Meltdown et Spectre, les deux failles critiques découvertes dans la plupart des processeurs
Meltdown et Spectre, les deux failles critiques découvertes dans la plupart des processeurs
Par Martin Untersinger
Une grande partie des appareils informatiques sont concernés par l’une ou l’autre de ces attaques, des smartphones en passant par les serveurs de « cloud » ou les ordinateurs. Des correctifs sont en train d’être déployés.
La nouvelle a jeté un froid dans le monde de la sécurité informatique : des chercheurs ont annoncé, mercredi 3 janvier, avoir mis au point des cyberattaques permettant la captation de données efficaces contre un très grand nombre de modèles de processeurs, en particulier ceux fabriqués par l’américain Intel.
Ces deux attaques, surnommées Meltdown et Spectre par les chercheurs qui les ont conçues, exploitent des défauts présents dans quasiment toutes les puces Intel construites ces vingt dernières années, ainsi que de nombreuses autres conçues par d’autres fabricants.
Une très large majorité des machines informatiques (téléphones portables, tablettes, ordinateurs, serveurs…) sont donc vulnérables à l’une ou à l’autre. Et comme ces dernières s’en prennent à un composant physique de l’ordinateur, tous les systèmes d’exploitation – les logiciels faisant fonctionner un appareil électronique, comme Windows, Android, iOS – sont touchés.
Le processeur – une des pièces maîtresse de tout système informatique – est le composant qui effectue les calculs nécessaires au fonctionnement de l’appareil et des programmes qui y sont installés. Toutes les données gérées par un système informatique y transitent à un moment ou à un autre. Lorsqu’elles sont traitées par le processeur, elles sont censées être cantonnée à des zones étanches. Or les chercheurs ont démontré qu’il était possible de contourner ces protections et d’obtenir copie de données traitées par le processeur mais censées être inaccessibles.
Zone critique
Un pirate peut donc théoriquement utiliser ces attaques pour dérober des données sensibles, notamment des mots de passe. L’une de ces deux attaques, Meltdown, donne même accès à des données issues d’une zone critique au fonctionnement d’un ordinateur – et théoriquement ultraprotégée – le kernel, qui fait le lien entre le matériel et les logiciels.
C’est un problème particulièrement inquiétant pour les sociétés du secteur du « cloud ». Ces dernières hébergent fréquemment les données – site Internet ou intranet, messagerie – de plusieurs clients sur une seule machine. Ces clients se partagent donc un même processeur. En mobilisant Spectre, des pirates présents sur un serveur pourraient donc accéder à des données normalement protégées de leurs « colocataires ». C’est plus que problématique pour ces fournisseurs de cloud dont la confidentialité des données est un impératif.
Avertis en amont par les chercheurs, la plupart des grands acteurs du secteur ont déjà corrigé leurs infrastructures ou sont en passe de le faire. « Microsoft a publié plusieurs mises à jour pour limiter l’impact de ces vulnérabilités. Nous avons aussi pris des mesures pour sécuriser nos services de cloud » a indiqué le géant de Redmond (Etat de Washington) dans un message publié sur son site Web.
Google a lui aussi annoncé avoir « mis à jour » ses systèmes « contre ce nouveau type d’attaque » ; tout comme Amazon, très gros fournisseur de cloud. Octave Klaba, le fondateur et dirigeant d’OVH, le géant de l’hébergement, a détaillé sur Twitter les mesures prises par son entreprise pour protéger ses clients.
Forte confusion
Si Meltdown – qui concerne uniquement les processeurs Intel – peut être contrecarré, il en va différemment pour sa petite sœur Spectre. Cette dernière a des racines plus profondes et pour s’en prémunir, le Centre d’alerte et de réaction aux attaques informatiques (CERT) américain recommande de « remplacer [physiquement] le processeur ». Une gageure puisqu’une bonne partie de ceux qui sont sur le marché sont vulnérables à cette attaque. Cette persistance a même donné son nom à l’attaque : « Comme elle est difficile à contrecarrer, cette attaque va nous hanter pour un bon moment », écrivent les chercheurs.
A ce stade, les impacts de ces attaques pour les utilisateurs lambda devraient être limités. Cependant, il est difficile d’anticiper les multiples façons dont elles vont être utilisées à moyen terme par des pirates. Les chercheurs ont déjà indiqué qu’il était possible d’activer l’attaque Spectre directement depuis un navigateur Web, via un site contenant du code conçu à cet effet. Une information confirmée par une analyse préliminaire conduite par Mozilla, qui édite le navigateur Firefox. Une possibilité loin d’être anodine, puisque cela rend l’attaque plus facile à diffuser et à mettre en œuvre.
En attendant, les particuliers doivent impérativement installer les mises à jour proposées par leurs ordinateurs ou téléphones. Certaines des mesures prises par les développeurs des systèmes d’exploitation sont cependant susceptibles de ralentir le fonctionnement des processeurs. Les experts divergent cependant sur son ampleur exacte. Selon Intel, ce ralentissement sera minime.
Mercredi 3 janvier, la publication des détails concernant Meltdown et Spectre – par des chercheurs de Google et de l’université de Graz en Autriche notamment – a mis fin à plusieurs heures d’une forte confusion.
L’action Intel affectée en Bourse
La rumeur d’une faille dans les processeurs Intel circulait depuis quelques semaines, et pour cause : les chercheurs travaillaient sur ces attaques depuis des mois et avaient averti dans le plus grand secret certains fabricants. Une pratique courante en matière de failles.
Pour éviter de donner des idées à tous types de pirates, il faut en effet que leur annonce soit postérieure ou simultanée à leur correction. Le secret, qui devait prendre fin le 9 janvier, a été éventé par une enquête du site spécialisé The Register. Afin qu’un maximum d’experts puisse prendre des mesures, les chercheurs ont décidé de précipiter la publication officielle de leurs trouvailles.
Dans un communiqué publié le 3 janvier, Intel a tenté de minimiser les impacts de ces attaques sur ses produits, une stratégie moquée et critiquée dans le milieu de la sécurité informatique. Dans le même temps, l’action d’Intel a perdu 8 % de sa valeur.
Par ailleurs, la presse américaine a remarqué que le PDG de l’entreprise, Brian Krzanich, avait vendu, en novembre 2017, pour 39 millions de dollars (32 millions d’euros) de parts de la société alors qu’Intel était déjà au courant des failles touchant ses produits. M. Krzanich pourrait devoir s’en expliquer très prochainement : hasard du calendrier, il doit s’exprimer lundi en ouverture du salon des CES des nouvelles technologies à Las Vegas (Nevada).