Depuis le 3 janvier 2018, les spécialistes de la sécurité informatique n'ont que deux mots sur le bout de la langue : Meltdown et Spectre. En quoi consistent ces failles et peut-on s'en protéger ?
Au coeur de Meltdown, l'« l'exécution spéculative »
L'existence de ces failles n'aurait pas dû être dévoilée au grand jour avant le 9 janvier 2018, mais comme cela se passe souvent dans le monde de l'informatique, l'information a réussi à passer entre les mailles du filet, que les grandes entreprises le veuillent ou non. Depuis le 3 janvier 2018, le monde n'arrête pas de parler de deux failles critiques, surnommées respectivement Meltdown et Spectre.
Ces failles, découvertes par trois équipes de chercheurs travaillant indépendamment les unes des autres, sont très significatives dans la mesure où elles concernent non pas des logiciels mais les processeurs eux-mêmes. La première, Meltdown, concerne « l'exécution spéculative », à savoir le procédé durant lequel le processeur calcule proactivement différents scénarios qu'il pourrait être amené à exécuter. À la différence des échanges « normaux » entre les logiciels et le processeur, soumis à une vérification des droits d'accès, les droits d'accès ne sont pas contrôlés lors de « l'exécution spéculative » : il suffit d'écrire un exploit, et l'ensemble des données de ce type transitant entre le processeur et les logiciels peuvent être captées.
Comme souvent dans ces moments, il est possible de trouver plusieurs explications simplifiée de ces failles, comme celle-ci par @shanselman :
Explaining #Meltdown to non-technical spouse. “You know how we finish each other's...” “Sandwiches?” “No, sentences. But you guessed 'sandwiches' and it was in your mind for an instant. And it was a password. And someone stole it while it was there, fleeting.” “Oh, that IS bad.”
La vulnérabilité Spectre, quant à elle, n'implique pas l'accès au kernel (le « saint des saints d'un système d'exploitation »), mais permet à toute personne ayant saisi un code spécifique d'accéder à l'ordinateur avec les privilèges Administrateur. En combinant ensuite l'exécution spéculative et la « prédiction de branchements » (une création préalable de consignes, dont chacune peut être déclenchée à la suite d'un choix fait par l'utilisateur), il est donc possible de capter là aussi la quasi-totalité des données sur un ordinateur en utilisation.
Afin de permettre aux fabricants de processeurs et éditeurs de logiciels de concevoir des « patchs », Intel (touché au premier chef), Firefox et Google, entre autres, ont convenu de ne pas diffuser des informations sur ces familles avant le 9 janvier, mais l'une des équipes qui les avaient identifiées les a devancés en expliquant le tout sur son propre site.
Cette faille a été présentée par @cshirky sur Twitter, en utilisant là-aussi une analogie plutôt simple :
I'm going to try explaining the Spectre attack with an analogy: Imagine a bank with safe deposit boxes. Every client has an ID card, and can request the contents of various boxes, which they can then take out of the vault.
La migration vers Windows sera bientôt définitivement payante. Si vous ne l'avez pas encore effectuée et que vous l'envisagez, vous avez encore jusqu'au 16 janvier, sous certaines conditions. Au-delà de cette date, la licence coûtera 145 euros.
L'affaire des iPhone ralentis lorsque les batteries sont vieilles, mini-scandale ayant explosé fin 2017, commence à faire des remous en France. Le géant de Cupertino est désormais visé par une enquête pour obsolescence programmée après que l'association Hop a déposé une plainte. Hop, acronyme pour Halte à l'obsolescence programmée, vise justement à faire punir ces pratiques.
Microsoft veut faire de son assistant personnel maison, Cortana, un véritable centre multi-fonction pour les ordinateurs et la maison connectée. Seul souci : les concurrents ont aussi ça en tête. Et si Microsoft espérait utiliser sa domination absolue dans le monde des systèmes opératifs fixes pour conquérir le marché, le pari s'est révélé perdant.
Si le CES 2018 est l'occasion de voir quelles nouveautés vont faire leur apparition dans les magasins dans le courant de l'année 2018 voire l'année 2019, certaines marques proposent de véritables concepts que rien ne dit qu'ils deviendront réalité un jour. Mais on espère vraiment que celui présenté par la chaîne de pizzerias américaine PizzaHut fera partie de l'avenir de l'humanité...
Bien que SFR, qui s'appellera bientôt tout simplement Altice, continue de connaître quelques problèmes comme l'obtention du prix Cactus d'Or 2017 de la pire entreprise de la part de l'association 60 Millions de consommateurs, le baromètre nPerf dévoile que malgré les soucis à répétition, l'opérateur au Carré Rouge racheté par Numericable s'est fortement amélioré en 2017.
Après avoir annoncé la semaine dernière la suppression de 200 à 300 emplois, GoPro vient de déclarer la fin de sa division drone. Celle-ci prendra effet lorsque l'ensemble des drones Karma auront été vendus.
C'est une tendance connue et qui inquiète les spécialistes comme certains parents : les jeunes s'intéressent aux smartphones de plus en plus tôt. Deux investisseurs de la firme de Cupertino lui ont envoyé une lettre : elle devrait s'inquiéter des risques de cette addiction sur les nouvelles générations. Et pourquoi pas chercher une solution.
Les parlementaires sont comme tout le monde et aiment bien, de temps en temps, aller traîner sur un site pornographique. Il n'y a rien de mal à cela si ce n'est qu'il semblerait qu'ils essayent de le faire depuis le réseau du Parlement lui-même. C'est en tout cas ce qui ressort de l'analyse des données publiques du parlement britannique demandée par la Press Association.
Le groupe coréen va présenter cette semaine à Las Vegas un écran OLED 4K de 65 pouces capable de s'enrouler complètement dans sa base lorsqu'on l'éteint.
