Close
  • Français
  • English

13/01/2018MELTDOWN et SPECTRE (Général Marc Watin-Augouard)

Comme s’il fallait donner une raison de plus d’aller au FIC (23 et 24 janvier prochains à Lille), les chercheurs du programme Project Zero de Google, dont la mission est de trouver des failles « zero day »[1], ont révélé, le 3 janvier 2018 avoir découvert deux failles, dénommés Meltdown et Spectre, permettant la captation de données.

En cause, les processeurs Intel, mais aussi ceux des concurrent AMD et ARM. Les puces en cause équipent de très nombreux appareils utilisés par des particuliers, des administrations ou des entreprises : smartphones, ordinateurs, tablettes, serveurs, etc. Un processeur, composant présent dans de nombreux dispositifs informatiques, est doté d’une mémoire protégée (Meltdown et Spectre prouvent le contraire) ; il permet le traitement en temps réel des données et exécute les instructions que les programmes donnent aux machines. Meltdown permet d’accéder au « noyau », le kernel, partie d’un système d’exploitation qui permet d’exécuter les programmes, qui fait le lien entre le matériel est les logiciels. Spectre, dont il sera plus difficile de se débarrasser du fait de son périmètre (il concerne tous les processeurs), va jusqu’à créer une perméabilité entres machines virtuelles et hyperviseurs.

Tous les systèmes d’exploitation (OS ou Operating System), intermédiaires entre le processeur et les logiciels, sont concernés. Les deux formes d’attaque qui pourraient en découler permettraient de contourner les protections des données et donc d’y accéder pour les extraire. Parmi ces données, les mots de passe, les identifiants, les données bancaires, etc. Sauf à mettre en place de nouvelles puces, ce qui n’est pas pour demain, seules des solutions de contournement sont envisageables, au risque de perdre en performance.

Les hébergeurs informatiques du cloud sont directement concernés, et ce d’autant plus que le cloisonnement des machines virtuelles, clé de leur business model, est remis en question. Et plus ces failles seront corrigées, plus l’impact sur les performances, et donc le coût de ce colmatage, risquent d’être lourd. Octave Klaba, passé maître en communication de crise informatique, explique en temps réel sur son compte Twitter comment OVH gère la situation.

Après Wannacry et NotPetya, Meltdown et Spectre soulignent la grande fragilité de l’espace numérique hyperconnecté. En l’espèce, les puces n’ont pas été sécurisées dès leur conception (by design). La responsabilité des concepteurs est engagée.