Les vulnérabilités Spectre et Meltdown, révélées début 2018, ont marqué un tournant dans l'histoire de la cybersécurité. Elles touchent la quasi-totalité des processeurs modernes, sur tous les systèmes d'exploitation et architectures. Les fabricants de CPU et les éditeurs OS ont réagi rapidement en publiant des correctifs.
Cependant, les premiers patchs ont présenté des problèmes de jeunesse.
Plus d'un an après les premières alertes, sommes-nous plus proches d'une protection définitive contre Meltdown et Spectre ?
Les failles Spectre et Meltdown, découvertes en 2018, continuent d'impacter le monde informatique. Meltdown cible spécifiquement les microprocesseurs Intel depuis 1995, exposant la majorité des CPU Intel mondiaux, y compris dans les clouds comme Microsoft Azure et Amazon Web Services.
Spectre a un impact plus large, affectant les processeurs Intel, AMD et ARM. Ces vulnérabilités rendent vulnérable l'essentiel du parc informatique mondial, avec des racines remontant à plus de 20 ans.
Les révélations ont suscité une vive inquiétude chez les consommateurs et entreprises. Intel, AMD et ARM ont publié des correctifs, mais des questions persistent : fonctionnent-ils vraiment ? Faut-il remplacer les processeurs ? Quand arriveront des CPU totalement sécurisés, et à quel coût ?
"Nous n'avons jamais vu une faille aussi étendue affectant tous les principaux processeurs", déclare David Kennedy, PDG de TrustedSec, expert en tests d'intrusion et conseils en sécurité.
"J'ai reçu au moins dix appels de grandes entreprises la semaine dernière, et deux hier, pour expliquer la situation. Ils sont perdus sur la mise en œuvre des patchs. C'est le chaos."
Non, il ne s'agit pas d'un film crossover James Bond-Star Trek. Spectre Next Generation désigne la seconde vague de vulnérabilités Spectre, découverte par le Project Zero de Google (aussi à l'origine de la première génération).
Project Zero est l'équipe de Google dédiée à la détection et à la divulgation responsable des failles zero-day avant leur exploitation malveillante.
Pour plus de détails, consultez cet article sur les implications.
La diversité des appareils vulnérables complique les choses : chaque matériel nécessite un patch adapté. Depuis janvier 2018, le rythme des mises à jour a été impressionnant.
Intel a précipitamment déployé un correctif, mais au prix de pertes de performances notables. Intel affirmait initialement que l'impact serait minime pour l'utilisateur moyen et s'atténuerait, mais cela s'est avéré inexact, même pour les nouveaux processeurs.
Le 22 janvier 2018, Intel a retiré un patch Spectre causant des redémarrages aléatoires, recommandant de désinstaller les mises à jour. Des annonces similaires ont été faites par VMware, Lenovo et Dell.
Fin janvier, Microsoft a confirmé des dégradations de performances et erreurs sur Windows 10. Apple a corrigé ses affirmations sur les protections pour macOS plus anciens (High Sierra, Sierra, El Capitan).
Linus Torvalds, créateur du noyau Linux, critique sévèrement les patchs Spectre/Meltdown, qualifiant ceux d'Intel de "COMPLETE AND UTTER GARBAGE".
Lisez sa diatribe complète ici. Elle mérite attention.
Torvalds a analysé les patchs : Intel les rendait optionnels et OS-dépendants pour éviter une refonte hardware. Il propose des patchs séparés (microcode et noyau). Au lieu de cela, Intel lie les deux, masquant les pertes de performance via un mode optionnel, reportant la responsabilité sur l'utilisateur.
Le 29 janvier 2018, Linux 4.15 intégrait des protections étendues pour Intel et AMD. Les critiques de Torvalds s'appliquent à tous les OS.
Intel a évité un impact majeur sur ses résultats financiers malgré la faille mondiale. Cependant, il a été critiqué pour avoir informé en amont des clients chinois (Alibaba, Lenovo) avant les agences US.
Ces dernières n'ont été alertées qu'à la divulgation publique. Sans preuve d'usage malveillant par la Chine, cela interroge les priorités d'Intel. Vu la surveillance chinoise, Pékin était probablement informé en premier.
Retpoline est une technique logicielle anti-injection de branche cible, protégeant contre les attaques Spectre via une prédiction alternative.
En décembre 2018, Microsoft l'a testé via son programme Insider (19H1). En mars 2019, il est devenu disponible pour tous sous conditions :
Pour vérifier votre version : Touche Windows + I > Système > À propos. Si 1809, installez KB4470788 via Windows Update ou le Catalogue Microsoft Update (x64/x86).
Les premiers patchs étaient temporaires. Il n'est pas juste de laisser les utilisateurs choisir entre sécurité et performance.
Retpoline améliore les performances sans compromettre la sécurité, mais n'est pas universel.
En 2018, le PDG Intel Brian Krzanich promettait des CPU avec correctifs hardware. Intel a confirmé des protections silicon pour Whiskey Lake (basse conso) et Ice Lake (10e gen), incluant anti-Foreshadow. Les gammes 14 nm persistent en 2018.
Vous pensez être protégé ? Vérifiez la liste des matériels non impactés.
