Dakarmidi – Nouveau scandale chez les géants de l’informatique ! Le 3 janvier, des failles de sécurité importantes ont été découvertes dans les microprocesseurs des entreprises Intel, AMD et ARM fabriqués depuis plus de 10 ans, touchant presque la totalité des ordinateurs dans le monde. Les entreprises ont rapidement dû gérer cette crise mais les vulnérabilités s’avèrent quasi-irréparables. Cyril Lambin, développeur et directeur technique de la chaîne de télévision Nolife et du site noco.tv, rembobine ce que les réseaux sociaux ont nommé le « bug Intel ».
RFI : Les failles de sécurité découvertes concernent des processeurs de plus de 10 ans. Pourquoi les constructeurs, comme Intel, n’ont-ils communiqué dessus que ce 3 janvier ?
Cyril Lambin : Dans la nuit du 2 au 3 janvier, le site d’informations technologiques britannique the register a publié un article qui disait : « Apparemment, il y a une grosse faille de sécurité dans les microprocesseurs Intel. On ne sait pas ce qui se passe mais ça bouge beaucoup en ce moment. »
Les rédacteurs de The Register ont fait leur travail de journalistes en recoupant des sources de personnes qui commençaient à sérieusement se poser des questions. Ces failles étaient tellement énormes qu’elles étaient tenues secrètes pour laisser le temps aux sociétés de sortir des correctifs.
Effectivement, fin décembre, on commençait à voir des modifications dans les noyaux de Windows. Linus Torvalds, qui s’occupe du noyau de Linux, a commencé à dire : « Je sors un correctif qu’il faut impérativement appliquer sur toutes les machines » – alors qu’il ne fait jamais ça. Il y avait un faisceau d’indices concordants sur le fait que quelque chose d’assez grave se passait.
Donc ces failles sont volontaires ?
Ce ne sont pas des failles à proprement parler mais des systèmes créés par les constructeurs pour optimiser les microprocesseurs. Il y a quelques mois, des chercheurs du Project Zero de Google [un groupe d’experts en sécurité informatique, ndlr] et d’autres ont découvert un moyen de détourner tous les systèmes qui ont été mis en place depuis 20 ans dans les microprocesseurs pour augmenter leur vitesse et leur performance, avoir accès à des contenus en mémoire auxquels ils n’auraient normalement pas accès, qui seraient normalement protégés.
Utilisés d’une certaine manière, oui, ils créent des failles. C’est le paradoxe qui existe lorsqu’on doit choisir entre vitesse et sécurité. C’est très difficile, voire impossible, d’avoir les deux. La priorité pour les microprocesseurs ces 20 dernières années a été d’augmenter la vitesse.
Et ils ne comptaient pas rendre ces informations publiques ?
La faille devait être dévoilée le 9 janvier et, comme certains avaient découvert le problème de sécurité, Project Zero a demandé à tous les acteurs d’avancer la date de publication – le 3 janvier. On s’est ainsi rendus compte qu’il n’y avait pas une faille, mais deux, et que ça ne touchait pas que l’entreprise Intel mais tous les microprocesseurs du marché.
Quelles sont ces deux failles ?
Il y a donc deux failles qui ont été découvertes : « Meltdown » et « Spectre ». Pour la première, des mises à jour Windows et Linux sont disponibles. Mais pour l’autre faille, il n’y a pas de mise à jour possible.
Meltdown s’attaque à l’optimisation de la vitesse au niveau du système d’exploitation. Un système d’exploitation, c’est plusieurs programmes qui fonctionnent en parallèle. Un programme essentiel, le noyau, permet d’accéder aux réseaux, aux fichiers, etc. Pour accélérer l’accès au noyau, on a optimisé la mémoire du processeur. Meltdown permet d’utiliser cette optimisation-là et d’aller lire le noyau. C’est assez grave car vos clés de sécurité et vos mots de passe peuvent y être stockés. Le correctif annule l’optimisation, mais on perd ainsi entre 5 et 30% de vitesse.
On a remarqué que les performances des serveurs utilisés pour des bases de données étaient divisées par trois. Cela pose donc de très gros problèmes aux sociétés qui gèrent des « cloud », comme Google ou Amazon, dont les clients ont commencé à constater des grosses pertes de performance depuis que le correctif était appliqué. Mais, au moins, ça corrige le problème.
Et Spectre ?
Spectre est beaucoup plus compliqué. Cette faille utilise un système pour exécuter les instructions dans le désordre. En bref, ça permet de lire beaucoup de choses en mémoire, de voir ce qu’il se passe dans les autres programmes qui tournent sur la même machine. C’est potentiellement très grave pour les « clouds » puisqu’on peut avoir plusieurs machines virtuelles qui fonctionnent sur un même ordinateur, donc quelqu’un peut louer une machine virtuelle et voir ce qu’il se passe chez les voisins.
L’exemple le plus frappant, c’est le JavaScript, un langage de programmation qui est utilisé par tous les sites web (publicités, animations, formulaires, etc.). Un exemple de JavaScript simple permet, en quelques lignes, de récupérer tous les mots de passe du navigateur. Donc demain, quelqu’un peut créer une fausse pub en JavaScript qu’il envoie sur plusieurs sites et récupérer les mots de passe de tout le monde.
A l’heure actuelle, on ne peut pas le contrer. Firefox et Chrome, qui sont les plus gros navigateurs avec Safari, ont fait des communiqués pour dire qu’ils allaient modifier les moteurs de JavaScript. En fait, ils vont dégrader leurs performances pour que cette attaque ne soit plus possible. Mais, à terme, il faudra trouver une autre solution…
En ce moment, il y a beaucoup d’informaticiens et d’experts en sécurité qui parlent de partir élever des chèvres dans le Larzac ! Car on ne sait pas comment arrêter cette attaque.
Pour une entreprise, il est très important d’appliquer toutes les mises à jour, et cela peut être compliqué. Toutes les entreprises n’ont pas les dernières versions des systèmes d’exploitation. Par exemple, il y a un correctif pour Windows 10, mais seulement pour la toute dernière version. Si elle n’est pas installée sur votre machine, vous ne bénéficierez pas du correctif. En plus, c’est incompatible avec les antivirus, donc il faut les enlever pour appliquer le correctif…
S’il n’y a pas de correctif, comme pour Spectre, où s’il ceux qui existent ne sont pas appliqués, vos employés, qui vont sur internet – même sur des sites tout à fait normaux – peuvent se faire voler tous leurs mots de passe. En fait, c’est un nouveau monde de hack qui s’ouvre !
Et pour les particuliers ?
Les particuliers, eux, ne sont pas susceptibles d’être soumis à des attaques aussi ciblées, mais des piratages beaucoup plus larges. Là encore, l’attaque sur les mots de passe est la plus évidente. A mon avis, on va avoir droit, dans les semaines à venir, à un nouveau rançongiciel. Il va forcément y avoir un groupe de pirates qui va penser à utiliser ces failles non corrigées pour faire ça.
Malheureusement, il n’y a pas grand-chose à faire à part appliquer les mises à jours. Protégez vos données, faites des back-ups. Il faut imaginer que tous vos mots de passe peuvent être connus. Essayez aussi de laisser le moins de données sensibles possibles sur les machines.
Il va falloir aussi regarder ce qui se passe au niveau des téléphones, parce qu’on en parle peu pour l’instant, mais ils sont aussi vulnérables. Il va y avoir cette année énormément de mises à jour car de nombreux logiciels vont essayer de mitiger l’attaque Spectre en recompilant, en créant de nouvelles versions, etc. Mais il a falloir attendre un peu. Par exemple, Chrome a prévu une mise à jour pour minimiser Spectre, mais elle ne sortira qu’à la fin du mois de janvier.