Le Spectre des hackers

Vous avez sans doute entendu parler de Spectre, la faille de sécurité des puces Intel découverte l’année dernière par l’équipe Project Zero (1), et causée, selon elle, par « l’exécution spéculative », technique utilisée par la plupart des processeurs pour optimiser les performances. En d’autres termes, des acteurs malveillants pourraient aujourd’hui lire votre mémoire système, a priori inaccessible, vos informations qui s’y trouvent (mots de passe, clés de chiffrement (2), et les données sensibles ouvertes dans les applications (code de carte bleue par exemple).

Si l’on a autant parlé de cette faille, c’est que le problème a une réelle importance. Google a réussi à atténuer le problème pour  nombre de ses produits (où la vulnérabilité n’était pas la principale importance), mais c’est physiquement que la puce est défaillante, ce qui veut tout simplement dire que les patchs correctifs (qui sont en cours de mise à jour) ne permettraient que de combler la faille à court terme. Seul le renouvellement des appareils et/ou le rajout aux puces d’une fonction se dénommant KPT1 (Kernel Page Table Isolation) permettrait aux entreprises concernées de se prémunir durablement.

D’autre part, les correctifs pourraient avoir un impact sur les performances de certains modèles Windows et Linux qui réduiraient les vitesses d’exécution des tâches de 5 % à 30 %.

Quant à Apple, la faille aurait déjà été corrigée dans la version High Sierra. Par contre, aucune indication sur les anciennes versions qui sont considérées comme obsolètes et donc… sans mise à jour. Peut-être sur Sierra et El Capitan. (3) La rumeur court depuis quelques mois que le géant de Cupertino pourrait quitter Intel en développant ses propres puces ARM pour animer ses Mac.

Pour l’instant, Brian Krzanich, le PDG d’Intel, se veut rassurant, en déclarant que les conséquences de  la détection de Spectre touchant ses processeurs était contenue, ce qui ne l’a pas empêché de vendre plus de 25 millions de dollars de ses stock-options fin novembre 2017, peu de temps avant la révélation de la faille de sécurité… peu avant la baisse du cours Intel…
Pascal Wolff

(1) Project Zero est une équipe d’analystes de sécurité employés par Google chargée de trouver les vulnérabilités et bogues avant de les signaler aux fabricants et de les divulguer publiquement une fois les correctifs publiés.
(2) Le chiffrement ou cryptage est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d’un document impossible.
(3) Apple aurait corrigé (d’après un spécialiste de la sécurité sur Twitter, donc non officiel) la faille de sécurité au moins dans la version High Sierra.