Meltdown et Spectre : les pires bugs CPU qui affectent pratiquement tous les ordinateurs

Qu’est-ce que Meltdown et Spectre ? Est-ce qu’ils affectent seulement les puces Intel ? Est-ce que les corrections ralentiront mon ordinateur… et qu’est-ce qu’un processeur ?Meltdown et Spectre sont les noms de deux failles de sécurité graves qui ont été trouvées dans les processeurs informatiques. Ils pourraient permettre aux pirates de voler des données sensibles sans que les utilisateurs le sachent, l’un d’eux affectant les puces fabriquées dès 1995.

Qu’est-ce que Meltdown et Spectre ?

Meltdown est une faille de sécurité qui pourrait permettre aux hackers de contourner la barrière matérielle entre les applications exécutées par les utilisateurs et la mémoire centrale de l’ordinateur, qui est normalement hautement protégée.

Le spectre est légèrement différent. Cela permet potentiellement aux pirates informatiques de tromper des applications autrement exemptes d’erreurs en leur donnant des informations secrètes.

Est ce sérieux ?
Oui. Meltdown est « probablement l’un des pires bugs CPU jamais trouvés » selon Daniel Gruss, un des chercheurs de l’Université de Technologie de Graz qui a découvert la faille. C’est très sérieux à court terme et nécessite une attention immédiate.

Le problème avec Meltdown est que tout ce qui fonctionne comme une application pourrait en théorie voler vos données, y compris des choses simples telles que le javascript à partir d’une page Web affichée dans un navigateur.

D’un autre côté, le spectre est plus difficile à exploiter pour les pirates, mais il est également plus difficile à réparer et devrait poser un plus gros problème à long terme.

Quels types de périphériques sont affectés ?
Pratiquement tous les appareils informatiques affectés par Specter, y compris les ordinateurs portables, les ordinateurs de bureau, les tablettes, les smartphones et même les serveurs et les systèmes de cloud computing. Certains périphériques de faible puissance, tels que certains gadgets Internet of Things (IOT), ne sont pas affectés.

Qu’est-ce qu’un processeur ?
Le processeur, ou unité centrale de traitement (CPU), est la puce principale dans un ordinateur qui exécute les instructions d’un programme informatique, c’est le cerveau de l’ordinateur.

Lorsque vous demandez à un programme d’exécuter une tâche, c’est le processeur qui exécute cette commande, en coopérant avec le reste du système pour effectuer toutes les tâches nécessaires.

Il existe d’autres types de processeurs, notamment des unités de traitement graphique (GPU) ou des cartes graphiques, des coprocesseurs tels que des puces de détection (sensors) qui détectent des mouvements ou des conditions physiques similaires, mais le terme «processeur» est généralement utilisé .

Cela affecte-t-il seulement les processeurs Intel ?
Spectre affecte tous les processeurs modernes, y compris ceux conçus par Intel, AMD et ARM, mais Meltdown est actuellement pensé pour affecter uniquement les puces Intel fabriquées depuis 1995, à l’exception des puces Itanium et Atom fabriquées avant 2013.

Qu’est-ce qui peut être volé ?Le noyau, connu sous le nom Kernel, stocke tous les types d’informations sensibles en mémoire. Cela signifie que les dossiers bancaires, les cartes de crédit, les données financières, les communications, les connexions, les mots de passe et les informations secrètes pourraient être en danger à cause de Meltdown.

Le spectre peut être utilisé pour tromper les applications normales en abandonnant des données sensibles, ce qui signifie potentiellement que tout ce qui est traité par une application peut être volé, y compris les mots de passe et autres données.

Est-il déjà utilisé pour voler des données ?
Le National Cyber ​​Security Center du Royaume-Uni a déclaré qu’il n’y avait aucune preuve que Meltdown et Spectre soient activement utilisés pour voler des données pour le moment, mais la nature des attaques les rend difficiles à détecter.

Les experts s’attendent à ce que les pirates développent rapidement des programmes pour lancer des attaques maintenant que l’information est disponible. Dan Guido, directeur général de la société de conseil en matière de cybersécurité Trail of Bits, a déclaré: « Exploits pour ces bugs seront ajoutés aux boîtes à outils standard des pirates. »

Que puis-je faire à ce sujet ?
Les utilisateurs peuvent faire peu pour éviter ces vulnérabilités à part mettre à jour leurs ordinateurs avec les dernières corrections de sécurité dès que possible. Les correctifs pour Linux et Windows sont déjà disponibles. Les Chromebooks mis à jour vers Chrome OS 63, qui a commencé à être déployé depuis mi-décembre, sont déjà protégés.

Les appareils Android exécutant la dernière mise à jour de sécurité, y compris les smartphones Nexus et Pixel de Google, sont déjà protégés. Les mises à jour devraient être disponibles bientôt. Les utilisateurs d’autres appareils devront attendre que les mises à jour soient rejetées par des fabricants tiers, y compris Samsung, Huawei et OnePlus.

Apple a conseillé aux clients dans un blog de mettre à jour les systèmes d’exploitation de leurs appareils et de télécharger uniquement des logiciels provenant de «sources fiables telles que l’App Store». La société a également déclaré qu ‘ »il n’y a pas d’exploits connus ayant un impact sur les clients en ce moment ».

Les corrections vont-elles ralentir mon ordinateur ?
Bien que les correctifs pour Spectre ne devraient pas avoir d’impact immédiat sur les performances des ordinateurs, la nature des correctifs nécessaires pour se protéger contre Meltdown pourrait avoir un impact significatif.

Cela est dû à la séparation de l’application et de la mémoire du noyau requise par les différents systèmes d’exploitation pour empêcher que la faille soit utilisée pour accéder aux données protégées. Séparer les deux systèmes de mémoire de cette façon signifie que les tâches qui exigent constamment du noyau, telles que l’écriture de fichiers sur le disque ou l’envoi de données sur un réseau, peuvent être beaucoup plus lentes en raison du temps nécessaire au processeur pour basculer entre la mémoire de l’application et la mémoire du noyau.

Certaines estimations préliminaires prévoient des performances jusqu’à 30% plus lentes dans certaines tâches. Si les utilisateurs remarqueront une différence sur leur ordinateur, cela dépendra de la tâche qu’ils essaient de faire. Les activités de jeu, de navigation et d’informatique générale sont peu susceptibles d’être affectées, mais celles qui impliquent beaucoup de fichiers d’écriture peuvent devenir plus lentes.

Certaines technologies, telles que les Process-Context Identifiers (PCID) d’Intel, intégrées aux processeurs de la société depuis 2013, peuvent réduire l’impact des correctifs si elles sont exploitées dans le système d’exploitation.

Qui l’a trouvé ?
Meltdown a été découvert indépendamment et rapporté par trois équipes, dont Jann Horn de Google Project Zero, Werner Haas et Thomas Prescher de Cyberus Technology et Daniel Gruss, Moritz Lipp, Stefan Mangard et Michael Schwarz de l’Université de Technologie de Graz en Autriche.

Spectre a été découvert indépendamment par deux personnes, dont Horn et Paul Kocher, qui ont travaillé en collaboration avec Daniel Genkin, de l’Université de Pennsylvanie et de l’Université du Maryland, Mike Hamburg de la firme technologique Rambus, Lipp et Yuval Yarom de l’Université d’Adelaide et Data61 .

Qu’en est-il des services cloud ?
Le problème est amplifié pour les services cloud tels que les services Web d’Amazon et la plate-forme cloud de Google, en raison de l’importance de leurs ressources informatiques et de l’impact potentiel sur les performances des correctifs.

Amazon a déclaré qu’il était en train de patcher les systèmes avec un «petit pourcentage à un chiffre» de ses systèmes Amazon Web Services EC2 déjà protégés, mais que «les clients doivent également patcher leurs systèmes d’exploitation d’instance» pour être entièrement protégés.

Google a également déclaré que la majorité de ses systèmes avaient été mis à jour, mais que certaines actions supplémentaires de la part des clients pourraient être nécessaires pour Compute Engine et d’autres systèmes Cloud Platform.

Microsoft a déclaré qu’il était en train de déployer des correctifs sur ses systèmes cloud de Azure.

Cet article a été modifié pour la dernière fois le 26 avril 2018 23h52

Fayçal