Failles Meltdown, Spectre. Presque tous les processeurs sont concernés (dont ceux d’Intel depuis 1995)

Hier, nous apprenions qu’une faille de sécurité importante touchait les processeurs conçus par Intel. Nous ne savions pas exactement quels processeurs étaient concernés, comment la faille pouvait être exploitée et quels seraient les conséquences de l’application du patch de sécurité. Ces informations étaient sous embargo et devait être dévoilées le 9 janvier 2018 (date du Patch Tuesday de Windows) par les chercheurs en sécurité informatique qui ont découvert ces failles. Au vu des fuites dans la presse, ils ont préféré avancer leur communication.

Meltdown et Spectre : deux failles de sécurité majeures

Deux failles de sécurité pour le prix d’une ! Les spécialistes dévoilent aujourd’hui deux failles relativement proches. La première, Meltdown, casse la frontière fondamentale entre les applications des utilisateurs et le système d’exploitation. La seconde, Spectre, casse la frontière fondamentale entre les différentes applications.

Concrètement, l’exploitation de ces deux failles de sécurité permet, à des personnes mal intentionnées, d’accéder au cœur même de votre ordinateur – et donc à toutes vos données personnelles : vos mots de passe, vos fichiers, vos photos, vos correspondances (emails, messages)… C’est également un problème pour les entreprises, puisque des hackers peuvent récupérer des documents sensibles.

Tout le monde, ou presque, est concerné

Vous vous demandez si votre ordinateur ou votre mobile est vulnérable ? Dans la très grande majorité des cas, la réponse est oui. Techniquement, toute machine qui embarque un processeur qui « exécute dans le désordre » (out of order execution) est concernée par Meltdown. Tous les processeurs Intel, conçus depuis 1995, sont donc vulnérables (quelques exceptions : les processeurs Intel Itanium et Intel Atom conçus avant 2013). La part de marché d’Intel sur le marché des microprocesseurs est comprise entre 70 et 80% selon les analystes. À l’heure actuelle, nous ne savons pas si les processeurs ARM et AMD sont affectés par Meltdown. En revanche, la faille de sécurité Spectre touche tous les processeurs (Intel, AMD et ARM). AMD et ARM sont donc également concernés, mais dans une moindre mesure.

Aussi, tous les types de machines sont concernés : les ordinateurs (fixes et portables), les téléphones mobiles, les serveurs (cloud)… Tous les systèmes d’exploitation sont touchés (Microsoft Windows, Apple macOS, Linux…).

Que faire ?

Ce que nous disions hier est toujours d’actualité. Si vous êtes un particulier et que vous possédez un ordinateur ou un mobile concerné, le mieux est d’attendre l’arrivée des mises à jour de sécurité. Nous conseillons aux entreprises et professionnels qui souhaitent en savoir plus sur ces failles et sécuriser leurs systèmes au plus vite de consulter ce site dédié : Meltdown and Spectre. Il contient tous les détails techniques pour comprendre ces deux failles (portée, risques, démarches, liens utiles etc.).

L’application des patchs de sécurité est nécessaire pour se protéger contre Meltdown et Spectre, mais attendez-vous à des baisses notables de performance (jusqu’à 30% selon les configurations). Les chercheurs le reconnaissent mais insistent sur la nécessité du patch : « This patch brings a certain amount of performance degradation, but makes Meltdown access to crucial data structures in the kernel impossible. »