Meltdown, Spectre : tout comprendre sur ces failles touchant les processeurs

Jan 8, 2018
Vote on Hacker News

meltdown-spectre-failles-processeurs

Coup de tonnerre dans le monde de l’informatique pour la Nouvelle Année : des chercheurs en sécurité ont repéré deux failles critiques d’importance, Meltdown et Spectre, touchant la quasi-totalité des processeurs sur le marché. Exploitées, elles auraient des conséquences dévastatrices. Pour la première, un patch est en cours d’installation ; pour la seconde, il faudra peut-être changer de matériel…

Janvier 2018 démarre par une désagréable nouvelle : des chercheurs en sécurité ont débusqué deux failles critiques touchant les multiprocesseurs – les unités de calcul des ordinateurs, tablettes, smartphone.

Des failles qui touchent la quasi-totalité des processeurs

La première a avoir été découverte se nomme Meltdown, elle ne touche que les processeurs Intel – mais concerne potentiellement TOUS les processeurs Intel produit depuis 1995. Elle peut être corrigée par un patch, qui est en cours de déploiement.

La seconde se nomme Spectre, et semble autrement plus dangereuse : elle concerne tous les processeurs Intel, AMD ou basés sur une architecture ARM – soit la quasi-totalité des processeurs équipant aujourd’hui ordinateurs ou smartphones. Spectre ne peut être corrigée, des patchs ne peuvent que mitiger le risque qu’elle représente.

Un accès à « toutes sortes de secrets, comme des mots de passe… »

Les effets de ces failles de sécurité sont tout simplement catastrophiques : « Au mieux, la vulnérabilité peut être utilisée par des malwares et des hackers pour exploiter d’autres bugs liés à la sécurité. Au pire, la faille peut être exploitée par des programmes et des utilisateurs authentifiés pour lire la mémoire du kernel. […] La mémoire du kernel est normalement cachée et inaccessible car elle contient toutes sortes de secrets, comme des mots de passe, des clefs d’authentification, des fichiers cachés etc. » ont expliqué des journalistes du Register.

Meltdown porte ce nom car, exploitée par des cyber-pirates, la faille fait « fondre » les protections de la machine, permettant d’atteindre le système d’exploitation. Spectre permet quant à elle de casser l’isolation entre les différentes applications, permettant au hacker de pénétrer au cœur du kernel sans que personne ne s’en rende compte.

Une vulnérabilité qui touchent tous les ordinateurs, même les plus sensibles

Une attaque utilisant Spectre est bien plus complexe à mettre en œuvre qu’une attaque utilisant Meltdown, mais elle serait d’autant plus dévastatrice. Car plus une application est correctement sécurisée, plus ces protocoles, si efficaces fussent-ils, sont connus… et plus ils sont facile à exploiter lors d’une attaque de ce type ! En clair, une attaque utilisant Spectre a une efficacité proportionnelle au niveau de protection des applications attaquées. Cerise sur le gâteau : il s’agit d’une faille matérielle, qui ne peut pas être patchée.

Là où l’affaire devient vraiment inquiétante, c’est que cette faille touche probablement tous les ordinateurs utilisés dans les serveurs de toutes les administrations, banques, assurances ou Etats du monde entier. Où transitent des informations, des mots de passe ou des identifiants critiques, d’un point de vue de la vie privée, de l’économie ou même de la sécurité publique.

Changer de machine pour résoudre le problème ?

La bonne nouvelle : il existe, tout de même, des correctifs, patchs et moyens de limiter l’impact de la faille. La mauvaise : cela réduira les performances du processeur de 5 à 30 % ! La vraie mauvaise nouvelle : pour être parfaitement débarrassé de ces failles, il faudra probablement… changer de machine. Il existe en effet de forte chance que la seule méthode de colmatage complet de Spectre soit un cycle complet de renouvellement hardware, quand les fondeurs auront changés leur méthode pour construire leurs processeurs.

Cela étant, oui, des patchs existent, oui des correctifs peuvent être mis en place pour combattre les failles se basant sur Spectre. Mais leur installation rapide devient une nécessité absolue. Et pour des serveurs, la baisse de performance pourrait avoir des impacts graves sur l’efficacité (ou la sécurité) du traitement des données.

Patchs et correctifs à gogo

Les services cloud ont déjà déployés des patchs correctifs, Microsoft a lancé un patch pour Windows 10 dès le 3 janvier, Apple a déjà proposé une version 10.13.2 de MacOs corrigeant une partie du problème, avant une version 10.13.3 plus complète qui devrait être disponible prochainement, la fondation Linux a rendu disponible un correctif du noyau.

Mais cette affaire n’en est probablement qu’à ses débuts, les chercheurs en sécurité vont continuer de travailler à sécuriser les appareils sur le marché, tout en tentant de limiter les baisses de performances. Une violente gueule de bois post-premier janvier dont ce serait largement passé le monde du numérique.