Spectre et Meltdown, les cauchemars informatiques de 2018

Spectre et Meltdown, deux noms de cyberattaques qui font trembler le milieu informatique depuis quelques jours. Une enquête du magazine en ligne Register a confirmé une rumeur qui courait depuis quelques semaines : un groupe de chercheurs et d'ingénieurs en informatique a réussi à exploiter des failles présentes dans quasiment tous les processeurs Intel construits depuis 1995, mais aussi dans ceux de ses principaux concurrents ARM et AMD. Ces cyberattaques permettraient notamment la récupération de toutes les données qui ont transité par le processeur. 

En quoi consistent ces failles ? 

Tout commence avec les processeurs. Ces puces sont l'équivalent du cerveau de l'ordinateur, de la tablette, du serveur ou du smartphone : elles effectuent les calculs nécessaires au fonctionnement de l'appareil et des logiciels installés. Ainsi, comme l'explique Le Monde, toutes les données générées sur le système transitent forcément par le processeur. Au moment du traitement de ces données, elles sont censées être cantonnées à des zones étanches, et c'est là qu'interviennent Spectre et Meltdown (ce dernier terme peut être traduit par "effondrement").

En contournant les protections de ces "zones étanches" et supposées inaccessibles, il est possible d'obtenir les copies des données traitées : mots de passe, documents, e-mails... Et comme les attaques visent un composant physique de la machine, tous les systèmes d'exploitation sont concernés : Windows, Android, iOS... 

Meltdown donne accès à des données issues du "kernel", noyau ultraprotégé d'un ordinateur qui fait le lien entre le matériel et les logiciels. Spectre, lui, irait plus loin encore, en cassant l'isolation entre "les zones étanches". Un pirate informatique pourrait ainsi naviguer entre les différentes applications pour y piocher toutes les données. La différence majeure entre les deux menaces résiderait dans leur accessibilité pour les pirates. D'après les chercheurs, Spectre nécessiterait ainsi davantage d'habileté en hacking que Meltdown.

Quelles sont les réactions ?  

Pour les experts en cybersécurité, l'inquiétude est le maître-mot. Pourtant, la rumeur courait depuis quelque temps. Depuis des mois, les chercheurs travaillaient sur ces failles et avaient fini par avertir certains fabriquants en toute discrétion, leur laissant le temps de chercher des solutions. Le secret devait être levé le 9 janvier. Mais il a été ébruité par le Register, un site d'information britannique spécialisé dans les nouvelles technologies, six jours avant la date initialement décidée. Les universitaires et les ingénieurs de Google's Project Zero et de Cyberus Technology ont alors publié leurs résultats.

Google et Android, Microsoft, Apple, Amazon, Linux... Les entreprises concernées par Meltdown ont annoncé qu'elles planchent sur des mesures pour endiguer les lacunes du processeur. Dans sa note technique, Apple est d'ailleurs sorti de son silence en confirmant que les Mac, iPhone, iPad et Apple TV sont vulnérables face aux deux attaques. L'entreprise tente de rassurer : "Aucune attaque connue n'a d'impact sur les clients pour le moment". 

Ces menaces ne laissant aucune trace, il est pour le moment impossible de savoir si ces failles ont déjà été exploitées par des pirates informatiques. Concernant Meltdown, Mikael Moreau, d'Intel France, tentait de rassurer auprès du Parisien : "Il n'y a pas eu de cas concret d'exploitation de cette faille". Selon CNBC, l'entreprise annonce que d'ici la semaine prochaine, 90% des processeurs mis sur le marché ces cinq dernières années pourraient être protégés.

Comment s'en protéger ?

La mauvaise nouvelle, c'est que presque tous les appareils connectés sont concernés. A priori, les risques sont plus grands pour les services de Cloud que pour les ordinateurs personnels. Comme un serveur héberge généralement les données de plusieurs clients, si l'un d'entre eux est un pirate, il peut exploiter ce bug pour récupérer les informations des autres.

Pour les particuliers, il faut d'abord que le pirate installe un logiciel malveillant pour exploiter le bug. Cela passe par un e-mail d'"hameçonnage" ou le téléchargement d'une application infectée. La Fondation Mozillla indique qu'une simple visite sur un site vérolé pourrait suffire aux hackers. Au cours du mois de janvier, des mises à jour contenant les "patchs" correctifs devraient être proposées pour tous les systèmes d'exploitation récents. Agissant comme une rustine, ils permettraient de rendre au processeur son étanchéité et, ainsi, de protéger les données. 

En revanche pour Spectre, la situation est plus compliquée car le bug est inhérent à la construction du processeur. 

Autre problème évoqué : l'impact de ces patchs sur la performance des appareils. Les correctifs s'appliquant à un composant physique qui n'était pas censé les recevoir, "c'est comme mettre des boulets à un coureur de 100 mètres, même si Windows ne sera finalement qu'un peu plus lent", explique au Parisien Arnaud Kopp, expert en cybersécurité. Nicolas Sadirac, directeur de l'école 42, estime une baisse de performance de "5 à 10%", loin des premières estimations de 30%.

 Et la suite ? 

Si des solutions sont déjà à l'œuvre pour Meltdown, Spectre risque de s'inscrire dans le long terme. Ce bug informatique pourrait obliger toute l'industrie informatique à repenser le processeur. Une menace qui a d'ailleurs donné son surnom à l'attaque : "Comme elle est difficile à contrecarrer, cette attaque va nous hanter pour un bon moment", écrivaient les chercheurs qui l'ont nommée.

Pour Intel, les conséquences de cette découverte risquent de peser lourd, puisqu'en seulement deux jours, l'action de l'entreprise a perdu environ 5% de sa valeur. Son PDG, Brian Krzanich, devrait s'exprimer lundi 8 janvier, en ouverture du CES, le salon des nouvelles technologies de Las Vegas. L'occasion, peut-être, de répondre à la presse américaine qui s'interroge sur la vente, en novembre 2017, des parts de la société pour un montant de 39 millions de dollars. Une vente intervenue alors qu'Intel avait déjà connaissance des failles de ses processeurs.