Failles Meltdown et Spectre : de quoi s'agit-il ?

01 juin 2018 à 15h36
0
Depuis le 3 janvier 2018, les spécialistes de la sécurité informatique n'ont que deux mots sur le bout de la langue : Meltdown et Spectre. En quoi consistent ces failles et peut-on s'en protéger ?

Au coeur de Meltdown, l'« l'exécution spéculative »

L'existence de ces failles n'aurait pas dû être dévoilée au grand jour avant le 9 janvier 2018, mais comme cela se passe souvent dans le monde de l'informatique, l'information a réussi à passer entre les mailles du filet, que les grandes entreprises le veuillent ou non. Depuis le 3 janvier 2018, le monde n'arrête pas de parler de deux failles critiques, surnommées respectivement Meltdown et Spectre.

Ces failles, découvertes par trois équipes de chercheurs travaillant indépendamment les unes des autres, sont très significatives dans la mesure où elles concernent non pas des logiciels mais les processeurs eux-mêmes. La première, Meltdown, concerne « l'exécution spéculative », à savoir le procédé durant lequel le processeur calcule proactivement différents scénarios qu'il pourrait être amené à exécuter. À la différence des échanges « normaux » entre les logiciels et le processeur, soumis à une vérification des droits d'accès, les droits d'accès ne sont pas contrôlés lors de « l'exécution spéculative » : il suffit d'écrire un exploit, et l'ensemble des données de ce type transitant entre le processeur et les logiciels peuvent être captées.

Comme souvent dans ces moments, il est possible de trouver plusieurs explications simplifiée de ces failles, comme celle-ci par @shanselman :




01F4000008742806-photo-le-nouveaux-core-i9-intel.jpg


Spectre, une version Big Brother de Meltdown

La vulnérabilité Spectre, quant à elle, n'implique pas l'accès au kernel (le « saint des saints d'un système d'exploitation »), mais permet à toute personne ayant saisi un code spécifique d'accéder à l'ordinateur avec les privilèges Administrateur. En combinant ensuite l'exécution spéculative et la « prédiction de branchements » (une création préalable de consignes, dont chacune peut être déclenchée à la suite d'un choix fait par l'utilisateur), il est donc possible de capter là aussi la quasi-totalité des données sur un ordinateur en utilisation.

Afin de permettre aux fabricants de processeurs et éditeurs de logiciels de concevoir des « patchs », Intel (touché au premier chef), Firefox et Google, entre autres, ont convenu de ne pas diffuser des informations sur ces familles avant le 9 janvier, mais l'une des équipes qui les avaient identifiées les a devancés en expliquant le tout sur son propre site.

Cette faille a été présentée par @cshirky sur Twitter, en utilisant là-aussi une analogie plutôt simple :





Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Windows 10 encore gratuit jusqu’au 16 janvier
Obsolescence programmée : Apple visé par une enquête en France
CES 2018 : Amazon tacle Microsoft et porte Alexa sur les ordinateurs
CES 2018 : un camion autonome pour la livraison et la cuisson des pizzas ?
Baromètre nPerf 2017 : SFR champion de France du débit descendant
GoPro signe la fin des drones Karma
Apple devrait s’inquiéter de l’addiction des jeunes aux smartphones
Porno : au parlement britannique, 160 tentatives de connexion par jour
CES 2018 : LG dévoile un écran enroulable
Intel lance les Kaby-Lake G : ses processeurs avec puce graphique AMD
Haut de page