Nous utilisons les cookies sur ce site pour améliorer votre expérience utilisateur.

5 min de lecture 5 Commentaires

Les failles Meltdown et Spectre font trembler le monde de la technologie

Les vulnérabilités Meltdown et Specter ne se contentent pas de faire vaciller le fabricant Intel, mais provoquent également une onde de choc qui se propage dans toute l’industrie de la technologie. Il semblerait que presque tous les processeurs (que ce soit Intel, AMD ou les fabricants ARM) soient vulnérables, du moins en théorie. Et la solution n’est pas encore en vue.

Début 2018, deux failles de sécurité massive dans l’architecture des processeurs ont causé un certain remue-ménage chez les fabricants de matériel, les sociétés éditrices de logiciels et les utilisateurs. Meltdown et Spectre sont deux vulnérabilités différentes, mais elles ont un point commun : les problèmes ne se situent pas dans le logiciel (dans un système d’exploitation ou une application en particulier) mais dans le matériel lui-même, avec des failles qu’un hakcer peut utiliser pour accéder à des données sensibles. Il est même possible de lire la mémoire des appareils d’une façon relativement simple.

Comment ces failles de sécurité ont-elles été découvertes ?

Meltdown et Spectre ont toutes les deux étés découverts l’année dernière par Jann Horn, un associé chez Google Project Zero. Cette découverte a par la suite été confirmée par des chercheurs des Universités de Graz (Autriche), Adélaïde (Australie), Pennsylvanie et Maryland (Etats-Unis). Mais ce n’est que maintenant, six mois après les premières révélations, que le public en entend parler, alors que des fabricants comme Intel ont toute de suite pris connaissance de l’information.

Il semblerait qu’Intel ait été informé des vulnérabilités Meltdown et Spectre en juin 2017. En octobre, le PDG de la compagnie Brian Krzanich a commencé à mettre ses actions Intel en vente, pour un total d’environ 24 millions de dollars. Les seules actions restant en sa possession sont celles qu’il doit détenir conformément aux directives de la société. Un détail qui pourrait bien s’avérer troublant.

Les chercheurs ont découvert un total de trois méthodes pour hacker. Toutes les trois se font sans droits spéciaux, sur un compte d’utilisateur normal, et permettent un accès en lecture des mots de passe, des données de cryptage et d’autres informations.

AndroidPIT Kirin chip 8669
Même les processeurs mobiles sont vulnérables. © AndroidPIT

Intel Gap Meltdown : Qu’est-ce que c’est et comment puis-je protéger mon PC ?

Avec Meltdown, les pirates exploitent une faille dans l’architecture du processeur pour "injecter" des logiciels malveillants dans le système. Ils peuvent alors lire tout le contenu de la RAM et exécuter des applications, sans avoir besoin de droits spéciaux. L’attaque en elle-même est en apparence relativement banale, et rapidement mise en œuvre avec un peu de compétences en programmation et une forte dose de malveillance.

Pour contrer Meltdown, les systèmes d’exploitation doivent être adaptés, et les mises à jour correspondantes sont déjà en cours. Ces mises à jour de sécurité ont cependant un coût, et les performances des PC Intel devraient beaucoup en souffrir. La protection contre Meltdown pourrait provoquer une chute des performances allant jusqu’à 30%. Les ordinateurs particulièrement anciens pourraient devenir presque inutilisables. Intel prétend cependant que l’utilisateur ne verra pas de différences dans un usage quotidien.

Spectre : tous les processeurs sont-ils réellement affectés ?

La deuxième vulnérabilité dévoilée s’appelle Spectre. Elle n’est pas plus simple à exploiter que Meltdown, bien au contraire. Pour réussir à attaquer un ordinateur en utilisant cette faille, il faut plus de savoir-faire que l’exécution d’un simple script. Ce qui fait de Spectre une menace sérieuse, c’est que tous les processeurs sont potentiellement vulnérables, et pas seulement ceux d’Intel.

Alors que les puces AMD et ARM (principalement utilisées dans les dispositifs mobiles comme les smartphones et tablettes) ne sont pas vulnérables à la première faille, elles sont en revanche concernées par Spectre. Cette faiblesse structurelle, très difficile à corriger avec une mise à jour logicielle, est donc généralisée et présente à l’échelle du globe. En utilisant Spectre, les attaquants peuvent également accéder à la mémoire et aux programmes pour espionner l’utilisateur. En raison des difficultés à mettre en place l’attaque Spectre, les utilisateurs privés sont moins ciblés que les professionnels, mais les grandes entreprises qui stockent les données de nombreux utilisateurs pourraient en revanche être concernées. 

Chez Intel, tous les processeurs produits depuis 1995 sont potentiellement affectés par Spectre. ARM prétend que seuls certains modèles sont concernés. Mais ces quelques modèles sont les best-sellers du constructeur (voir ici la liste complète des puces ARM concernées). AMD parle d’un « risque zéro », car l’architecture des processeurs du constructeur est très diverse. Mais cela ne change rien au fait qu’en principe, les produits d’AMD sont vulnérables.

Certaines entreprises ont déjà annoncé qu’elles fournissaient des mises à jour pour corriger ces failles. Nous pouvons cependant nous demander si c’est réellement possible, étant donné que la porte d’entrée se trouve dans le matériel lui-même.

Que puis-je faire pour mes appareils?

Tout d'abord, les fabricants sont au courant et sont censés réagir afin que les clients puissent les utiliser facilement. Même s'il n'est pas certain que les mises à jour seront suffisantes dans tous les cas, tous les appareils devront être mis à jour plus et les correctifs devront être installés instantanément. Google, Microsoft et Apple ont déjà annoncé les premières mises à jour et certaines ont été livrées.

Avez-vous déjà été victime d'une attaque de hacker ou d'un malware?

6 partages

5 Commentaires

Ecrire un nouveau commentaire :

  • Quand même, si je comprends ou se situe la faille (les), c'est dans le micro-code du processeur, en dessous des chouches de l'OS. Ce qui est difficile à neutraliser, même pour un développeur moyen.
    Bon, changer un processeur sur un PC, c'est assez facile et le mien est assez vieux pour que je pense à l'upgrader, mais sur un smartphone, c'est soudé ...
    Aller hop, un smartphone à la poubelle ?


  • Martial 56 depuis une semaine Lien du commentaire

    Si j'étais complotiste, je penserais qu'il s'agit d'une conspiration des constructeurs pour inciter les pigeons à acheter des machines neuves 😊


  • Gerard M. depuis une semaine Lien du commentaire

    Je me souviens du "bug de l'an 2000". Tout devait exploser....... et finalement la montagne a accouché d'une souris !


    • louis hory depuis une semaine Lien du commentaire

      Ben oui, les trains qui déraillent (où dont le déraillement est prévu) font beaucoup plus de bruit (médiatique) que les trains qui arrivent à l'heure...

Nous utilisons les cookies sur ce site pour améliorer votre expérience utilisateur. Plus d'informations