"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui regardent et laissent faire !" Albert Einstein

Spectre & Meltdown : TOUT le monde est concerné




Ordinateurs (PC et Mac), smartphones et Iphone, tablettes, serveurs de cloud... Tous les appareils électroniques dont le fonctionnement repose sur une puce informatique sont concernés par les failles critiques découvertes récemment dans la plupart des processeurs en circulation.

Les processeurs sont les composants électroniques permettant aux machines informatiques d'exécuter les instructions des logiciels. Des chercheurs en sécurité ont révélé mercredi 3 janvier l'existence de deux vulnérabilités permettant d'accéder à la mémoire d'un grand nombre de modèles de processeurs et de capter les données gérées par le système informatique qui s'y trouvent en transit.

Baptisées Meltdown et Spectre par les chercheurs qui les ont découvertes, elles exploitent des défauts de conception présents dans la grande majorité des puces Intel conçues les deux dernières décennies et celles de ses concurrents ARM et AMD. Leur exploitation est complexe mais elles peuvent potentiellement être utilisées pour récupérer des informations sensibles comme des photos, des documents professionnels, des mots de passe ou des données bancaires. Il n'a pas été établi pour l'instant que des pirates en ont déjà tiré profit. Mais ces attaques sont d'autant plus difficiles à détecter qu'elles ne laissent pas de traces.

Le secteur s'organise

Face au chaos, les entreprises technologiques tentent de rassurer. Prévenus dès le mois de juin par les chercheurs, les principaux acteurs du secteur ont déjà développé des patchs pour corriger leurs systèmes. Intel, ARM et AMD ont commencé à diffuser des correctifs pour limiter le problème. Selon Intel, 90% de ses processeurs sortis lors des cinq dernières années seront immunisés d'ici mi-janvier. Microsoft, Amazon, Google et Mozilla ont publié des mises à jour de sécurité. D'autres doivent suivre dans les jours à venir, notamment Windows 7 et 8, le 9 janvier, et Google Chrome, le 23 janvier.

Les fournisseurs de cloud Amazon, OVH et Azure ont mis à jour leurs systèmes pour protéger leurs clients dont les données sont particulièrement exposées. De son côté, Apple a confirmé que les Mac, iPhone, iPad et Apple TV sont aussi affectés par les deux failles. L'entreprise a déjà sorti des patchs pour les dernières versions de macOS, iOS et tvOS censés corriger Meltdown. Selon la marque, ces réparations n'affectent pas la performance des appareils.

La faille Meltdown peut être colmatée. Mais sa réparation a de grandes chances d'affecter les performances des machines les plus anciennes. Selon les experts, les utilisateurs de PC pourraient constater un ralentissement de 5% à 30%, en fonction du modèle du processeur. Spectre a des ramifications plus profondes. Elle touche l'architecture même des puces. Les constructeurs vont devoir changer la façon dont ils conçoivent les processeurs et le fonctionnement des ordinateurs. D'ici là, des appareils resteront vulnérables à long terme.

Installer les dernières mises à jour dès que possible

Les conséquences pour le grand public sont pour l'instant assez limitées. Mais personne n'est en mesure de prédire comment les pirates vont utiliser ces failles dans les prochains mois. Il est donc impératif d'installer les dernières mises à jour proposées par les éditeurs pour les systèmes d'exploitation des ordinateurs et des smartphones, pour les logiciels, les applications et les navigateurs Internet tout en veillant aux problèmes de compatibilité avec certains antivirus.

Les utilisateurs de smartphones Android vont devoir être patients. Après le déploiement de la mise à jour par Google, chaque constructeur doit l'adapter à ses smartphones, cela peut prendre plusieurs semaines.

Plus largement, il est plus que jamais nécessaire de respecter les principes élémentaires de sécurité informatique, à savoir ne pas télécharger une application non vérifiée, utiliser autant que possible des mots de passe complexes (et différents selon les services) et la double authentification, ne pas stocker de documents sensibles sur le cloud, effectuer des copies de ses données et ne pas envoyer d'information confidentielle à un destinataire dont l'identité n'est pas établie.