité, mais la gravité de la situation peut se nuancer. Pour exploiter ces deux failles, un cybercriminel doit en effet être capable d’exécuter leur code directement sur le terminal visé. Dans ces conditions, le consommateur lambda a plus de « chance » d’être touché par une attaque de phishing que par une attaque exploitant Meltdown ou Spectre. Cependant, ces deux vulnérabilités mettant largement en péril les systèmes fondamentaux de protection des données, les fournisseurs cloud doivent agir rapidement pour éviter que des accès frauduleux, souvent difficiles à détecter, ne se produisent », explique Ryan Kalember, Senior Vice-Président Cybersécurité Stratégie, spécialiste Proofpoint, une société spécialisée dans la sécurité informatique.
Deuxièmement, la réalité est-elle aussi claire qu’on le dit ? Google précise avoir informé les trois entreprises (Intel, AMD et ARM) dès juin 2017. L’absence de transparence pose un réel problème de sécurité. « Je pense que quelqu’un chez Intel devrait regarder très longuement leurs CPU et admettre qu’ils ont des problèmes au lieu d’écrire des communiqués en langue de bois qui affirment que tout fonctionne comme prévu », constate Linus Torvalds. Le créateur du noyau Linux ajoute : « Est-ce que Intel est en train de nous dire qu’ils s’engagent à nous vendre de la merde pour toujours et qu’ils ne répareront jamais rien ? »
Troisième constat, la trop forte dépendance vis-à-vis de quelques solutions technologiques. « Cette affaire illustre que nous allons payer très vite notre hyper dépendance aux produits américains : leur hégémonie a interdit toute variété, toute concurrence et donc toute solution de secours. Après le Wi-Fi, les processeurs INTEL et cela ne fait que commencer. D’autres séismes vont venir cette année sur des technologies critiques que nous utilisons tous les jours », avertit un expert français que nous avons interviewé.
Philippe Richard
Bonjour,
Vous expliquer ici qu’un cybercriminel doit « être capable d’exécuter du code directement sur le terminal vise » ce qui mitige le risque pour les particulier. Mais juste avant on peut lire: « Pire, l’attaque Spectre pourrait être exploitée directement depuis un navigateur Web, via un site contenant du code conçu à cet effet ». Tout cela me semble bien contradictoire.
Réagissez à cet article
Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.
Inscrivez-vous !
Vous n'avez pas encore de compte ?
CRÉER UN COMPTE