Failles informatiques Meltdown et Spectre : ce que l’on risque concrètement, expliqué simplement

Depuis mercredi, les sonnettes d’alarme retentissent de toutes parts sur les sites Web du monde entier. Deux failles informatiques d’ampleur, nommées Meltdown et Spectre, ont été révélées au grand jour par un groupe de chercheurs en informatique. Voilà qui donne le ton en ces premiers jours de 2018.

VOIR AUSSI : Failles de sécurité sur les processeurs Intel : un désastre en perspective ?

Celles-ci toucheraient dans une très vaste mesure les processeurs de nos appareils, et particulièrement ceux fabriqués par le géant Intel depuis… peut-être dix ans. D’autres poids lourds du marché sont concernés, mais seulement par la faille Spectre : AMD, et les entreprises fabriquant des processeurs basés sur une architecture ARM. Sans ces puces, nous ne pourrions demander à nos ordinateurs ou smartphones d’exécuter des tâches et de stocker tout un tas de données. Elles sont en quelque sorte les cerveaux de nos machines.

Imaginez deux passages secrets

Pour prendre un exemple plus concret, Meltdown et Spectre sont l’équivalent de petits tunnels creusés dans le mur d’une pièce supposée être sous haute sécurité. Cette pièce, c’est la chambre forte de notre foyer, où l’on stocke notamment tout ce que l’on estime important et/ou sensible : mots de passe, fichiers cachés, documents personnels... Le mur, lui, est en toute logique ce qui protège normalement toutes ces données sensibles. Les tunnels, enfin, permettent à quiconque de mal intentionné non seulement d’épier dans la pièce, mais aussi de s’y introduire pour y dérober dans la plus grande discrétion des choses qu’il juge de valeur, car exploitables.

Qui n’ont pas encore servi

Si l’on a connaissance aujourd’hui de l’existence de ces passages secrets, c’est bien parce que des experts les ont découverts, et ce grâce à un travail long et fastidieux. Ces derniers, appartenant à la cellule Google Project Zero, ont probablement planché sur le sujet pendant plusieurs mois, voire des années pour les localiser. Ils affirment aussi avoir mis au courant de leur existence les constructeurs dès juin dernier. Les entreprises ayant peut-être mis un peu trop de temps à régir, ils ont fini par publier leurs conclusions sur un blog dédié.

Ils y expliquent notamment que Meltdown et Spectre ne sont pas, comme pour plusieurs menaces informatiques qui ont fait les gros titres cette année (NotPetya, WannaCry…), des failles exploitées par des pirates ou toute autre organisation. "Si les exploits ont été prouvés – autrement dit, si l’on a aujourd’hui la preuve que des attaques sont possibles pas ce biais-là –, nous n’avons pas encore connaissance d’un quelconque acte de malveillance propre à Meltdown et Spectre", précise Luis Delabarre, responsable technique chez Malwarebytes, joint par Mashable FR.

L’un requiert une extrême discrétion

Certes, Meltdown et Spectre sont de même nature : il s’agit toutes deux de vulnérabilités hardware, en l’occurrence des processeurs. Mais elles sont différentes en plusieurs aspects.

Meltdown, elle, est relativement simple à exploiter. Elle ne concernerait que les processeurs produits par Intel. Techniquement, elle permet de fait "fondre" les protections entre les applications et le système d’exploitation (d’où son nom, de l’anglais to melt, fondre). Encore plus techniquement, on dit qu’elle offre la possibilité de dumper la mémoire de notre machine. "Mais pour cela, il faut tout de même que l’utilisateur accepte d’exécuter un code malveillant", nuance Luis Delabarre. "Ce qui n’est pas si compliqué que ça, dans la mesure où ce code peut être dissimulé derrière une tâche en apparence anodine."

Reprenons alors cette histoire de tunnel : une personne malintentionnée en a trouvé l'entrée et a compris qu’il donnait accès à notre chambre forte. Une fois dans la pièce, à nos côtés, cette même personne devra en revanche tâcher de ne pas se faire remarquer. Elle prendra alors la forme d’un interrupteur, que l’on allumera innocemment, ou d’un petit chat mignon, que l’on sera ravi de caresser. Une fois libre d’agir à sa guise dans la pièce, elle dérobera ce qu’elle juge intéressant, et repartira par le passage.

À l’heure actuelle, pour Meltdown, il existe déjà des patchs, comme on l’expliquait ce jeudi dans cet article.

L’autre, carrément une cape d’invisibilité

Pour Spectre en revanche, les choses se compliquent. D’abord, la faille a été à la fois détectée sur les processeurs Intel, sur ceux de l’industriel AMD mais aussi sur les puces exploitant l’architecture ARM. Le spectre (c’est le cas de le dire) des machines concernées est donc encore plus large. Ensuite, elle serait due à un défaut "physique" du processeur, ce qui exclut l’application d’un patch correctif. Enfin, plus grave encore, son exploitation serait pour l’instant impossible à détecter.

Rappelons-le, pour dérober des données via Meltdown, le voleur a besoin de "se déguiser". On peut donc partir du principe qu’il est possible de le démasquer, sous son costume de chaton mignon. Spectre, elle, n’exige même pas de déguisement : le voleur peut accéder à notre bunker avec une cape d’invisibilité. "C’est ce qui fait un peu paniquer, notamment dans le secteur du cloud computing. Un client douteux pourrait très bien exécuter en toute innocence une machine virtuelle pour exploiter la mémoire physique d’un serveur. Il récupérerait alors ce qu’il désire auprès des autres clients du serveur sans que personne ne s’en aperçoive", explique Luis Delabarre.

Toutefois, Spectre serait bien plus difficile d’accès que Meltdown, car beaucoup plus complexe. Voyez-vous, tout le monde n’a pas une cape d’invisibilité à sa disposition comme Harry Potter.

Ce qui est inquiétant, ce que ces tunnels ont probablement été creusés dans pleins d’endroits stratégiques

Dans le cas du cloud d’entreprise, on comprend aisément les enjeux. Nom des clients, mots de passe, informations bancaires… Il y a de quoi se faire plaisir dans le nuage. Mais il faut imaginer que ces failles concernent aussi les postes de travail de personnes qui manipulent et conservent des données sensibles, comme des journalistes, des dissidents politiques, des membres de gouvernements ou encore des avocats…

La bonne nouvelle, s’il faut en trouver une, c’est qu’on a probablement peu de chances, en tant qu’utilisateur lamba, d’avoir de la visite chez nous, au vu de tous les efforts qu’il faut fournir pour exploiter les passages. Mais il ne faut jamais dire jamais.

Il va donc falloir devoir entamer des travaux assez pénibles pour les condamner

Comme on le disait précédemment, des patchs sont en cours de déploiement concernant Meltdown. Problème, les premières observations laissent présager une réduction des performances des appareils entre 5 % et 30 % après l’application des correctifs. "C’est énorme, surtout s’il s’agit de tout le parc informatique d’une société", estime Edouard Camoin, responsable sécurité chez Outscale. "Les entreprises vont devoir trouver un compromis entre la sécurité et les performances pendant un temps."

Autre opération délicate côté cloud : "Il faudra peut-être aussi redémarrer des serveurs entiers, ce qui mettrait en pause forcée nombre de structures. Le tout en procédant de la manière la plus optimale qui soit pour éviter des dommages de tous types. En rebootant morceau par morceau, histoire de n’immobiliser personne."

Et pour Spectre ? "Là, on peut supposer qu’il faudra renouveler le matériel", lâche Edouard Camoin. "Mais tâchons de rester prudent. On est encore dans le spéculatif. Et il y a toujours des solutions, toujours."

Quelque chose à ajouter ? Dites-le en commentaire.