Spectre et Meltdown : pourquoi les failles de sécurité que l’on vient de détecter dans les micro-processeurs relèvent du jamais-vu en termes de gravité

Atlantico : Spectre et Meltdown, deux failles de sécurité concernant les processeurs AMD, ARM et Intel, ont été mises à jour, entre autres, par les chercheurs du Google's projet zero, et permettraient à des logiciels malveillants d'accéder à des informations confidentielles. Quelles sont les principales cibles potentielles ? Quels sont les risques encourus par les utilisateurs failles ? 

Gérome Billois : sCes failles permettent d'accéder par un simple programme, une simple application, à l'ensemble des données contenues dans un ordinateur. Elles permettent finalement d'aller regarder ce qui se passe dans le cœur même du fonctionnement de l'ordinateur et donc d'accéder à toutes les données qu'il manipule mais aussi d'aller voir les données que manipulent d'autres applications. Aujourd'hui, lorsque l'on lance une application, elle a son environnement à elle, et puis on lance une autre application qui a aussi le sien et tout cela est cloisonné. Mais quand une application veut accéder à autre chose, elle nous demande l'autorisation. Si vous lancez twitter et que vous voulez intégrer une photo, l'application vous demande l'autorisation. Et ces failles permettent de complètement d'annuler, de faire tomber toutes ces protections d'isolation. D’où le nom de Meltdown, parce que les protections fondent à l'intérieur du système.

Cela permet donc à des programmes malveillants d'accéder aux secrets les plus critiques qui sont présents sur les ordinateurs par exemple les mots de passe qui permettent d'accéder à tout le reste.

Les cibles potentielles sont multiples parce que ces failles touchent les particuliers, les entreprises et les gouvernements. Ce sont tous les équipements informatiques produits depuis des années qui sont touchés. On peut donc imaginer des scénarios ou des cybercriminels vont créer un programme malveillant qui va voler des mots de passe et l'envoyer par email à des millions de personnes qui se feront avoir rapidement en cliquant simplement sur un lien ou en lançant une pièce jointe. On peut aussi imaginer, de l'autre côté du spectre, des services de renseignement qui vont piéger des PC de politiques ou de grands industriels pour pouvoir avoir accès aux secrets qui sont sur leur machine grâce à cette faille. Tous les acteurs du cyber sont concernés, du plus petit cyber criminel qui essaye de voler des mots de passe jusqu'aux services de renseignement. Il y a malheureusement déjà des exemples de codes d'exploitation qui commencent à circuler et qui vont rendre plus facile, d'ici quelques jours ou quelques semaines, l'utilisation de cette vulnérabilité, qui sera clairement accessible au plus grand nombre des cyber criminels.  

Il s'agit de la plus large faille connue depuis plusieurs années, elle touche vraiment une très grande partie des ordinateurs et des processeurs, ce qui est extrêmement rare et les impacts potentiels sont de l'ordre du jamais vu.

Ces failles pourraient ne pas pouvoir être corrigées, quelles en sont les conséquences, aussi bien pour les utilisateurs que pour les fabricants ? 

La faille repose sur le matériel, c’est-à-dire que c'est le microprocesseur dans l'ordinateur ou le téléphone qui contient le problème. Donc, pour la résoudre réellement, il faudrait changer le matériel, donc le microprocesseur. Et puisque l'on parle d'une faille qui date de 1995, on peut imaginer le nombre d'ordinateurs qu'il faudrait changer. Physiquement, cela est impossible. Donc, il y a une solution, qui est un peu une verrue, un sparadrap, qui consiste à corriger la faille matérielle en modifiant les logiciels. Et les logiciels rendent l'utilisation de cette faille impossible. C'est ce qui est proposé aujourd'hui et c'est ce que les éditeurs sont en train de faire. Le problème est que cela va avoir un impact potentiel sur les performances. Parce qu'il s'agit d'un plâtre sur une jambe de bois, c'est quelque-chose qui va consommer de l'énergie, de la puissance de calcul pour pouvoir être corrigé. ON parle de réductions de performances entre 0 et 30% selon les usages que l'on a. La conséquence est que peut être qu'un certain nombre d'entreprises vont préférer prendre le risque de garder la faille que de perdre de la performance dans les systèmes. Et là, il y a un vrai gros risque. Parce que si l'on veut vraiment résoudre le problème il faut changer le matériel. Il va falloir attendre que les cycles de renouvellement arrivent, ce qui veut dire 2 ans pour les téléphones, et 4 à 5 ans pour les ordinateurs. Et le nouveau matériel sécurisé ne sera pas disponible avant quelques mois.

Quelles sont les possibilités offertes pour faire face et retrouver un niveau de sécurité acceptable pour les données sensibles ? 

Tous les éditeurs sont en train de sortir les correctifs ; Microsoft avec Windows, Google, Apple etc..donc la priorité numéro 1 est d'appliquer les correctifs dès qu'ils seront disponibles. Le petit souci est que tous ne le font pas encore parce que la révélation officielle de cette faille devait avoir lieu le 9 janvier. Suite à des fuites dans la presse dès le 3 janvier, la révélation a été avancée parce tout le monde commençait à voir qu'il allait y avoir un gros problème qui fait qu'un certain nombre d'éditeurs ne sont pas encore prêts. Nous sommes donc dans une zone un peu rouge ou il faut faire attention et en tout cas ou il faut, pour les particuliers, mettre à jour les systèmes, et pour les entreprises aussi. Ce qui est particulier est que cette faille peut se servir du cloud. Certains gros ordinateurs sont partagés entre plusieurs utilisateurs qui sont souvent d'entreprises différentes. Cette faille permet aussi d'aller voir les données des autres utilisateurs qui sont sur les mêmes systèmes du cloud. Le risque est là pour les entreprises ; qu'il existe un maillon faible dans la liste des utilisateurs. C'est pour cela que les gros hébergeurs et fournisseurs de service cloud ont tous annoncé qu'ils étaient en train de nettoyer les correctifs et qu'ils le font vraiment en urgence parce qu'il y a un vrai risque.