Les correctifs protégeant de défauts importants récemment découverts dans la plupart des microprocesseurs sont compliqués à installer. / DADO RUVIC / REUTERS

Le PDG d’Intel, Brian Krzanich, a donné lundi 8 janvier à Las Vegas la première grande conférence du Consumer Electronics Show (CES), grand raout de l’industrie mondiale des nouvelles technologies. Son intervention était attendue, quelques jours après la découverte de défauts majeurs dans les puces fabriquées par l’entreprise – ainsi que certains de ses concurrents.

M. Krzanich s’est contenté d’annoncer qu’un correctif palliant ces défauts serait déployé pour toutes ses puces fabriquées il y a cinq ans ou moins « d’ici la fin du mois », oubliant un peu vite qu’une partie de ces failles ne pouvaient être corrigées par une simple mise à jour. « La collaboration d’autant d’entreprises est vraiment remarquable », s’est-il cependant félicité, faisant référence au vaste effort entrepris depuis quelques jours par de nombreux acteurs des nouvelles technologies pour limiter l’impact de Meltdown et de Spectre.

Ces deux attaques tirent parti de défauts présents dans les microprocesseurs depuis une vingtaine d’années. Des pirates ou une agence de renseignement ont-ils pu dans ce laps de temps découvrir ces défauts et les exploiter avant que les chercheurs ne les rendent publics ?

Le PDG d’Intel a répété qu’aucune donnée en sa possession ne montrait une exploitation avant la découverte par les chercheurs. « Nous travaillons sans relâche pour que cette situation ne change pas », a-t-il déclaré. Tentant d’évacuer d’éventuels soupçons, le conseiller pour la sécurité informatique de l’administration Trump, Rob Joyce, a assuré que « la NSA [la très puissante agence de renseignement américaine] ne connaissait pas l’existence de cette faille ». « Elle ne l’a pas utilisée et le gouvernement n’aurait pas mis Intel sur la sellette en gardant secrète une telle vulnérabilité », a-t-il précisé au Washington Post.

La crainte d’un ralentissement des ordinateurs

Les deux failles repérées par les chercheurs trouvent leur source dans une technique d’optimisation des processeurs mise en place pour en accélérer la vitesse de calcul. Les divers correctifs tendent à brider ces techniques et beaucoup d’experts avaient anticipé un ralentissement des machines sur lesquelles ils allaient être appliqués.

« L’impact de ces mises à jour dépend du type de travail que fournit le processeur. […] Certains seront plus touchés que d’autres. Nous allons continuer de travailler avec nos partenaires dans l’industrie pour minimiser cet impact dans le temps », a tenté de rassurer le PDG d’Intel sur la scène du CES.

Il est en réalité difficile à ce stade de l’affaire de connaître précisément l’impact en termes de performance des mises à jour pour contrer ces failles, tant les paramètres sont nombreux (le type de matériel et de logiciel, leur configuration, le type d’activité informatique qui y est réalisée…).

« L’utilisateur d’ordinateur lambda ne devrait pas ressentir de ralentissements notables dans les tâches basiques comme lire leurs e-mails, rédiger un document ou consulter des photos », a expliqué Intel dans un communiqué publié mardi 9 janvier.

Selon Microsoft, qui a réalisé des tests de performance, le ralentissement sur les ordinateurs personnels vendus ces deux dernières années et dotés de puces récentes sera indétectable. Des ralentissements plus importants, potentiellement visibles par les utilisateurs, sont cependant à attendre sur des machines plus anciennes. De par la nature même des failles corrigées, certaines activités comme le jeu vidéo, pourtant gourmand en ressources au niveau du processeur, pourraient sortir quasiment indemnes des correctifs. Les quelques médias spécialisés ayant testé différents jeux vidéo n’ont, à ce stade, pas constaté de ralentissement significatif.

« Equilibre entre la sécurité et la performance »

Il en va un peu autrement pour les serveurs, ces gros ordinateurs qui servent à faire fonctionner de nombreux services utilisés par les internautes. Red Hat, une société qui édite de nombreux logiciels basés sur des solutions open source, en tout premier lieu Linux, très fréquemment utilisé sur les serveurs, a réalisé des tests sur ses systèmes. L’entreprise a constaté des ralentissements oscillant entre 1 % et 19 % des performances.

Microsoft avertit que sur certains matériels et certains usages précis, le ralentissement pourrait être conséquent. Le géant de Redmond incite même les gestionnaires de certains parcs informatiques à « trouver un équilibre entre la sécurité et la performance », sous-entendant que l’installation de correctif sur certains systèmes particulièrement vulnérables aux ralentissements n’était pas nécessairement conseillée. Microsoft a également annoncé la publication prochaine de mesures plus précises.

D’autres géants du secteur ont été plus rassurants. « Nous n’avons pas observé d’impact significatif en termes de performance », a expliqué Amazon, tout comme Google, qui a mesuré un « impact négligeable » des mises à jour.

Une mise à jour compliquée

Du côté de l’utilisateur lambda, la recommandation pour se protéger contre une éventuelle utilisation de Meltdown et de Spectre est d’installer toutes les dernières mises à jours logicielles. De Microsoft à Apple, en passant par Mozilla ou Android, de nombreux éditeurs de logiciels ou de systèmes d’exploitation ont proposé des correctifs ou sont en passe de le faire.

Problème : tout ne se passe pas toujours comme prévu. La mise à jour proposée par Windows bloque certains PC utilisant un type précis de processeurs, ce qui a conduit Windows à interrompre le déploiement de sa mise à jour de sécurité pour certaines machines.

Par ailleurs, l’installation de la dernière version de Windows, correctifs inclus, ne peut se faire que si l’antivirus installé sur la machine l’autorise. Ce qui n’est actuellement pas systématiquement le cas et nécessite un paramétrage précis de l’antivirus pour certaines marques.

Cela pourrait compliquer et ralentir la mise en place de mécanisme de sécurité protégeant contre l’utilisation concrète de Meltdown et de Spectre. Problématique puisque depuis mardi 9 janvier, les chercheurs à l’origine de leur découverte peuvent communiquer davantage de détails techniques sur ces vulnérabilités, notamment pour aider à leur compréhension et à leur correction. Mais cela va aussi permettre à des pirates d’en savoir plus et d’incorporer ces failles dans leurs outils, faisant craindre leur utilisation réelle.