Meltdown et Spectre sont les noms donnés à deux failles de sécurité majeures annoncées début janvier 2018 par deux chercheurs du projet Google Zero. Ces failles ne sont pas de banales failles logicielles, mais des failles de sécurité directement liées à la manière dont certains processeurs sont conçus, en particulier les processeurs Intel, AMD et ARM. Elle donnent accès à la mémoire système, et de là à une infinité de manières de pirater un ordinateur, un smartphone voire une tablette. Des patchs de sécurité sont en cours de publication, mais ceux-ci pourraient lourdement impacter les performances de certaines machines.

Mercredi 3 janvier 2018, dans la soirée, deux équipes de chercheurs emmenées par Jann Horn (Google Project Zero) ont révélé l'existence de deux failles de sécurité majeures affectant virtuellement tous les processeurs Intel fabriqués depuis 1995 à nos jours, ainsi que potentiellement des processeurs AMD et ARM. Il s'agit de failles un peu particulières puisque celles-ci sont liées à la manière dont les processeurs sont concrètement conçus. Des patchs commencent à être déployés mais ces derniers impactent parfois lourdement les performances des machines touchées. Les risques pour la sécurité sont pourtant tels qu'il est vivement conseillé d'appliquer dès que possible le correctif.

Meltdown et Spectre : qu'est-ce que c'est ?

Meltdown casse la barrière qui isole normalement les applications de l'utilisateur du système d'exploitation. Cette faille permet donc à un programme spécialement conçu d'accéder à la mémoire vive, et de là à quantité d'informations sensibles comme vos mots de passe, clés de chiffrement… En bref, grâce à Meltdown, ce sont des dispositifs de sécurité vraiment basiques qui s'effondrent : vous pouvez en théorie prendre le contrôle de n'importe quel système affecté par le problème et en découvrir tous les secrets simplement en utilisant l'exploit.

Spectre casse quant à lui la barrière entre les applications. On peut grâce à Spectre obtenir des informations sensibles sur des applications en cours d'exécution, même si celles-ci sont particulièrement bien cadenassées. Spectre est plus difficile à exploiter que Meltdown, mais est également plus difficile (voire impossible) à patcher. Faisant peser un risque sérieux et permanent sur la sécurité des données de vos applications.

Est-ce dangereux ? Quels sont les risques ?

Ces deux failles sont extrêmement dangereuses car, on vous le disait, elles concerne de nombreux ordinateurs (et autres smartphones et tablettes) vendus potentiellement depuis 1995. On ne peut pas vraiment détecter une intrusion via cette attaque : aucune trace n'est laissée dans aucun log système. Le payload contenant Meltdown et/ou Spectre, autrement dit la partie du code malicieuse dans une application leurre, est par ailleurs plus difficile à détecter pour les antivirus. Les chercheurs de Google expliquent néanmoins que les logiciels antivirus pourront détecter ultérieurement les deux failles dans certains cas par comparaison du code.

On le voit, Meltdown et Spectre permettent, via une attaque indétectable, de soutirer des informations potentiellement très sensibles de votre ordinateur. On ne sait pas pour l'instant si cette faille a déjà été exploitée par le passé, ou si des groupes de hackers et services de renseignements l'utilisent encore aujourd'hui. Le problème c'est que les failles matérielles de ce type ne sont pas si faciles à patcher – cela se fait au prix de compromis assez imparfaits, voire inacceptables pour certains utilisateurs. Voici à quoi ressemble l'extraction des données issues de votre RAM via l'exploit Meltdown – tout ce qui passe par le processeur est en clair !

Quels sont les ordinateurs, smartphones et tablettes concernés par Spectre et Meltdown ?

Les chercheurs ont principalement testé leurs exploits sur des processeurs Intel lancés jusqu'en 2011. Ils affirment que toutes les machines dotées d'un processeur Intel vendues depuis 1995 jusqu'à nos jours sont concernées. Cela représente donc déjà une majorité de PC, mais aussi les macs qui n'utilisent plus de processeurs PowerPC depuis 2006. Dans un premier temps, les chercheurs de Google Zero expliquaient qu'ils ne savaient pas si les processeurs AMD et ARM éteint également touchés. Or on apprend que les chercheurs ont également fini par faire fonctionner une variante de Meltdown sur un processeur AMD FX-8320, et un AMD Pro A8-9600 R7.

Tous les processeurs AMD n'ont pas encore été testés, on ne sait donc pas pour le moment l'étendue du problème dans le lineup de la firme. AMD explique dans un post que le problème peut être résolu via une mise à jour “avec un impact négligeable sur les performances“. Le fabricant de SoC et processeurs mobile ARM a également reconnu que certains de ses coeurs, les Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 et A75 peuvent être affectés par une variante ou une autre de ces exploits. Les Cortex sont souvent intégrés dans des SoC fabriqués par des concurrents, qui eux-même sont intégrés dans les smartphones et tablettes.

Par exemple le tout dernier Snapdragon 845 qui se retrouvera notamment dans le Galaxy S9 devrait comporter quatre coeurs Cortex A75 concernés par la faille et quatre coeurs Cortex A53 (non concernés officiellement). Les S9 et autres smartphones sous Exynos 9810 sont a priori épargnés par la faille. Tandis que ceux sous le nouveau Kirin 970 comme le Huawei Mate 10 contiennent des Cortex A73, et peuvent donc être en théorie touchés. On ne sait pas encore si les SoC Apple sont également affectés – ils embarquent normalement eux-aussi des coeurs ARM. Que les possesseurs d'iPhone voient à nouveau les performances de leur smartphone réduites après le scandale des batteries serait sans aucun doute plein d'ironie.

Le patch contre Meltdown et Spectre affecterait lourdement les performances : faut-il vraiment faire le correctif ?

On vous le disait, patcher un problème de conception matérielle avec une solution logicielle n'est pas facile. C'est même pratiquement mission impossible. Néanmoins les ingénieurs de Google Zero ont prévenu les entreprises concernées depuis déjà plusieurs mois. Microsoft, Apple, Linux Foundation… tous ont annoncé ou ont déjà déployé des correctifs. Android ne sera pas de reste, avec une mise à jour de sécurité dès vendredi. Les navigateurs web Chrome et Firefox vont également publier un patch pour éviter tout risque d'attaque via le web. Or, ces correctifs ont tous le même prix : un impact plus ou moins important sur les performances.

Les premiers tests montrent d'ailleurs que cela risque de ne pas du tout faire les affaires de nombreux utilisateurs : les pertes sont dans une fourchette de 5% à 30%. Le problème serait particulièrement grave pour les datacenters : les pires baisses de performances touchent en effet surtout les serveurs. Les premiers tests semblent montrer que Or, le problème, c'est que pour l'instant il reste des zones d'ombres sur l'étendue du problème – certains processeurs AMD sont-ils par exemple réellement immunisés contre Meltdown ? D'autant que de nouveaux ordinateurs, smartphones et tablettes vont prochainement sortir avec des processeurs toujours concernés par la faille.

Pour réellement contourner le problème il faudra également concevoir de tous nouveaux processeurs, ce qui peut prendre du temps. En tout cas bien davantage que lorsqu'il s'agit simplement de modifier un bout de code. Bref, hélas, la question de savoir si l'on doit ou non appliquer le correctif ne se pose plus vraiment, maintenant que les failles sont divulguées. À moins que vous souhaitiez laisser n'importe qui pirater vos mots de passes et autres données sensibles à votre insu… Il ne vous reste plus qu'à croiser les doigts pour que dans votre cas, cela n'impacte pas trop les performances de votre ordinateur.

Les premiers tests sous Windows 10 sont d'ailleurs plutôt rassurants avec une différence de l'ordre de 5% voire moins pour des applications courantes, transferts de fichiers et jeux vidéo.

Comment vraiment se débarrasser une bonne fois pour toutes de Meltdown et Spectre ?

À terme pour réellement se débarrasser de ces failles de sécurité sans le moindre impact sur les performances, il faudra nécessairement changer de matériel. On ne peut pas changer le design d'un processeur ou SoC une fois qu'il a été forgé. Une option d'autant plus incontournable que s'il existe un correctif pour empêcher Meltdown, il n'en existe pas vraiment pour Spectre, l'exploit qui permet d'accéder aux données sensibles d'autres applications. Du coup si la sécurité est un incontournable pour vous, vous en êtes quitte pour mettre votre ordinateur à la poubelle. Mais il y a un autre problème : savoir par quoi le remplacer.

Car il faudra certainement du temps pour savoir si d'autres processeurs AMD, ou ARM ne sont pas également touchés. Il faudra aussi certainement du temps pour qu'une nouvelle architecture évitant par design ce type de faille ne soit conçue. La conception de nouveaux processeurs peut prendre un temps relativement long en fonction des cas de figure et de l'équipe qui s'y consacre – de 1 à 10 ans. Les failles découvertes par Google Project Zero risquent d'obliger les ingénieurs à revoir de fond en comble le fonctionnement du processeur ce qui peut prendre potentiellement encore plus de temps.

Conclusion : il va falloir s'armer de patience

Le caractère matériel de cette faille de sécurité est, on le voit, particulièrement handicapant. Les failles matérielles Meltdown et Spectre font en effet sauter un verrou fondamental de la sécurité des systèmes d'exploitation. Sans qu'il soit possible de totalement colmater la brèche. La faille touche la plupart des ordinateurs du marché, et virtuellement tous les OS. Mais aussi, potentiellement, de nombreux smartphones et tablettes sous ARM (et Android). Il ne semble pas qu'il y ait pour l'heure d'alternative raisonnable à appliquer le correctif en attendant de changer de machine lorsque celle-ci sera vraiment en fin de vie. Les alternatives qui vous garantissent à 100% de ne pas être touché par le problème n'étant pas encore sur le marché.