Vous avez entendu parler des failles meltdown et spectre et vous n’y comprenez rien. Prenez-nous la main, on vous l’explique de la manière la plus simple.

En 2018, on avait des failles appelées meltdown et spectre. En fait, on les a découverts en 2017, mais on les a révélés en 2018. On peut dire que la sécurité informatique est une vraie passoire, mais le fait est que failles meltdown et spectre avaient une particularité unique. Elles concernaient directement tous les processeurs qui existent depuis une vingtaine d’années. Mais en quoi ça consiste ?

Comprendre les bases d’un processeur

Pour comprendre les failles meltdown et spectre, on va prendre une situation assez simple. Vous allez sur eBay et vous achetez un produit. Vous allez le payer avec votre carte de crédit ou Paypal. Et vous n’avez aucune crainte puisque vous savez que la connexion est chiffrée. Mais quand vous tapez votre mot de passe ou les identifiants de la carte de crédit, les touches du clavier sont enregistrées par le processeur avant d’être chiffrées. Le coeur des failles meltdown et spectre concerne une fonctionnalité appelée l’exécution spéculative.

Cela implique que le processeur doit effectuer une tâche avant même qu’elle le demande. Quand vous tapez sur vos touches de clavier, elles sont enregistrées dans une chose appelée la mémoire cache qui se trouve dans le processeur. Ces données sont les plus sensibles de toute votre machine et en général, chaque programme que vous utilisez va l’isoler. Ainsi, les choses que vous faites dans Chrome ne sont pas connues des autres applications Windows.

Un impact catastrophique sur le Cloud

Quand le processeur effectue une exécution spéculative, on a des changements dans l’état du processeur et ces changements permettent de savoir la localisation des données qui sont enregistrées dans le cache. Un malware, exploitant les failles meltdown et spectre, pourrait voler vos informations les plus sensibles.

Pour l’utilisateur lambda, la portée de la faille est limitée. Mais pour le Cloud, c’est catastrophique. Car les hébergeurs utilisent souvent les serveurs pour créer plusieurs machines virtuelles. Une machine virtuelle se comporte comme un vrai ordinateur et chacune est isolée des autres machines virtuelles. Mais avec cette les failles meltdown et spectre, on peut casser cette isolation en théorie et mettre la main sur toutes les données sensibles.

Qu’est-ce que la faille Meltdown ?

La faille Meltdown casse l’isolement entre les applications et le système d’exploitation. Elle affecte les processeurs Intel, Apple, mais également ARM. Les processeurs AMD ne sont pas concernés par cette faille. Heureusement, on peut corriger facilement cette faille, mais c’est au détriment de la performance du CPU. Les patchs Meltdown sont déjà disponibles pour la majorité des plateformes.

Qu’est-ce que la faille Spectre ?

La faille Spectre est plus étendue et plus difficile à corriger. Elle casse l’isolement entre les programmes. Donc, dans notre exemple d’utiliser Chrome pour aller sur eBay par exemple, cette faille permet à une autre application Windows de connaitre les données sensibles avant qu’elles ne soient chiffrées par eBay. La faille Meltdown affecte tous les processeurs, que ce soit d’Intel, d’AMD ou d’IBM. On peut le comparer à un navire qui a une fuite, mais malgré vos efforts, vous ignorez d’où elle vient.

Tout ce que vous pouvez faire est d’évacuer l’eau au fur et à mesure. À chaque fois qu’un trou, exploitant Spectre, apparait, il faut la corriger de nouveau. Toutefois, il ne faut pas paniquer face aux failles meltdown et spectre. Elles sont très difficiles à exploiter, car il faut que des conditions ultra-précises pour pouvoir mettre la main sur les données. Et pour être protégé de ces failles, les mêmes conseils s’appliquent.

Gardez toujours vos systèmes à jour, notamment Windows et les applications que vous utilisez. Microsoft a déployé des patchs pour les failles meltdown et spectre sur Windows 7 et Windows et Google a fait de même pour Android. Et si vous utilisez un processeur AMD, vous êtes assez tranquille. Car vous n’êtes pas concerné par la faille Meltdown et la probabilité de Spectre est assez négligeable.