Faille chez Intel : les ordinateurs touchés en plein Core

Deux failles, qui peuvent affecter la plupart des PC et des serveurs dans le monde, ont été dévoilées mercredi par des chercheurs. Une affaire aux conséquences encore difficiles à évaluer. Mais qui, cas rare, concerne la partie matérielle, et non logicielle.

Depuis trois jours, deux mots reviennent en boucle dans les fils Twitter des spécialistes en cybersécurité : «Meltdown» («effondrement», en français dans le texte) et «Spectre». Derrière ces noms de baptême évocateurs, deux attaques informatiques mises au point par des chercheurs, et rendues publiques en milieu de semaine, qui ont provoqué un branle-bas de combat dans l’industrie numérique… Leur particularité : elles tirent parti de vulnérabilités qui affectent non des logiciels, comme c’est le plus souvent le cas, mais des composants matériels. En l’espèce, les microprocesseurs présents dans les ordinateurs, les smartphones et les serveurs internet.

Le géant américain Intel, qui équipe plus de 80 % des ordinateurs et plus de 90 % des serveurs, est le plus touché, mais ses concurrents, l’américain AMD et le britannique ARM – très présent dans la téléphonie mobile et les tablettes – sont également concernés. Conséquence : la grande majorité des utilisateurs, entreprises et particuliers, y est potentiellement vulnérable… Le sujet a vite pris de l’ampleur, et largement débordé des cercles spécialisés : vendredi matin sur France Inter, le secrétaire d’Etat chargé du Numérique, Mounir Mahjoubi, jugeait l’affaire «vertigineuse», et appelait à «augmenter le niveau d’expertise des pays», et «le niveau de sécurité des entreprises et des citoyens».

De quoi parle-t-on ?

Les résultats des recherches, menées en toute discrétion depuis plusieurs mois, étaient censés rester sous embargo jusqu’au 9 janvier, le temps que des correctifs de sécurité soient déployés par les fabricants et les éditeurs de logiciels. Mais des «fuites» sur le site britannique d’actualité technologique The Register ont poussé les experts travaillant sur le sujet – des membres de l’équipe «Project Zero» de Google, des universitaires, notamment à Graz, en Autriche, et des chercheurs allemands de l’entreprise Cyberus Technology – à dégainer plus vite que prévu. Le 3 janvier, ils ont révélé les détails de leurs travaux.

Concrètement, Meltdown et Spectre tirent profit de la manière dont travaillent aujourd’hui les processeurs, ces «cerveaux» des ordinateurs qui effectuent tous les calculs et organisent les échanges de données entre les différents composants. «Dans les deux cas, les attaques exploitent ce qu’on appelle « l’exécution spéculative », que pratiquent les processeurs pour aller plus vite, explique à Libération Jef Mathiot, ingénieur en informatique et contributeur au site Reflets.infoQuand un processeur exécute un programme, il essaie de « deviner » le chemin que celui-ci va emprunter : il travaille en avance par rapport au flux réel, et s’il s’avère qu’il n’a pas emprunté le bon chemin, il annule les instructions. Or ce mécanisme peut être exploité pour faire en sorte que le processeur aille lire dans une zone de mémoire à laquelle le programme ne devrait pas accéder.» Autrement dit, il n’y a plus d’étanchéité, et il est alors possible de mettre la main sur des données d’autres logiciels en cours de fonctionnement – mots de passe, mails, photos, documents…

Côté différences, les chercheurs ayant révélé les failles expliquent sur le site Meltdownattack.com que là où Meltdown «casse l’isolation la plus fondamentale, entre les applications et le système d’exploitation»,Spectre, lui, «casse l’isolation entre les différentes applications», ce qui permet à un logiciel malveillant de «leurrer» un autre programme pour le pousser à accéder à certaines zones de sa mémoire. Pour illustrer la différence entre les deux attaques, l’un des chercheurs, Daniel Gruss, postdoctorant à l’université de technologie de Graz, utilise dans Forbes une formule imagée : «Imaginez un film de la série Star Wars où quelqu’un veut voler de l’argent. Spectre est comme une ruse mentale jedi : vous poussez une personne à vous donner son argent, et ça se produit tellement vite qu’elle ne réalise pas ce qu’elle est en train de faire. Meltdown fait main basse sur l’argent très vite, comme un pickpocket. La ruse mentale jedi est bien sûr plus difficile à mettre en œuvre, mais aussi plus difficile à prévenir.»

Est-ce grave ?

Oui, pour plusieurs raisons. Nombre de processeurs Intel – fabriqués depuis… 1995 ! – sont vulnérables à Meltdown. Quant à Spectre, selon les chercheurs, la faille concerne aussi les processeurs AMD et ARM. Autrement dit, une grande majorité d’ordinateurs, de smartphones et de serveurs internet sont potentiellement exposés. A une nuance près : pour effectuer ces attaques, «il faut déjà avoir un pied dans la machine de la victime», souligne Jef Mathiot. Le risque existe pour les particuliers comme pour les entreprises, qui peuvent être victimes d’un piratage – y compris en visitant un site web malveillant, avertit la fondation Mozilla, qui développe Firefox.

Mais c’est pour les fournisseurs de cloud que la situation est la plus critique. «C’est très problématique pour des machines physiques sur lesquelles on fait fonctionner plusieurs serveurs internet», poursuit Jef Mathiot. Un client malveillant d’un système de cloud, déjà dans la place, pourrait user de ce type d’attaques pour aller lire dans la mémoire de la plateforme centrale, qui permet à plusieurs systèmes d’exploitation de fonctionner sur la même machine, et ainsi mettre la main sur les données d’autres clients…

Autre problème : si des correctifs ont déjà été déployés pour faire face à Meltdown, l’affaire se révèle beaucoup plus complexe dans le cas de Spectre. Ce qui lui vaut d’ailleurs son nom de baptême : «Comme le problème n’est pas facile à corriger, il va nous hanter pendant un certain temps», écrivent les chercheurs.

Comment fabricants et éditeurs réagissent-ils ?

Révélés plus tôt que prévu, Meltdown et Spectre ont mis en émoi l’industrie de l’informatique et du logiciel. Dans un premier temps, Intel a plutôt cherché à en minimiser l’impact. Mais ce vendredi, le constructeur américain a annoncé le développement et la publication de mises à jour pour les logiciels embarqués de ses processeurs, et dit espérer avoir paré le problème, à la fin de la semaine prochaine, pour «90 % des processeurs lancés ces cinq dernières années». ARM a de son côté publié la liste de ses processeurs vulnérables. Quant à AMD, l’entreprise affirme jusqu’ici que concernant ses produits, les risques ont été «résolus», ou sont «quasi nuls» – mais selon les chercheurs, certains de ses modèles sont bel et bien exposés à Spectre…

Du côté des systèmes d’exploitation, il existe d’ores et déjà des correctifs contre Meltdown pour le système Windows de Microsoft, OS X et la dernière version d’iOS côté d’Apple, ainsi que pour les systèmes Linux. Mozilla a par ailleurs publié une mise à jour de son navigateur Firefox. Autant de «patchs» qu’il est indispensable, pour les utilisateurs, d’appliquer le plus vite possible… Enfin, les principaux fournisseurs d’hébergement et de services en ligne, comme Amazon, Microsoft et Google, ont également annoncé avoir commencé à déployer des mises à jour de sécurité. C’est aussi le cas du Français OVH.

Quelles conséquences ?

Difficile encore, pour l’heure, de les évaluer. Testées et révélées par des experts en cybersécurité, ces attaques permettent potentiellement de mettre la main sur toutes sortes de données personnelles sensibles. Or elles ne laissent aucune trace : il est donc très difficile de savoir si les vulnérabilités des microprocesseurs ont pu être déjà exploitées «dans la nature» par des pirates informatiques.

Au-delà de la question, première, de la sécurité des données, se pose aussi celle de l’impact des correctifs. Dans l’article qui a déclenché les publications, The Register avançait qu’ils pourraient entraîner un ralentissement des systèmes de l’ordre de 5 % à 30 %. Ce que dément Intel : dans son dernier communiqué, le leader mondial des microprocesseurs relaie des tests effectués chez Apple, Microsoft, Amazon et Google, faisant état d’un impact minime. Reste à savoir pour qui : «En fonction des types de programme et de leur usage, l’impact peut être soit complètement négligeable, soit relativement important»,explique Jef Mathiot. Probablement peu sensible pour les utilisateurs d’un PC ou d’un smartphone, il peut être plus gênant pour les fournisseurs de cloud, leurs clients, et «les applications qui utilisent les serveurs de manière intensive».

Intel va par ailleurs devoir faire face à d’autres polémiques et d’autres difficultés. Contacté en amont par les chercheurs, le fabricant a eu connaissance du problème depuis le mois de juin. Or plusieurs médias américains n’ont pas manqué de souligner qu’en novembre, le PDG d’Intel, Brian Krzanich, s’était délesté, pour près de 25 millions de dollars (20,7 millions d’euros), d’une partie considérable de ses actions. Il en a gardé 250 000, comme il y est obligé pour conserver son poste. Interrogé par le site Gizmodo, un porte-parole de l’entreprise a assuré que cette vente était sans rapport avec les vulnérabilités découvertes. Mais il ne fait aucun doute que la prochaine intervention publique de Krzanich, une keynote qu’il doit donner lundi au Consumer Electronics Show (CES) de Las Vegas, sera scrutée de très près. Sans compter que le géant américain va devoir faire face à plusieurs class actions. Trois ont déjà été lancées aux Etats-Unis, dans l’Indiana, dans l’Oregon et en Californie.

PARTAGER

1 COMMENTAIRE

  1. Hmm, it feels like your site ate my first comment (it was really long) so I figure I will just sum it up what I had written and say, I’m thoroughly enjoying your site. I am an aspiring blog writer, but I am still new to the entire thing. Have you got some recommendations for newbie blog authors? I would appreciate it. {

FAIRE UN COMMENTAIRE

SVP faire un commentaire !
SVP entrer ici votre nom