Le bug Intel rendu public hier, désormais baptisé Meltdown, possède un alter ego qui compromettrait potentiellement tous les ordinateurs du monde et bien plus complexe à traiter : Spectre. Un site a été mis en ligne par l’équipe qui a découvert les bugs pour rendre limpide le problème.
Post-Apo informatique
On vous en parlait hier sur un ton amusé — mais assez peiné — du problème de sécurité que rencontre Intel sur ses processeurs. Le problème est finalement bien plus complexe qu’on pourrait le croire et on peut commencer à faire la tronche. On reprend.
Dû à un souci de design d’architecture, un logiciel malveillant peut accéder à la mémoire prédictive de votre processeur en exploitant dorénavant deux bugs connus, découverts et nommés Meltdown et Spectre, par les équipes de Google Project Zero et de différentes universités. Les bugs permettent de lire le contenu normalement caché aux autres programmes à qui les données ne sont pas destinées. Le souci va mettre du temps à être résolu, car il faudra attendre une mise à jour physique (acheter un nouveau processeur dont la faille a été corrigée, quoi) pour se débarrasser du problème. Si les particuliers sont touchés, ce sont les hébergeurs de serveurs qui risquent gros, surtout si leur solution virtualisation repose sur une seule puce physique.
Le problème peut être résolu facilement dans le cas de Meltdown via un patch de l’OS mais peut coûter jusqu’à un tiers des performances sur le calcul des programmes qui font appel au Kernel, le noyau de votre système d’exploitation (ce qui exclut en général les jeux), car la mémoire prédictive a alors besoin d’être renouvelée bien plus souvent pour éviter d’être lue de manière malveillante. Ensuite vient Spectre, qui arrive à forcer d’autres applications à accéder à cette fameuse mémoire cachée, et qui est bien plus compliqué à verrouiller puisque ce sont les autres programmes qui communiquent avec le Kernel qui devront chacun être patchés.
La division en sécurité informatique Google Project Zero a mis alors en ligne un site qui explique simplement sous une forme de FAQ les dangers que représentent Meltdown et Spectre, et démontre qui peut potentiellement être touché (Spoiler : tout le monde). De la documentation technique est également fournie pour mieux comprendre le phénomène.
Qu’est-ce qui peut être exploité ?
Si votre système est affecté, nos bugs peuvent lire le contenu de votre mémoire. Ce qui peut inclure des mots de passe ou autres données sensibles.
Quels systèmes sont affectés par Meltdown ?
PC de bureau ou portable et les serveurs sont affectés par Meltdown. Techniquement, tous les processeurs Intel sont affectés [depuis 1995] […]. Nous avons testé positivement Meltdown sur toutes les générations Intel sorties depuis au moins 2011. Nous n’avons testé Meltdown seulement sur les processeurs Intel. Il est incertain si les processeurs ARM ou AMD sont également touchés par Meltdown.
Quels systèmes sont affectés par Spectre ?
Presque tous les systèmes sont touchés par Spectre: PC, serveurs, et aussi les Smartphones [et tablettes]. Techniquement, tous les processeurs capables de garder des instructions en mémoire à la volée sont potentiellement vulnérables. Nous avons validé Spectre sur processeurs Intel, AMD et ARM.
Les grosses sociétés informatiques s’activent et Google annonce déjà avoir patché Android conre Meltdown rapporte Tom’s Hardware. Microsoft indique que le patch Windows 10, 8 et 7 (ce qui inclus la mise à jour de son cloud) ne devrait être disponible qu’à partir de mardi prochain. Apple n’a pas encore communiqué sur l’affaire et n’a pas encore exposé de plan de protection pour ses appareils.
