Meltdown/Spectre : ce qu'il faut savoir sur la faille des processeurs
Intel, Apple et Microsoft dans l'œil du cyclone
Publié le 04/01/18 à 12h02 | Mis à jour le 05/01/18 à 14h13
Des failles touchant au cœur un grand nombre de processeurs affolent les utilisateurs, surtout que les correctifs qui seront sous peu déployés pour les corriger devraient réduire drastiquement les performances de certaines puces sur certaines applications. Les CPU d'Intel — largement majoritaires sur le marché — seraient plus particulièrement concernés.
Mise à jour
05/01/2018 à 11:03
Sur le même sujet, lire également :
- Apple confirme que ses produits sont touchés par Meltdown et Spectre
- Meltdown : certains antivirus bloquent le patch de Microsoft
C'est une série de correctifs sous embargo pour les systèmes d'exploitation Linux (nommée KPTI, pour Kernel Page-Table Isolation), Windows et macOS qui a — en premier lieu — alerté sur l'existence d'une faille matérielle non documentée, mais visiblement critique, présente sur certains processeurs. Une vulnérabilité qui, hier, a enflammé la Toile, et pour cause : les patchs développés pour la colmater ont une incidence sur les performances des processeurs et pourraient réduire leur rendement de 5 à 30 %. Au départ, Intel semblait être le seul fabricant de CPU touché, mais il s'avère finalement que plusieurs processeurs sur architecture ARM sont également concernés, au même titre que certaines puces conçues par IBM. Seul AMD serait épargné.
Intel plus particulièrement dans le viseur
Cela reste une très mauvaise nouvelle pour Intel dont les puces seraient les plus impactées. Les résultats de tests préliminaires menés sur des processeurs de la famille Skylake après application des correctifs ne sont pas encourageants et témoignent de chutes de performances de l'ordre de 7 à 33 %. Mais attention, toutes les tâches confiées aux processeurs ne sont pas impactées de la même manière. Tout ce qui touche à la compilation débouche en effet sur de fortes baisses de performances, alors que dans les jeux, l'application des patchs de sécurité n'entraînerait quasi aucune différence. Pour l'heure, il est impossible de dresser un tableau d'ensemble, mais il ne fait aucun doute que nous pourrons rapidement nous faire une idée de l'incidence globale de ces correctifs sur le marché des processeurs, une fois que les patchs finaux auront pu être testés système par système, application par application.
Dans ce contexte, la réaction d'Intel était fortement attendue. Mais alors que des mises à jour seraient en cours de préparation pour le 9 janvier prochain (date de fin d'embargo), il faut pour l'heure se contenter d'un communiqué laconique qui vise surtout à rassurer les utilisateurs tout en insistant sur le fait qu'Intel n'est pas seul concerné dans cette affaire. Le communiqué prend d'ailleurs un soin tout particulier à citer AMD et ARM. Intel — comme les autres — était évidemment au courant de cette faille depuis quelque temps, ses ingénieurs ayant commencé à travailler sur des correctifs avant que l'affaire ne soit divulguée, et ce alors que la firme mettait au point un plan de communication auprès de ses partenaires.
Les révélations de Project Zero
C'est Google qui — par l'intermédiaire de son Project Zero — a finalement détaillé avant tout le monde la faille dont il est question et dont existent en réalité plusieurs variantes. Exploitables par l'intermédiaire de code JavaScript malveillant, ces failles sont désormais connues sous les noms Meltdown (découverte par trois groupes de chercheurs) et Spectre (découverte uniquement par Google), et concernent un défaut situé au niveau du design de la gestion de la mémoire virtuelle utilisée lors de l'exécution de processus dans le noyau des systèmes d'exploitation.
Ces failles exploitent le fait que les processeurs modernes utilisent plus ou moins intensivement la prédiction pour accélérer leurs calculs. Si ces prédictions sont bonnes, les calculs sont intégrés au flux de travail du processeur. Si elles s'avèrent être fausses, les calculs sont écartés. Or, ces opérations mises de côté ont tout de même un impact sur le système, pouvant notamment entraîner un chargement de données dans la mémoire cache, d'où l'existence d'un risque. La prédiction de branchement des processeurs Intel étant sollicitée de manière particulièrement intensive, c'est la raison pour laquelle ces puces seraient les plus impactées par les correctifs en préparation.
Les informations concernant Spectre, une vulnérabilité à un niveau matériel plus global, témoignent d'attaques réalisées avec succès sur des puces ARM, mais également AMD (qui ne serait donc pas totalement à l'abri). Si Meltdown semble être une faille assez facile à colmater, le cas de Spectre est donc plus complexe et nécessitera probablement un travail à plus long terme. Bien évidemment, les fournisseurs de services en ligne hébergeant des données dans le cloud seront les premiers à sauter sur les correctifs dès qu'ils seront disponibles de sorte à protéger leurs clients. Comme l'indiquent nos confrères d'ArsTechnica, ces failles présentent finalement un risque moins important pour les utilisateurs lambda de PC. "Si elles peuvent être exploitées pour étendre la portée d'une vulnérabilité existante, aucune des deux n'est suffisante en elle-même pour mettre en péril la sécurité d'un navigateur Internet, par exemple", expliquent-ils. Il est fort probable que chez Intel comme ailleurs, les architectures processeurs soient à l'avenir retravaillées pour éviter que les calculs opérés dans le cadre de la prédiction ne puissent obtenir et conserver un accès à la mémoire du noyau.

Jérôme Cartegini Journaliste 2.0, rêve d’écrire des articles 3D diffusés en hologrammes... Ses publications

Mathieu Chartier Dans l'actu. Vigie 3.0, son réseau neuronal artificiel digère les fils de news en anticipation. Passion machine à écrire. Je suis PC. Ses publications
Prolonger :
Censure et chaussettes roses - Le Monde diplomatique (a/s de l'orientation de l'information par les GAFAM)
Le numérique de plus en plus foireux : les microprocesseurs ne sont pas sûrs
Peut-on fabriquer un téléphone équitable ?
Un ex-cadre de Facebook ne veut pas de "cette merde" pour ses enfants
Explication des bugs de la SNCF, du ministère de la défense, de ...
Airbnb : la fraude fiscale en quelques clics avec la complicité du pouvoir
Ccleaner a été piraté pour récupérer des données sur les PC
lesechos.fr Le piratage massif de CCleaner cachait une attaque ciblée
Des hackers chinois prennent le contrôle de voitures Tesla
Deux chercheurs parviennent à pirater une voiture à distance
Superfail Linky, un compteur intelligent un peu bête
Superfail L'avion F-35, un échec volant
Superfail APB ou l'échec des Admissions Post-Bac
Superfail SAIP, l’appli d’alerte attentat qui n’a jamais fonctionné
Des hackers piratent une voiture pour dénoncer les failles de sécurité
Une panne informatique empêche des centaines d’avions de décoller dans le monde entier !
Des données personnelles très convoitées - Le Monde
Unité 61 398, l'armée des hackers chinois - Libération
Cyberattaque WannaCry: Microsoft met en cause la NSA
Faille Windows : Après WannaCry voici Adylkuzz
Une association française porte plainte contre Apple pour "obsloescence programmée" - Le Monde
tempsreel.nouvelobs.com Comment Apple, Samsung et Microsoft organisent l'obsolescence forcée
Google accusé d'avoir espionné les iPhone des Britanniques
Google, espion de vos déplacements ? Voici comment ... - La Libre.be
Google collecte en douce et en permanence votre localisation
La Google Home Mini espionne les conversations - Les Numériques
Un bug rappelle que Google espionne les Google Docs - Arrêt sur images
20minutes.fr Google fait pression sur la presse
Snapchat peut faire ce qu'il veut de vos photos
Amazon en justice pour pratiques abusives envers ses fournisseurs
Pourquoi Uber incarne tous les vices de la Silicon Valley
Hayek : Capitalisme ou démocratie, mais pas les deux à la fois
franceculture.fr Le néolibéralisme américain : justification rationnelle de la criminalité...
franceculture.fr Dominer l’informatique avec Gérard Berry
franceculture.fr "Quand on est livreur, on se fait enc*** par les plateformes numériques"
francetvinfo.fr RYANAIR : "Des pilotes s'endorment en vol"
franceculture.fr L'impact du numérique sur l'environnement
ebusiness-one.be Empreinte écologique d'internet