Meltdown et Spectre : qu’est-ce que c’est et pourquoi ces failles de sécurité sont graves ?

Meltdown et Spectre sont les noms donnés à deux failles de sécurité majeures annoncées début janvier 2018 par deux chercheurs du projet Google Zero. Ces failles ne sont pas de banales failles logicielles, mais des failles de sécurité directement liées à la manière dont certains processeurs sont conçus, en particulier les processeurs Intel, AMD et ARM. Elle donnent accès à la mémoire système, et de là à une infinité de manières de pirater un ordinateur, un smartphone voire une tablette. Des patchs de sécurité sont en cours de publication, mais ceux-ci pourraient lourdement impacter les performances de certaines machines.

meltdown intel

Mercredi 3 janvier 2018, dans la soirée, deux équipes de chercheurs emmenées par Jann Horn (Google Project Zero) ont révélé l'existence de deux failles de sécurité majeures affectant virtuellement tous les processeurs Intel fabriqués depuis 1995 à nos jours, ainsi que potentiellement des processeurs AMD et ARM. Il s'agit de failles un peu particulières puisque celles-ci sont liées à la manière dont les processeurs sont concrètement conçus. Des patchs commencent à être déployés mais ces derniers impactent parfois lourdement les performances des machines touchées. Les risques pour la sécurité sont pourtant tels qu'il est vivement conseillé d'appliquer dès que possible le correctif.

Meltdown et Spectre : qu'est-ce que c'est ?

Meltdown casse la barrière qui isole normalement les applications de l'utilisateur du système d'exploitation. Cette faille permet donc à un programme spécialement conçu d'accéder à la mémoire vive, et de là à quantité d'informations sensibles comme vos mots de passe, clés de chiffrement… En bref, grâce à Meltdown, ce sont des dispositifs de sécurité vraiment basiques qui s'effondrent : vous pouvez en théorie prendre le contrôle de n'importe quel système affecté par le problème et en découvrir tous les secrets simplement en utilisant l'exploit.

Spectre casse quant à lui la barrière entre les applications. On peut grâce à Spectre obtenir des informations sensibles sur des applications en cours d'exécution, même si celles-ci sont particulièrement bien cadenassées. Spectre est plus difficile à exploiter que Meltdown, mais est également plus difficile (voire impossible) à patcher. Faisant peser un risque sérieux et permanent sur la sécurité des données de vos applications.

Est-ce dangereux ? Quels sont les risques ?

Ces deux failles sont extrêmement dangereuses car, on vous le disait, elles concerne de nombreux ordinateurs (et autres smartphones et tablettes) vendus potentiellement depuis 1995. On ne peut pas vraiment détecter une intrusion via cette attaque : aucune trace n'est laissée dans aucun log système. Le payload contenant Meltdown et/ou Spectre, autrement dit la partie du code malicieuse dans une application leurre, est par ailleurs plus difficile à détecter pour les antivirus. Les chercheurs de Google expliquent néanmoins que les logiciels antivirus pourront détecter ultérieurement les deux failles dans certains cas par comparaison du code.

On le voit, Meltdown et Spectre permettent, via une attaque indétectable, de soutirer des informations potentiellement très sensibles de votre ordinateur. On ne sait pas pour l'instant si cette faille a déjà été exploitée par le passé, ou si des groupes de hackers et services de renseignements l'utilisent encore aujourd'hui. Le problème c'est que les failles matérielles de ce type ne sont pas si faciles à patcher – cela se fait au prix de compromis assez imparfaits, voire inacceptables pour certains utilisateurs. Voici à quoi ressemble l'extraction des données issues de votre RAM via l'exploit Meltdown – tout ce qui passe par le processeur est en clair !

Quels sont les ordinateurs, smartphones et tablettes concernés par Spectre et Meltdown ?

Les chercheurs ont principalement testé leurs exploits sur des processeurs Intel lancés jusqu'en 2011. Ils affirment que toutes les machines dotées d'un processeur Intel vendues depuis 1995 jusqu'à nos jours sont concernées. Cela représente donc déjà une majorité de PC, mais aussi les macs qui n'utilisent plus de processeurs PowerPC depuis 2006. Dans un premier temps, les chercheurs de Google Zero expliquaient qu'ils ne savaient pas si les processeurs AMD et ARM éteint également touchés. Or on apprend que les chercheurs ont également fini par faire fonctionner une variante de Meltdown sur un processeur AMD FX-8320, et un AMD Pro A8-9600 R7.

Tous les processeurs AMD n'ont pas encore été testés, on ne sait donc pas pour le moment l'étendue du problème dans le lineup de la firme. AMD explique dans un post que le problème peut être résolu via une mise à jour “avec un impact négligeable sur les performances“. Le fabricant de SoC et processeurs mobile ARM a également reconnu que certains de ses coeurs, les Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 et A75 peuvent être affectés par une variante ou une autre de ces exploits. Les Cortex sont souvent intégrés dans des SoC fabriqués par des concurrents, qui eux-même sont intégrés dans les smartphones et tablettes.

Par exemple le tout dernier Snapdragon 845 qui se retrouvera notamment dans le Galaxy S9 devrait comporter quatre coeurs Cortex A75 concernés par la faille et quatre coeurs Cortex A53 (non concernés officiellement). Les S9 et autres smartphones sous Exynos 9810 sont a priori épargnés par la faille. Tandis que ceux sous le nouveau Kirin 970 comme le Huawei Mate 10 contiennent des Cortex A73, et peuvent donc être en théorie touchés. On ne sait pas encore si les SoC Apple sont également affectés – ils embarquent normalement eux-aussi des coeurs ARM. Que les possesseurs d'iPhone voient à nouveau les performances de leur smartphone réduites après le scandale des batteries serait sans aucun doute plein d'ironie.

Le patch contre Meltdown et Spectre affecterait lourdement les performances : faut-il vraiment faire le correctif ?

On vous le disait, patcher un problème de conception matérielle avec une solution logicielle n'est pas facile. C'est même pratiquement mission impossible. Néanmoins les ingénieurs de Google Zero ont prévenu les entreprises concernées depuis déjà plusieurs mois. Microsoft, Apple, Linux Foundation… tous ont annoncé ou ont déjà déployé des correctifs. Android ne sera pas de reste, avec une mise à jour de sécurité dès vendredi. Les navigateurs web Chrome et Firefox vont également publier un patch pour éviter tout risque d'attaque via le web. Or, ces correctifs ont tous le même prix : un impact plus ou moins important sur les performances.

Les premiers tests montrent d'ailleurs que cela risque de ne pas du tout faire les affaires de nombreux utilisateurs : les pertes sont dans une fourchette de 5% à 30%. Le problème serait particulièrement grave pour les datacenters : les pires baisses de performances touchent en effet surtout les serveurs. Les premiers tests semblent montrer que Or, le problème, c'est que pour l'instant il reste des zones d'ombres sur l'étendue du problème – certains processeurs AMD sont-ils par exemple réellement immunisés contre Meltdown ? D'autant que de nouveaux ordinateurs, smartphones et tablettes vont prochainement sortir avec des processeurs toujours concernés par la faille.

Pour réellement contourner le problème il faudra également concevoir de tous nouveaux processeurs, ce qui peut prendre du temps. En tout cas bien davantage que lorsqu'il s'agit simplement de modifier un bout de code. Bref, hélas, la question de savoir si l'on doit ou non appliquer le correctif ne se pose plus vraiment, maintenant que les failles sont divulguées. À moins que vous souhaitiez laisser n'importe qui pirater vos mots de passes et autres données sensibles à votre insu… Il ne vous reste plus qu'à croiser les doigts pour que dans votre cas, cela n'impacte pas trop les performances de votre ordinateur.

Les premiers tests sous Windows 10 sont d'ailleurs plutôt rassurants avec une différence de l'ordre de 5% voire moins pour des applications courantes, transferts de fichiers et jeux vidéo.

Comment vraiment se débarrasser une bonne fois pour toutes de Meltdown et Spectre ?

À terme pour réellement se débarrasser de ces failles de sécurité sans le moindre impact sur les performances, il faudra nécessairement changer de matériel. On ne peut pas changer le design d'un processeur ou SoC une fois qu'il a été forgé. Une option d'autant plus incontournable que s'il existe un correctif pour empêcher Meltdown, il n'en existe pas vraiment pour Spectre, l'exploit qui permet d'accéder aux données sensibles d'autres applications. Du coup si la sécurité est un incontournable pour vous, vous en êtes quitte pour mettre votre ordinateur à la poubelle. Mais il y a un autre problème : savoir par quoi le remplacer.

Car il faudra certainement du temps pour savoir si d'autres processeurs AMD, ou ARM ne sont pas également touchés. Il faudra aussi certainement du temps pour qu'une nouvelle architecture évitant par design ce type de faille ne soit conçue. La conception de nouveaux processeurs peut prendre un temps relativement long en fonction des cas de figure et de l'équipe qui s'y consacre – de 1 à 10 ans. Les failles découvertes par Google Project Zero risquent d'obliger les ingénieurs à revoir de fond en comble le fonctionnement du processeur ce qui peut prendre potentiellement encore plus de temps.

Conclusion : il va falloir s'armer de patience

Le caractère matériel de cette faille de sécurité est, on le voit, particulièrement handicapant. Les failles matérielles Meltdown et Spectre font en effet sauter un verrou fondamental de la sécurité des systèmes d'exploitation. Sans qu'il soit possible de totalement colmater la brèche. La faille touche la plupart des ordinateurs du marché, et virtuellement tous les OS. Mais aussi, potentiellement, de nombreux smartphones et tablettes sous ARM (et Android). Il ne semble pas qu'il y ait pour l'heure d'alternative raisonnable à appliquer le correctif en attendant de changer de machine lorsque celle-ci sera vraiment en fin de vie. Les alternatives qui vous garantissent à 100% de ne pas être touché par le problème n'étant pas encore sur le marché.


Réagissez à cet article !

Demandez nos derniers articles !

Android : beaucoup l’ignorent, mais ce petit réglage permet de booster l’autonomie de votre smartphone

Génération après génération, nos smartphones embarquent des batteries toujours plus performantes et endurantes. Néanmoins, cela va de pair avec la consommation énergétique des applications. Une option méconnue permet justement de…

Test Honor MagicBook 16 de 2026 : le PC portable à 1000 euros vaut-il le coup ? (spoiler : on hésite !)

Honor continue de fournir des configurations à moins de 1000 euros, censées répondre à toutes les attentes. Mais en 2026, le MagicBook 16 a-t-il encore tous les atouts pour nous…

PlayStation : Sony profite de la mort du marché physique pour annoncer celle des stores PS3 et PS Vita

Grosse journée pour Sony qui, non content d’avoir mis à mort le jeu vidéo au format physique, vient également d’annoncer la fermeture de ses stores PS3 et PS Vita. Puisqu’on…

AliExpress dévoile une avalanche de promotions avec de nouveaux codes, les prix cassés sont au rendez-vous

Les opérations promotionnelles reprennent chez AliExpress. En parallèle des soldes, la plateforme casse le prix de nombreux produits high-tech avec des remises immédiates auxquelles s’ajoutent des codes promo cumulables. Smartphones,…

Ninja SLUSHi : avec cette double promotion, la machine à boissons glacées passe à prix mini, c’est parfait pour l’été !

Vous en avez marre de subir les journées de canicule ? Vous voulez une solution pour vous rafraîchir cet été ? Ninja propose en ce moment une double promotion sur…

Orange lance un forfait 5G gratuit avec 20 Go de data, qui en veut ?

Pour attirer les clients, Orange propose un essai gratuit donnant accès à un forfait mobile 5G avec 20 Go de data pendant 31 jours. Une condition pour en profiter :…

Ce détail oublié dans le passé d’une Tesla explique la dégradation surprenante de sa batterie

Le kilométrage ne dit pas tout sur la santé d’une batterie électrique. Une Tesla Model 3 en fait la démonstration parfaite. Son résultat déjoue les attentes de son conducteur, pourtant…

PlayStation annonce la fin des jeux physiques en 2028, la PS6 signe la mort du disque

Janvier 2028. Sony date la fin du support physique sur disque pour ses consoles PlayStation. Un véritable séisme qui va secouer le marché du jeu vidéo à tout jamais. Coup…

BMW dégaine l’iX5 et pulvérise ses rivaux avec une autonomie que personne n’attendait

BMW poursuit son offensive dans l’électrique haut de gamme. La marque dévoile l’iX5, la déclinaison zéro émission de son best-seller. Son autonomie annoncée grimpe à un niveau rarement atteint sur…

Cette découverte cachée sous la surface de Mars pourrait expliquer pourquoi la planète a été habitable

La planète rouge cachait un secret dans ses profondeurs. Des données de la sonde InSight révèlent un phénomène jusqu’ici observé uniquement sur Terre. Mars aurait pu rester habitable bien plus…