Les révélations sur les vulnérabilités des processeurs Spectre et Meltdown ont été un début choquant pour 2018. Les vulnérabilités affectent presque tous les processeurs, sur pratiquement tous les systèmes d'exploitation et architectures. Les fabricants de processeurs et les développeurs de systèmes d'exploitation ont rapidement publié des correctifs pour se protéger contre les vulnérabilités.
Mais il y avait aussi de sérieux problèmes de jeunesse.
Maintenant, plus d'un an après les rapports initiaux, sommes-nous plus proches d'une véritable correction des vulnérabilités Meltdown et Spectre ?
Les vulnérabilités Spectre et Meltdown découvertes début 2018 continuent d'avoir un impact sur l'informatique. L'effondrement affecte spécifiquement les microprocesseurs Intel depuis 1995. La longévité de ce problème signifie que la plupart des processeurs Intel du monde sont menacés et même des services comme Microsoft Azure et Amazon Web Services.
Spectre a un effet global similaire. La vulnérabilité Spectre affecte les microprocesseurs d'Intel, ainsi que d'autres grands concepteurs, notamment AMD et ARM. Ainsi, Spectre et Meltdown rendent la majeure partie de l'informatique mondiale vulnérable, une situation qui remonte à plus de 20 ans.
Naturellement, les révélations continuent de semer la consternation chez les consommateurs et les entreprises. L'inquiétude est multiple. Intel, AMD et ARM ont tous publié des correctifs pour les vulnérabilités ; ces patchs fonctionneront-ils ? Est-il plus simple de remplacer des stocks entiers de microprocesseurs ? Quand un processeur entièrement sécurisé arrivera-t-il sur le marché ? Et le coût ?
"Nous n'avons jamais vu un bogue aussi étendu comme celui-ci qui affecte littéralement tous les principaux processeurs", déclare David Kennedy, PDG de TrustedSec, qui effectue des tests d'intrusion et des conseils en sécurité pour les entreprises.
"J'ai eu au moins dix appels la semaine dernière avec de grandes entreprises et deux hier pour expliquer ce qui se passait. Ils n'ont aucune idée de ce qu'il faut faire quand il s'agit de patcher. C'est vraiment la pagaille."
Non, ce n'est pas le crossover James Bond-Star Trek dont vous rêviez. Spectre Next Generation est la deuxième génération de vulnérabilités Spectre. La deuxième génération a été découverte par Project Zero de Google (qui a également révélé la première génération).
Project Zero est le groupe de travail de Google chargé de détecter et de divulguer de manière responsable les vulnérabilités du jour zéro avant que des individus malveillants ne les découvrent.
Je ne vais pas entrer dans tous les détails ici, mais voici un article expliquant les implications de Spectre Next Generation.
La vaste gamme d'appareils vulnérables pose un autre problème. Chaque type de matériel nécessite une solution légèrement différente conçue individuellement. Le processus de patch depuis janvier 2018 a été tout simplement époustouflant.
Intel s'est précipité pour développer et publier un correctif de sécurité. L'inconvénient était de graves problèmes de performances. Intel a tristement déclaré que "tout impact sur les performances dépend de la charge de travail et, pour l'utilisateur moyen d'un ordinateur, ne devrait pas être significatif et sera atténué avec le temps". La déclaration était fausse à l'époque et le reste au moment de la rédaction.
Même les nouveaux processeurs qui arrivent tout juste sur le marché en ressentent encore les effets.
En fait, le 22 janvier 2018, Intel a retiré l'un de ses correctifs Spectre car il provoquait un problème de redémarrage aléatoire. Intel a suggéré que les administrateurs réseau devraient simplement annuler toutes les mises à jour déjà installées, le vice-président exécutif d'Intel, Neil Shenoy, déclarant "Je m'excuse pour toute perturbation que ce changement de directives pourrait causer". VMware, Lenovo et Dell ont tous fait des annonces similaires en même temps.
Puis fin janvier, Microsoft a également annoncé que les correctifs Spectre et Meltdown pour Windows 10 compromettaient les performances et provoquaient des erreurs fatales aléatoires, confirmant que leurs correctifs de sécurité étaient bogués.
Oh, et Apple a également rétracté les revendications concernant les protections pour les machines plus anciennes, publiant une pléthore de correctifs pour High Sierra, Sierra et El Capitan.
Linus Torvalds, le créateur et développeur principal du noyau Linux, reste très critique à l'égard de l'ensemble du processus de patch Spectre/Meltdown. (Qu'est-ce qu'un noyau, de toute façon ?). En fait, Torvalds est allé jusqu'à déclarer les correctifs d'Intel comme "COMPLETE AND UTTER GARBAGE".
Vous pouvez lire le reste de sa tirade ici. Cela vaut la peine d'être lu.
Linus a analysé les patchs. Il a découvert qu'Intel tentait de rendre les correctifs de sécurité facultatifs, ainsi que basés sur le système d'exploitation, afin qu'ils n'aient pas à réviser complètement la conception de leur processeur (ce qui est la seule option pour une véritable sécurité --- j'expliquerai pourquoi dans un instant ).
Une alternative consisterait à publier deux correctifs, l'un activant les correctifs de sécurité et l'autre implémentant les correctifs du noyau.
Au lieu de cela, Torvalds soutient qu'Intel force les deux ensemble à passer sous silence les performances en autorisant un "mode sécurisé facultatif", dans lequel l'utilisateur doit activer son processeur dans le correctif et faire en sorte que les performances affectent la décision des clients, plutôt qu'Intel ne prenne le flak. . De plus, si et quand les utilisateurs démarrent un ancien système d'exploitation qui n'a jamais connu le correctif, ils seront instantanément vulnérables.
Le 29 janvier, le noyau Linux 4.15 a été mis à disposition, avec des capacités de sécurité nouvellement étendues dans les processeurs Intel et AMD sur les appareils Linux. Et tandis que la diatribe de Linus Torvalds était axée sur Linux, il est clair que les correctifs d'Intel n'étaient pas à la hauteur pour aucun système d'exploitation.
Bien qu'Intel ait esquivé une balle concernant ses rapports sur les bénéfices (malgré la vulnérabilité critique trouvée dans la plupart des ordinateurs du monde, les bénéfices d'Intel progressent assez bien), Intel a reçu de nombreuses critiques pour avoir divulgué à la fois Meltdown et Spectre à ses énormes clients chinois, comme Alibaba. et Lenovo, avant qu'il ne le dise au gouvernement américain.
Plusieurs grandes agences américaines n'ont été informées de Spectre et Meltdown que lorsque les rapports ont été rendus publics, plutôt que lors d'un processus de notification préalable à la divulgation. Et bien qu'il n'y ait aucune indication que les informations aient été utilisées de manière inappropriée (par exemple, transmises et utilisées par le gouvernement chinois), cela soulève des inquiétudes importantes quant au choix d'Intel concernant les personnes à informer.
Compte tenu de la profondeur et de l'ampleur de la surveillance Internet chinoise, il semble tout à fait improbable que le gouvernement chinois n'ait pas été conscient des vulnérabilités avant le gouvernement américain.
Retpoline est une "construction logicielle pour empêcher l'injection de branche-cible". En d'autres termes, il s'agit d'un correctif qui protège contre Spectre en introduisant une branche de prédiction alternative, protégeant le système des attaques de spéculation de type Spectre.
En décembre 2018, Microsoft a mis à disposition le correctif retpoline pour son programme Insider. Le programme Insider et les Insider Previews sont l'endroit où Microsoft teste la prochaine version de Windows 10 avant qu'elle n'atteigne la version grand public. La dernière mise à jour, 19H1, contient la mise à jour retpoline.
Cependant, en mars 2019, Microsoft a annoncé que le correctif retpoline est disponible pour tous ceux qui souhaitent le télécharger. Il y a quelques conditions :
Vous ne savez pas quelle version de Windows 10 vous utilisez actuellement ? Appuyez sur Touche Windows + I , puis Système> À propos. Vous pouvez voir votre version actuelle de Windows sous Spécification Windows . S'il indique 1809, vous pouvez installer la mise à jour. Sinon, vous devrez attendre que votre version de Windows rattrape.
La mise à jour retpoline, KB4470788, arrivera sur votre système via le processus régulier de mise à jour Windows. Cependant, vous pouvez télécharger la mise à jour KB4470788 via le catalogue Microsoft Update. Téléchargez la version adaptée à l'architecture de votre système d'exploitation (par exemple, x64 pour 64 bits, x86 pour 32 bits), puis installez-la.
La première génération de correctifs Spectre et Meltdown étaient des solutions temporaires. Il ne devrait pas incomber aux consommateurs d'activer les correctifs de blocage de vulnérabilité, et encore moins de décider du compromis entre les problèmes de sécurité au niveau du noyau et les performances du processeur. C'est tout simplement injuste, et encore moins totalement contraire à l'éthique.
Le déploiement lent des correctifs retpoline est préférable pour les consommateurs, corrigeant les vulnérabilités du système et ramenant la vitesse du système aux niveaux précédents. Pourtant, certains utilisateurs ne bénéficient pas d'un correctif retpoline, il ne s'agit donc pas d'un pansement magique.
Au début de 2018, le rapport financier d'Intel contenait des informations du PDG Brian Krzanich qui avait promis que les puces avec de véritables correctifs matériels commenceraient à être expédiées cette année. Malheureusement, Krzanich n'a pas précisé ce que signifiait cette déclaration audacieuse.
Cependant, parce que Krzanich a confirmé qu'Intel prévoyait de continuer à développer ses produits 14 nm (processeurs Intel à partir de 2014 --- Kaby Lake, Coffee Lake, Skylake, etc.) tout au long de 2018. Cela crée des possibilités :génération de processeurs et de correctifs pour les prochains processeurs Cannon Lake, ou l'un ou l'autre.
Plus tard en 2018, Intel a annoncé que des correctifs matériels --- c'est un correctif basé sur le processeur en silicium --- arriveront avec la prochaine génération de processeurs Intel. Certains correctifs seront déployés avec la série de processeurs basse consommation, Whiskey Lake, tandis que d'autres devraient arriver avec les processeurs de facto de 10e génération, Ice Lake. La nouvelle génération de processeurs Intel devrait également protéger contre la vulnérabilité Foreshadow.
Vous pensez que Spectre et Meltdown ne vous affectent pas ? Consultez la liste du matériel informatique non affecté par les vulnérabilités et détrompez-vous.