Meltdown & Spectre : 4 questions que vous n'osez peut-être pas poser

0
Vous avez surement entendu parler de ces deux failles dont l'existence a été révélée dans la nuit de jeudi 4 à vendredi 5 janvier, mais vous n'avez peut être pas encore tout compris. Voici en quelques lignes ce que vous devez comprendre sur Spectre et Meltdown, deux failles qui affectent tous les ordinateurs et tous les smartphones.


Fotolia Meltdown Spectre


Spectre & Meltdown : qui est touché ?



Les failles se situent au niveau des processeurs et à peu près toutes les machines (ordinateur de bureau, portables, smartphones, tablettes, serveurs cloud etc.) qui en sont équipé sont touchées. Plus précisément, les chercheurs ayant publié ces failles indiquent que tous les processeurs modernes, datant de moins de 10 ans, sont susceptibles d'être touchés. Ces informations ont été confirmées par les différents fabriquant de processeurs, aussi appelés fondeurs. Après avoir d'abord annoncé que seules ses anciennes architectures étaient touchées, Intel a admit que l'ensemble de ses processeurs (Skylake inclus) étaient vulnérables à ces failles.

Vous pouvez donc considérer que tous les appareils sont potentiellement affectés par les failles Spectre et Meltdown.

Attention, il ne s'agit pas de virus : un virus est un programme malveillant qui s'installe sur votre machine pour y effectuer des actions à votre insu. Spectre et Meltdown sont des failles (ou vulnérabilités), c'est à dire des faiblesses déjà présentes dans votre système (du fait de son architecture même) et permettant de porter atteinte à l'intégrité de celui-ci.

Le virus est le cambrioleur qui s'introduit dans votre maison pour vous voler, la faille c'est le défaut de conception permettant d'ouvrir les portes sans les clés.


Concrètement, que font Spectre et Meltdown ?



Pour faire simple : votre processeur est supposé isoler toutes les applications entres elles et avec le système d'exploitation pour éviter que l'une ait accès aux données utilisées par l'autre. Une application A en cours d'exécution ne peut donc pas accéder aux données de l'application B, elle aussi en cours d'exécution.

Meltdown et Spectre permettent de casser cette isolation. Une application peut donc avoir accès aux données utilisées par les autres... mais aussi aux données du système d'exploitation.

Fotolia Meltdown Spectre


Et dans les faits, que peut-il arriver ?



Si une application A (qui peut être un programme installé mais aussi un simple morceau de code présent sur une page web) peut accéder aux données d'une application B, cela veut dire par exemple que les mots de passe stockés dans vos navigateurs web peuvent être révélés et envoyés à un tiers. Il est également possible que toutes vos informations comptables stockées dans un logiciel se retrouvent dans les mains de n'importe qui.

Tout ce qui est enregistrés sur votre ordinateur peut se retrouver dans la nature.

Est-il possible de se protéger contre Spectre et Meltdown ?



Il existe quelques mises à jour déjà disponibles en fonction de votre système d'exploitation (Windows 10, OSX, Android, iOS etc.) et vous devriez les installer dès que possible. Néanmoins ces mises à jour ne corrigent pas le problème dans sa totalité et peuvent nuire aux performances de votre machine... d'autant que le déploiement de ces correctifs dépend de plusieurs facteurs, et notamment des constructeurs. Puisque certains smartphones ne sont plus mis à jour, ou très rarement, ces correctifs ne sont donc pas la solution.

Les fondeurs ont aussi déployé des patchs pour combler les failles Meltdown et Spectre. Après avoir déployé une première vague de correctifs qui rendaient instables les machines sur lesquelles ils étaient installés, Intel vient de publier des patchs stables pour ses processeurs Skylakes, comme indiqué dans un blog de l'entreprise. Les correctifs dédiés aux autres infrastructures devraient donc suivre.
Haut de page