Passer au contenu

Meltdown et Spectre : le point sur les failles majeures touchant aussi bien les CPU Intel que les autres marques et architectures

Ce qui était encore hier une faille majeure qui ne semblait toucher que les processeurs Intel s’est rapidement transformé en quelque chose d’encore plus important. Les chercheurs en sécurité qui ont découvert la faille viennent en effet de mettre en ligne un site web récapitulatif sur tout ce que l’on sait jusqu’à présent. Il n’y plus une seule faille, mais deux et beaucoup de mauvaises nouvelles. Meltdown, la première, ne concerne que les processeurs Intel et peut être corrigée par un patch. Mais Spectre, la seconde, concerne pratiquement tous les processeurs du monde entier et ne peut être corrigée par un patch. Faisons le point.

Hier, nous écrivions qu’une faille majeure touchant des processeurs Intel pourrait ralentir les PC de 5 à 30 %. Les détails étaient ténus pour cause d’embargo, mais la nouvelle a rapidement fait le tour du web et des sites spécialisés. Ce qui a poussé Intel à réagir et surtout les experts en sécurité à mettre en ligne un site web récapitulatif (et des logos mignons) sur tout ce que l’on sait actuellement de cette faille. Et ce matin, on commence enfin à y voir plus clair.

Il n’y a donc pas une faille, mais deux failles, nommées Meltdown et Spectre. Meltdown touche spécifiquement les processeurs Intel, tandis que Spectre concerne non seulement les processeurs Intel, mais aussi les puces d’AMD et toutes celles basées sur l’architecture ARM Cortex A d’ARM. Ces deux failles font globalement, et pour simplifier, la même chose : elles permettent d’accéder à une partie de la mémoire du processeur qui devrait normalement être inaccessible. Pour plus d’informations techniques sur ces failles, nous vous renvoyons sur l’excellent article de Hardware.fr expliquant comment fonctionnent ces failles.

Le cas de Meltdown

Quand bien même ses conséquences pourraient être graves, le cas de Meltdown est pour l’instant le moins préoccupant. Son cas est en effet connu depuis le milieu de l’année dernière et les éditeurs de système d’exploitation ont pu s’y préparer en sortant des patchs afin de corriger la faille. Microsoft va en effet déployer dès ce soir une mise à jour pour Windows 10 et deux autres mardi prochain pour Windows 7 et pour Windows 7 et 8. Mac OS a déjà été partiellement mis à jour avec la version 10.13.2 et devrait continuer ses efforts dans les prochains jours. Quant à Linux, son noyau a été mis à jour il y a quelques jours afin de le protéger d’éventuelles attaques.

Reste que si ce patch est efficace, il risque toutefois d’entraîner des chutes de performances de l’ordre de 5 à 30 %. Cela ne devrait pas ou peu concerner les PC et ordinateurs des particuliers. Selon les premiers benchmarks, cela ne devrait pas avoir d’influence sur le jeu vidéo en particulier. Mais c’est une tout autre histoire en ce qui concerne les data centers équipés de processeurs Intel. Les hébergeurs ou toutes les solutions dans le Cloud (Shadow, pour ne citer qu’eux) pourraient rencontrer des problèmes de performances problématiques.

Le cas de Spectre

Le cas de Spectre est beaucoup plus préoccupant. D’une part, la faille touche la très grande majorité des processeurs dans le monde et d’autre part il n’existe actuellement aucun patch permettant de la combler. Basiquement, elle brise l’isolation entre les différentes applications tournant sur un ordinateur, permettant à un hacker malveillant de s’emparer d’informations personnelles par ce biais.

Si Spectre est selon les chercheurs en sécurité beaucoup plus dure à exploiter, elle ne peut aujourd’hui pas être corrigée de façon logicielle. C’est tout juste si l’on peut la rendre un peu plus difficile à exploiter à l’aide de protections logicielles (mises à jour) déployées par les développeurs d’OS. Elle touche toutefois les processeurs Intel, certains (mais pas tous) processeurs AMD et une partie des puces basées sur l’architecture ARM.

Cela signifie concrètement que le meilleur moyen de se protéger est… de changer de processeur. Et encore, étant donné qu’il s’agit d’un problème d’architecture, il faudra sûrement attendre de long mois avant que les différents constructeurs et fondeurs sortent des puces dont le design les protégera de ces failles.

Maintenant que cette faille Spectre a été révélée, il faut s’attendre à ce qu’elle soit exploitée par des pirates dans les prochaines semaines ou mois. L’année commence mal pour la sécurité informatique mondiale. À moins que ?

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

9 commentaires
  1. Il s’agit d’un vice caché, compromettant l’usage et la sécurité.
    En toute logique on devrait pouvoir exiger le remplacement du processeur à titre gracieux.
    Les constructeurs vont devoir faire des rappels massifs comme dans l’automobile.
    J’ai tout bon ?

    1. Ben si on site le code civil on ne peut pas avoir de dommages et intérêts parce que le vendeurs n’était pas au courant mais le remboursement doit être possible. Mentionnons “il n’ait stipulé qu’il ne sera obligé à aucune garantie” et la garantie à voir sur l’aspect vices cachés.

      [quote]
      Article 1641
      Créé par Loi 1804-03-06 promulguée le 16 mars 1804
      Le vendeur est tenu de la garantie à raison des défauts cachés de la chose vendue qui la rendent impropre à l’usage auquel on la destine, ou qui diminuent tellement cet usage que l’acheteur ne l’aurait pas acquise, ou n’en aurait donné qu’un moindre prix, s’il les avait connus.

      Article 1643
      Créé par Loi 1804-03-06 promulguée le 16 mars 1804
      Il est tenu des vices cachés, quand même il ne les aurait pas connus, à moins que, dans ce cas, il n’ait stipulé qu’il ne sera obligé à aucune garantie.

      Article 1644
      Modifié par LOI n°2015-177 du 16 février 2015 – art. 10
      Dans le cas des articles 1641 et 1643, l’acheteur a le choix de rendre la chose et de se faire restituer le prix, ou de garder la chose et de se faire rendre une partie du prix.

      Article 1645
      Créé par Loi 1804-03-06 promulguée le 16 mars 1804
      Si le vendeur connaissait les vices de la chose, il est tenu, outre la restitution du prix qu’il en a reçu, de tous les dommages et intérêts envers l’acheteur.

      Article 1646
      Créé par Loi 1804-03-06 promulguée le 16 mars 1804
      Si le vendeur ignorait les vices de la chose, il ne sera tenu qu’à la restitution du prix, et à rembourser à l’acquéreur les frais occasionnés par la vente.
      [/quote]

      1. donc ouverture à des dommages et intérêts pour tous les CPU vendu dans le monde depuis mi 2017? à ce moment la ILS savaient ou tout du moins au minimum INTEL.

      2. Reste a prouver que cette faille de sécurité rends le processeur impropre a l’usage auquel on le destine.
        Les processeurs en question étant utilisé depuis plusieurs mois, bonne chance pour justifier qu’il sont impropre a l’usage.

Les commentaires sont fermés.

Mode