Failles dans les micro-processeurs: quels risques et quelles protections?

Que sont "Meltdown" et "Spectre"?

Il s'agit des noms donnés aux deux failles découvertes sur la quasi totalité des micro-processeurs en circulation aujourd'hui, qu'ils soient sur les ordinateurs, tablettes, smartphones ou même consoles de jeux vidéo. C'est l'une des premières failles majeures touchant ces composants essentiels au fonctionnement de tout système informatique.

Meltdown semble pour l'heure concerner plus spécifiquement les micro-processeurs fabriqués par le géant américain Intel, selon les sociétés spécialiées en sécurité informatique Kaspersky Labs et Symantec. Elle permet potentiellement de "supprimer la barrière entre les applications utilisateur et les parties critiques du système d’exploitation", selon les experts de Kaspersky Labs. Tous les micro-processeurs du géant américain depuis 1995 sont concernés, selon Symantec.

Concrètement, une personne exploitant cette faille peut avoir accès à une cartographie complète de tous les fichiers présents sur la mémoire de l'appareil au moment de l'attaque. Pour y parvenir, l'assaillant détourne une technique servant normalement à optimiser le fonctionnement du micro-processeur.

La faille Spectre est potentiellement plus importante puisqu'elle concerne cette fois tous les fabricants de micro-processeurs: Intel mais aussi AMD et AMR.

Qu'est ce qu'un micro-processeur?

C'est l'élément central d'un ordinateur, d'un smartphone ou de tout autre appareil numérique, le coeur du système, celui qui permet à l'ensemble de fonctionner en exécutant les instructions et en traitant les données des programmes. Un processeur est composé d'un certain nombre de transistors. Plus il y a de transistors, plus le processeur peut traiter d'informations.

On parle de micro-processeur simplement parce qu'il y a eu miniaturisation des processeurs, afin de les intégrer dans tous types d'appareils. La puissance d'un processeur se compte en bits, mesurant sa capacité à traiter un nombre plus ou moins importants d'informations en même temps.

Quels sont les risques?

Ils sont potentiellement énormes. Bien exploitée, la faille Meltdown peut par exemple donner accès à la totalité des informations stockées sur un serveur à distance (cloud), dès lors que le cyberassaillant loue un espace de stockage sur le même serveur.

Ce qui est en jeu, au final, est la protection de données sensibles telles que les mots de passe, les photos, documents personnels et emails.

Ces failles représentent en particulier un risque majeur pour les services de cloud, puisque la totalité des informations qui y sont stockées peuvent être vulnérables. Microsoft, Amazon ou OVH ont ainsi annoncé très rapidement travailler sur les mises à jour afin de restaurer la protection des données stockées sur leurs serveurs.

Les experts soulignent toutefois qu'exploiter Spectre et Meltdown demande un très haut niveau de sophistication technique, ce qui pourrait atténuer le risque. Pour Michael Schwartz, expert cité vendredi par le quotidien Tagesspiegel, juge lui que Spectre ne permet pas d' "effectuer facilement des attaques à grande échelle."

Comment se protéger?

Pour l'heure, la seule protection possible est d'installer les mises à jour de sécurité proposées par les fabricants de micro-processeurs eux-mêmes mais également par les fournisseurs de systèmes d'exploitation, qu'il s'agisse de Microsoft pour Windows, Apple pour iOS, Google pour Android ou de Linux. Ces mises à jour concernent jusqu'ici principalement Meltdown, les solutions à apporter à Spectre semblant plus difficiles à mettre en oeuvre.

Cette protection est une rustine: la seule solution définitive serait de changer de micro-processeur pour être équipé des toutes dernières générations. Un processus nettement plus long puisqu'il se fait lors du renouvellement du matériel informatique ou téléphonique.

Pour les particuliers, "il ne faut pas paniquer et se comporter comme d'habitude. Il n'y a pas de danger immédiat si vous suivez les instructions de sécurité normales et n'ouvrez aucune pièce jointe inconnue ou surfez sur des sites douteux voire cliquez sur des liens étranges", recommande M. Schwartz.