Ces deux bugs affectent les processeurs, au cœur des ordinateurs, des smartphones et des serveurs utilisés dans des services de cloud. Leurs conséquences pourraient être très graves.

Ils s'appellent Spectre et Meltdown, et pourraient devenir le pire cauchemar des professionnels de l'informatique.

Mercredi soir, une équipe de chercheurs a dévoilé l'existence de deux failles de sécurité majeures, qui concernent presque l'intégralité des ordinateurs dans le monde. Le Figaro fait le point.

Qu'est-ce que Spectre et Meltdown?

Spectre et Meltdown sont les surnoms donnés à deux failles majeures de sécurité. Ces bugs concernent plus particulièrement les processeurs des ordinateurs. En informatique, ces puces servent à traiter des données et à exécuter des instructions. Elles sont dotées d'une mémoire, qui permet à l'ordinateur d'exploiter des informations en temps réel, notamment par le biais de logiciels. Cette mémoire est protégée.

Or, Spectre et Meltdown permettent à un logiciel malveillant d'y accéder.

Il peut s'agir d'identifiants de connexion (un pseudo associé à votre mot de passe) que vous auriez enregistrés dans votre navigateur Web, le contenu de certains emails ou documents, etc. Ces failles concernent aussi les smartphones ou des services hébergés dans le «cloud», c'est-à-dire de manière dématérialisée, qui exploitent eux aussi des serveurs équipés de processeurs.

Spectre et Meltdown affectent tous les deux les processeurs d'ordinateurs et d'autres appareils. Mais leurs conséquences sont différentes, et ils ne touchent pas les mêmes fabricants de puces.

Quels sont les risques concrets?

En quelque sorte, Meltdown fait «fondre» les protections entre les applications et le système d'exploitation.

Spectre va, lui, plus loin, en cassant l'isolation entre différentes applications. Il est ainsi possible pour un pirate informatique de passer de l'une à l'autre pour récupérer des données.

Dans les deux cas, le risque est qu'un logiciel malveillant accède à la mémoire de l'appareil et de ses données sensibles. Toutes les informations brassées par la machine peuvent, en théorie, être accessibles. D'après les chercheurs, Meltdown est plus facilement exploitable que Spectre.

Les risques sont a priori plus grands pour les services de cloud que pour les ordinateurs personnels. Généralement, un serveur sert à héberger les données de nombreux clients. Si l'un d'entre eux est un pirate, il peut potentiellement exploiter ce bug pour siphonner les informations des autres. Dans le cas des particuliers, un pirate doit d'abord installer un logiciel malveillant sur une machine pour pouvoir exploiter le bug. C'est possible, au travers de l'envoi d'un email d'hameçonnage ou du téléchargement d'une application vérolée par un particulier. On craint aussi que ce bug puisse aussi être exploité au travers des navigateurs Web, comme l'a noté Mozilla dans une note de blog publiée mercredi soir.

Est-ce que mon ordinateur est concerné?

Probablement. Meltdown concerne tous les processeurs Intel qui équipent les ordinateurs et les serveurs, notamment utilisés pour les services de cloud, et ce depuis 1995. Des millions de machines sont ainsi concernées. Les chercheurs précisent qu'ils ignorent pour le moment si d'autres marques de processeurs, notamment ceux dessinés par le Britannique ARM ou produits par AMD, sont également concernées. Spectre, de son côté, concerne presque tous les ordinateurs de bureau, ordinateurs portables, les serveurs et les smartphones qui utilisent des architectures de processeurs ARM.

Comment se protéger?

Les entreprises dont les activités sont concernées par le bug Meltdown travaillent à sa correction depuis plusieurs mois. La plupart vont publier ce qu'on appelle un «patch», un peu comme une rustine logicielle, pour régler ou au moins limiter le problème, notamment dans le cas de Meltdown.

Microsoft a déjà annoncé la publication d'un correctif pour son système d'exploitation Windows 10, qui sera disponible dans la journée. Pour les versions antérieures (Windows 7 et 8), il faudra attendre la semaine prochaine. Apple a déjà apporté des modifications sur macOS, le système d'exploitation des Macs. Un correctif pour Linux, un système d'exploitation libre qui équipe des ordinateurs et surtout de nombreux serveurs utilisés par des sociétés de cloud, est déjà disponible. Plusieurs entreprises du secteur, comme la société française OVH ou Amazon Web Services et Azure (le service cloud de Microsoft) ont déjà annoncé le déploiement de ce patch. Android, le système d'exploitation mobile développé par Google, recevra une mise à jour de sécurité d'ici vendredi. C'est également le cas des navigateurs Web Google Chrome et Firefox.

Il n'existe en revanche pour le moment aucun correctif logiciel total pour Spectre, car le bug est inhérent à la manière dont sont conçues ces puces. 

Et maintenant?

Il reste de nombreuses zones d'ombre quant à l'exploitation de ces bugs, et l'avenir de l'informatique en général. On ignore par exemple si ces failles ont déjà été exploitées à des fins malveillantes. Les patchs proposés par Microsoft, Apple ou autres ne suffiront par ailleurs pas à régler complètement le problème. Dans le cas de Spectre, c'est toute la manière dont sont aujourd'hui construits les processeurs, et donc les ordinateurs, qui doit être repensée. Il n'existe pas de solution simple ou sur le court terme. Et celles proposées aujourd'hui, sous forme de patch logiciel, pourraient affecter la performance de certains ordinateurs, notamment ceux qui sont équipés de processeurs anciens