Infos - Souscription

09 75 18 80 51

Spectre et Meltdown rendent les processeurs moins sécurisés

Illustration avec un ordinateur portable sur les genoux
logo Meltdown
logo Spectre

L'année 2018 démarre mal pour les fondeurs de processeurs (AMD, ARM et Intel). En effet, des failles structurelles dans les processeurs créés depuis une dizaine d'années permettent d'accéder aux données en mémoire. Les éditeurs de systèmes d'exploitation et de navigateurs mettent à jour pour en réduire les effets.

Des chercheurs en sécurité informatique ont découvert en 2017, 3 importantes failles dans le cœur même des processeurs. La correction de ces dernières va être longue et difficile.

Dans la gestion des traitements dans les processeurs, les fondeurs ont développé un système de répartition permettant d'isoler les mémoires utilisées par les processus du système d'exploitation de celles des processus des logiciels (navigateurs, suite bureautique, jeux vidéos,...). Cette isolation du traitement est également effectuée entre les processus des différents logiciels. Si les premières techniques d'isolation ont permis de sécuriser les informations, elles consomment, hélas, de la puissance. Une technique utilisée depuis une dizaine d'années par les fondeurs permet cette isolation sans sacrifier la puissance de calcul.

Les 3 failles détectées, nommées Meltdown et Spectre, exploitent les techniques des fondeurs pour contourner les isolations des mémoires des processeurs. Avec 2 failles, Spectre permet d'accéder aux informations de la mémoire utilisées par une autre application. Cette faille concerne tous les processeurs construits par AMD, ARM et Intel. De son côté, Meltdown permet de faire de même mais avec les processus du système d'exploitation. La faille concerne uniquement les processeurs Intel en x64 (64 bits). Dans l'un comme dans l'autre, ces failles permettent d'accéder aux informations de la mémoire utilisées par les logiciels et le système d'exploitation mais également d'exécuter du code à la place de celui du processus.

Logo MeltdownLogo Spectre

Logos des failles Meltdown et Spectre (CC0)

Les fondeurs ont été avertis en juin. Les chercheurs ont gardé l'existence des failles jusqu'à cette semaine. Ces derniers ont également averti les éditeurs de systèmes d'exploitation (Apple, Microsoft, Linux Foundation,...) durant le mois de septembre. Etant une faille dans le fondement des processeurs, la correction passerait par un changement de processeurs. Or la mise au point d'un nouveau système de gestion de l'isolation dans les processeurs prendra du temps. En attendant, les fondeurs vont mettre à jour le BIOS/UEFI de leurs processeurs. Hélas, les mises à jour concernant ces failles touchent les performances des processeurs (entre 5 et 30% de pertes en moyenne).

Le système d'exploitation et les logiciels doivent également se mettre à jour pour mieux gérer la nouvelle isolation. Microsoft et la Fondation Linux ont mis à disposition des mises à jour pour la gestion de Meltdown par Windows et Linux. La mise à jour de Windows 10 est conditionnée à la présence d'un antivirus compatible. De son côté, Apple a mis à jour macOS pour la faille Meltdown avec High Sierra. Utilisée pour la démonstration de Meltdown, la Fondation Mozilla annonce une mise à jour pour Firefox.

Comme tous les processeurs sont touchés, des mises à jour sont également à prévoir sur d'autres appareils comme les smartphones et les tablettes. Mais les plus touchés restent les hébergeurs de site web : en effet, les hébergeurs (OVH, Online, 1&1,...) mais également des éditeurs de cloud (Amazon AWS, Microsoft Azure, Apple iCloud,...) devront relancer leurs serveurs et les services de virtualisation durant les prochains jours.

 
Partager sur Facebook  Partager sur Twitter  Partager sur Google Plus 

Vous souhaitez recevoir nos actualités par mail ? Abonnez-vous à notre newsletter :