Des chercheurs de l’équipe Project Zero, de Google, ont découvert deux failles de sécurité critiques affectant les processeurs. Contrairement à ce qui avait été initialement annoncé, Intel n’est pas le seul en cause. Les processeurs AMD et ARM sont également affectés, ce qui rend des milliards de machines vulnérables, ordinateurs mais aussi smartphones et serveurs.

L’affaire du bug de sécurité détecté au cœur des processeurs Intel prend désormais une nouvelle ampleur. Alors qu’une certaine opacité entourait les révélations initiales faites par le site The Register, des éclaircissements sont venus des chercheurs en sécurité à l’origine de cette découverte.

Il s’agit d’une équipe réunissant notamment des experts du Project Zero, de Google, de la société Cyberus Technology et de la Graz University of Technology. Ils nous apprennent qu’il n’y a non pas une mais deux failles de sécurité, qu’ils ont baptisées Meltdown et Spectre :

• Meltdown concerne les processeurs Intel fabriqués depuis 1995 ;
• Spectre touche les puces Intel mais aussi AMD et celles basées sur une architecture ARM.

Autrement dit, quasiment tous les ordinateurs, smartphones et serveurs sont potentiellement menacés s’ils sont infectés par un logiciel malveillant exploitant ces bugs. Pour le moment, les chercheurs disent n’avoir pas trouvé de preuve d’une attaque utilisant les failles Meltdown ou Spectre.

Les failles Meltdown et Spectre ne pourront être totalement corrigées

Dans un cas comme dans l’autre, ces vulnérabilités peuvent permettre d’accéder aux données sensibles stockées non seulement dans la mémoire du noyau d’un OS (Linux, Windows ou macOS) mais aussi dans celle des applications en cours d’exécution : mot de passe, clé de sécurité, courriels, fichiers, documents…

Meltdown, qui signifie « faire fondre » en anglais, peut détruire les systèmes de protection qui isolent les applications du système d’exploitation. Spectre est encore plus redoutable car elle brise les barrières entre les applications, ce qui permettrait d’utiliser n’importe quel programme piégé pour en pirater un autre.

Avertis préalablement de manière confidentielle, les principaux acteurs concernés se sont activés. Microsoft va diffuser un correctif de sécurité pour Windows 10 dans la soirée et un autre pour Windows 7 et 8 mardi prochain. Apple a appliqué un correctif partiel dans macOS 10.13.2 tandis que le patch pour Linux est déjà diffusé. Les principaux fournisseurs de services cloud (Amazon WebServices, Google Cloud, Microsoft Azure…) ont également réagi.

Au niveau des fabricants de processeurs, Intel, AMD et ARM disent vouloir collaborer pour trouver une solution. Mais le défaut étant matériel, il n’existe pas de parade infaillible pour protéger les puces existantes et les fondeurs vont devoir modifier leurs méthodes de fabrication pour les prochaines générations. Daniel Gruss, l’un des chercheurs impliqués dans ces travaux, estime notamment que la faille Spectre va « nous hanter pendant des années ».

Marc Zaffagni –  Futura-Sciences