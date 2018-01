Un texte de Karl-Philip Vallée

Nommées Spectre et Meltdown, les deux failles permettraient à des pirates informatiques de s’emparer d’informations critiques telles que les codes de chiffrage et les mots de passe stockés dans un ordinateur.

Comme le problème provient de l’architecture des processeurs, les spécialistes précisent que les performances des ordinateurs pourraient être réduites de 5 à 30 % une fois que les mises à jour pour régler la situation auront été appliquées.

Dans un communiqué, Intel a toutefois démenti ces pronostics, indiquant plutôt que la réduction de performance ne devrait pas être importante pour l’utilisateur moyen et qu'elle serait atténuée avec le temps. L’entreprise a reconnu du même souffle que ses processeurs étaient conçus de telle façon que des pirates pouvaient accéder à des informations secrètes dans les ordinateurs dans lesquels ils étaient installés.

Pour Jean-Philippe Décarie-Mathieu, cofondateur et directeur général de Crypto.Québec, il ne faut pas s'inquiéter outre-mesure des baisses de performance. « Il est important de comprendre que même si certaines applications risquent de subir un certain ralentissement, omettre de faire les mises à jour ne devrait pas être une option », explique cet expert en sécurité informatique.

Comment fonctionnent ces menaces?

Spectre et Meltdown exploitent une fonction des processeurs appelée exécution spéculative (ES). L’ES permet aux processeurs de fonctionner plus rapidement en essayant de deviner de quoi l’ordinateur aura besoin pour exécuter sa prochaine opération et en préparant ces informations.

Or, pendant que le processeur fait ses suppositions, les données qu’il traite deviennent, brièvement, faciles à intercepter.

Spectre pourrait prendre des années pour être réglé et pourrait nécessiter le remplacement des processeurs de la majorité des ordinateurs fabriqués dans les 20 dernières années. Photo : iStock/gorodenkoff

C’est ici que les deux menaces divergent. D’un côté, Spectre se sert de cette vulnérabilité en forçant le processeur à effectuer l’ES. Des pirates se servant de cette méthode peuvent alors s’emparer des informations qu’ils recherchent et s’infiltrer dans l’ordinateur sans être détectés. Il s’agit toutefois d’une attaque qui est considérée comme difficile à réaliser.

De l’autre côté, Meltdown fonctionne de manière similaire, mais gagne un accès aux informations critiques par le biais du système d’exploitation (tel que Windows, macOS ou Linux). Une méthode connue sous le nom d’attaque par canal auxiliaire, puisqu’elle se sert d’un logiciel légitime pour obtenir des informations de manière malicieuse.

Quoi faire pour se protéger?

Malheureusement, Spectre reste pour l’instant un casse-tête pour les chercheurs en sécurité informatique. Comme cette vulnérabilité provient directement de l’architecture des processeurs (donc d’un élément physique), il est a priori impossible d'y remédier par le biais d’une mise à jour logicielle. La menace de Spectre pourrait donc planer pour encore quelques années, jusqu’à ce que les fabricants de processeurs aient revu la conception de leurs pièces et que les utilisateurs aient remplacé leurs vieux processeurs.

Jean-Philippe Décarie-Mathieu explique toutefois que tout espoir n'est pas vain, puisque les brèches ouvertes par Spectre pourront être colmatées à mesure qu'elles seront découvertes par des chercheurs en sécurité informatique. « C'est certain que les fabricants devront trouver un remplacement pour l'exécution spéculative dans leurs prochains processeurs, dit-il. D'ici là, les mises à jour sortiront au cas par cas, comme pour n'importe quelle autre vulnérabilité. Par contre, ça élargit considérablement la surface d'attaque pour les années à venir, parce que la durée de vie d'un processeur est assez longue. »

La bonne nouvelle est qu’il existe déjà un moyen de se prémunir contre Meltdown. Il suffit de s’assurer que ses logiciels sont à jour, y compris son système d’exploitation et les pilotes de son processeur.

Pour mettre à jour son système d’exploitation, il faut généralement utiliser l’assistant de mises à jour (Windows Update ou l’App Store) ou encore se rendre sur le site du fabricant. La version KB4056892 de Windows 10 et la version 10.13.2 de macOS High Sierra sont considérées comme sécuritaires, mais une mise à jour plus substantielle de Windows est attendue le 9 janvier.

Pour mettre à jour son processeur, il suffit de télécharger les derniers pilotes sur le site du fabricant (vérifiez la petite étiquette colorée sur le boîtier de votre ordinateur pour connaître la marque de votre processeur) et exécuter les mises à jour, une fois le téléchargement terminé.