Meltdown & Spectre : 4 questions que vous n'osez peut-être pas poser

le 14 février 2018
 0
Vous avez surement entendu parler de ces deux failles dont l'existence a été révélée dans la nuit de jeudi 4 à vendredi 5 janvier, mais vous n'avez peut être pas encore tout compris. Voici en quelques lignes ce que vous devez comprendre sur Spectre et Meltdown, deux failles qui affectent tous les ordinateurs et tous les smartphones.


Fotolia Meltdown Spectre


Spectre & Meltdown : qui est touché ?



Les failles se situent au niveau des processeurs et à peu près toutes les machines (ordinateur de bureau, portables, smartphones, tablettes, serveurs cloud etc.) qui en sont équipé sont touchées. Plus précisément, les chercheurs ayant publié ces failles indiquent que tous les processeurs modernes, datant de moins de 10 ans, sont susceptibles d'être touchés. Ces informations ont été confirmées par les différents fabriquant de processeurs, aussi appelés fondeurs. Après avoir d'abord annoncé que seules ses anciennes architectures étaient touchées, Intel a admit que l'ensemble de ses processeurs (Skylake inclus) étaient vulnérables à ces failles.

Vous pouvez donc considérer que tous les appareils sont potentiellement affectés par les failles Spectre et Meltdown.

Attention, il ne s'agit pas de virus : un virus est un programme malveillant qui s'installe sur votre machine pour y effectuer des actions à votre insu. Spectre et Meltdown sont des failles (ou vulnérabilités), c'est à dire des faiblesses déjà présentes dans votre système (du fait de son architecture même) et permettant de porter atteinte à l'intégrité de celui-ci.

Le virus est le cambrioleur qui s'introduit dans votre maison pour vous voler, la faille c'est le défaut de conception permettant d'ouvrir les portes sans les clés.


Concrètement, que font Spectre et Meltdown ?



Pour faire simple : votre processeur est supposé isoler toutes les applications entres elles et avec le système d'exploitation pour éviter que l'une ait accès aux données utilisées par l'autre. Une application A en cours d'exécution ne peut donc pas accéder aux données de l'application B, elle aussi en cours d'exécution.

Meltdown et Spectre permettent de casser cette isolation. Une application peut donc avoir accès aux données utilisées par les autres... mais aussi aux données du système d'exploitation.

Fotolia Meltdown Spectre


Et dans les faits, que peut-il arriver ?



Si une application A (qui peut être un programme installé mais aussi un simple morceau de code présent sur une page web) peut accéder aux données d'une application B, cela veut dire par exemple que les mots de passe stockés dans vos navigateurs web peuvent être révélés et envoyés à un tiers. Il est également possible que toutes vos informations comptables stockées dans un logiciel se retrouvent dans les mains de n'importe qui.

Tout ce qui est enregistrés sur votre ordinateur peut se retrouver dans la nature.

Est-il possible de se protéger contre Spectre et Meltdown ?



Il existe quelques mises à jour déjà disponibles en fonction de votre système d'exploitation (Windows 10, OSX, Android, iOS etc.) et vous devriez les installer dès que possible. Néanmoins ces mises à jour ne corrigent pas le problème dans sa totalité et peuvent nuire aux performances de votre machine... d'autant que le déploiement de ces correctifs dépend de plusieurs facteurs, et notamment des constructeurs. Puisque certains smartphones ne sont plus mis à jour, ou très rarement, ces correctifs ne sont donc pas la solution.

Les fondeurs ont aussi déployé des patchs pour combler les failles Meltdown et Spectre. Après avoir déployé une première vague de correctifs qui rendaient instables les machines sur lesquelles ils étaient installés, Intel vient de publier des patchs stables pour ses processeurs Skylakes, comme indiqué dans un blog de l'entreprise. Les correctifs dédiés aux autres infrastructures devraient donc suivre.
Modifié le 01/06/2018 à 15h36
Cet article vous a intéressé ?
Abonnez-vous à la newsletter et recevez chaque jour, le meilleur de l’actu high-tech et du numérique.

Dernières actualités Virus et failles logiciel

EA : une faille de la plateforme Origin expose les joueurs aux pirates
4G LTE : plus d'une trentaine de failles découvertes par des chercheurs sud-coréens
Une japonaise de 13 ans inculpée pour une blague de boucle infinie en Javascript
WinRAR : la vieille faille dévoilée récemment exploitée activement pour installer des malwares
SimBad, le malware téléchargé 150 millions de fois sur le Google Play Store
Des pirates se serviraient d'iPhone de pré-production pour en trouver les vulnérabilités
Spectre : Microsoft propose le patch Retpoline pour atténuer les baisses de performances
Google révèle une faille très sérieuse dans macOS
Spectre : aucun correctif logiciel n'en viendra à bout, selon des chercheurs de Google
Uber corrige un bug qui exposait les informations confidentielles de ses utilisateurs
Une faille de sécurité révèle l'inquiétante surveillance des Ouïghours en Chine
Une faille dans une extension WordPress permet de s'emparer des sites
8 compagnies aériennes touchées par une faille de billetterie électronique, Air France-KLM n’en fait pas partie
scroll top