Failles Meltdown et Spectre : de quoi s'agit-il ?

08 janvier 2018 à 18h04
0
Depuis le 3 janvier 2018, les spécialistes de la sécurité informatique n'ont que deux mots sur le bout de la langue : Meltdown et Spectre. En quoi consistent ces failles et peut-on s'en protéger ?

Au coeur de Meltdown, l'« l'exécution spéculative »

L'existence de ces failles n'aurait pas dû être dévoilée au grand jour avant le 9 janvier 2018, mais comme cela se passe souvent dans le monde de l'informatique, l'information a réussi à passer entre les mailles du filet, que les grandes entreprises le veuillent ou non. Depuis le 3 janvier 2018, le monde n'arrête pas de parler de deux failles critiques, surnommées respectivement Meltdown et Spectre.

Ces failles, découvertes par trois équipes de chercheurs travaillant indépendamment les unes des autres, sont très significatives dans la mesure où elles concernent non pas des logiciels mais les processeurs eux-mêmes. La première, Meltdown, concerne « l'exécution spéculative », à savoir le procédé durant lequel le processeur calcule proactivement différents scénarios qu'il pourrait être amené à exécuter. À la différence des échanges « normaux » entre les logiciels et le processeur, soumis à une vérification des droits d'accès, les droits d'accès ne sont pas contrôlés lors de « l'exécution spéculative » : il suffit d'écrire un exploit, et l'ensemble des données de ce type transitant entre le processeur et les logiciels peuvent être captées.

Comme souvent dans ces moments, il est possible de trouver plusieurs explications simplifiée de ces failles, comme celle-ci par @shanselman :




01F4000008742806-photo-le-nouveaux-core-i9-intel.jpg


Spectre, une version Big Brother de Meltdown

La vulnérabilité Spectre, quant à elle, n'implique pas l'accès au kernel (le « saint des saints d'un système d'exploitation »), mais permet à toute personne ayant saisi un code spécifique d'accéder à l'ordinateur avec les privilèges Administrateur. En combinant ensuite l'exécution spéculative et la « prédiction de branchements » (une création préalable de consignes, dont chacune peut être déclenchée à la suite d'un choix fait par l'utilisateur), il est donc possible de capter là aussi la quasi-totalité des données sur un ordinateur en utilisation.

Afin de permettre aux fabricants de processeurs et éditeurs de logiciels de concevoir des « patchs », Intel (touché au premier chef), Firefox et Google, entre autres, ont convenu de ne pas diffuser des informations sur ces familles avant le 9 janvier, mais l'une des équipes qui les avaient identifiées les a devancés en expliquant le tout sur son propre site.

Cette faille a été présentée par @cshirky sur Twitter, en utilisant là-aussi une analogie plutôt simple :





Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

Automobile : le gouvernement envisagerait un malus lié au poids des véhicules
Le Royaume-Uni devrait interdire les ventes de voitures thermiques en 2030
Après Bethesda, Microsoft tease, déjà, un autre rachat à venir ?
Voiture électrique : allez-vous sauter le pas et à quel prix ?
L'adoption de Firefox en chute de 85%
Batteries de voitures : et si on allait plutôt chercher les matériaux au fond des océans ?
Xbox Series X | S : le module d'extension d'1 To NVMe coûtera 269,99€ en France
Battery Day : des batteries révolutionnaires et une Tesla à 25 000 dollars sous trois ans
La Model 3 échoue lors d'une démonstration de son système de freinage autonome
Le code source de Windows XP en fuite sur les réseaux
scroll top