L’année 2018 commence très mal : des failles de sécurité critiques ont été découvertes, non pas sur un site Web ou dans un logiciel particulier, mais dans tous les processeurs commercialisés depuis dix ans. Autant dire que la planète entière est concernée. Le risque est le vol de données confidentielles, et la correction de ces failles, en cours de déploiement, pourrait faire ramer les ordinateurs et les serveurs informatiques.

Les processeurs sont les composants électroniques présents dans tous les ordinateurs (ceux des particuliers et d’entreprise, mais aussi les serveurs informatiques, les tablettes et les smartphones), qui permettent d’exécuter les instructions des logiciels, donc à la machine de «réfléchir». Une grande marque américaine, Intel, écrase aujourd’hui la concurrence en équipant la grande majorité des ordinateurs personnels et la quasi-totalité des serveurs. AMD possède les parts de marché restantes, et ARM domine le marché des appareils mobiles.

L’une des failles de sécurité, «Meltdown», ne concerne que les processeurs Intel. Mais les trois marques sont en revanche sensibles à l’autre vulnérabilité, «Spectre».

Elles sont toutes deux connues depuis plusieurs mois des experts en sécurité informatique, qui travaillent à la résolution du problème le plus discrètement possible pour ne pas alerter les éventuels pirates qui voudraient en profiter. Mais la rumeur commençait à enfler trop vite ces derniers jours, et l’embargo initialement fixé au 9 janvier a été brisé par l’équipe Google Project Zero. Les principales informations ont été dévoilées au grand public ce mercredi.

«Ces bugs matériels permettent à des logiciels de voler des données en train d'être traitées par l'ordinateur», explique le site Meltdownattack.com, qui résume ce que l'on sait de cette catastrophe informatique. La différence entre Meltdown et Spectre réside dans la stratégie d'attaque. Meltdown casse la protection qui empêche normalement les logiciels d'accéder à la mémoire vive de l'ordinateur, celle qui traite des données en temps réel. Spectre, lui, fait tomber les murs qui séparent les différents logiciels d'une machine. Ils peuvent alors lire les données des uns et des autres quand elles transitent par la mémoire de la machine. Des pirates informatiques pourraient ainsi créer un logiciel malveillant qui «volerait» aux autres programmes des données confidentielles comme des messages, des photos ou des mots de passe.

Démonstration de récupération d’informations sensibles en exploitant la faille Meltdown : le mot de passe s’affiche en clair dans la fenêtre du bas, en temps réel, à mesure qu’il est écrit de manière chiffrée dans la fenêtre du haut. (Image Michael Schwarz)

Un tel logiciel est-il déjà en circulation, téléchargeable par des internautes inattentifs ou s'infiltrant dans les ordinateurs via des mails de hameçonnage ? Personne ne le sait, et il serait très difficile de le détecter : l'exploitation de Meltdown et Spectre ne laisse pas de traces. Il se pourrait même que les failles soient exploitables par un site Web vérolé, selon les indications de Mozilla, la fondation qui développe le navigateur Firefox. Nul besoin alors d'installer un programme sur l'ordinateur : une simple visite d'un site peu recommandable suffirait.

Il est bien sûr possible de réparer les failles des processeurs, mais c'est un des plus gros pansements que l'on ait eu à concevoir dans toute l'histoire de l'informatique. Un morceau des systèmes d'exploitation – Windows, macOS, les distributions Linux… – doit être réécrit, et la mise à jour aura de lourdes conséquences : les machines pourraient voir leurs performances baisser de 5% à 30%, d'après un article de The Register.

Les plus gros serveurs informatiques ont déjà commencé à «patcher» leurs systèmes pour colmater les failles. Amazon a annoncé qu’il devra redémarrer son service de cloud ce vendredi 5 janvier – ce qui entraînera une indisponibilité temporaire de ses serveurs, avec des conséquences non négligeables pour ses millions d’utilisateurs. IBM et OVH lui emboîteront le pas ce week-end avec mise à jour et redémarrage de tous leurs serveurs. Azure, la plateforme de cloud de Microsoft, a programmé son reboot pour le mercredi 10 janvier.

Côtés ordinateurs personnels et smartphones, tous les systèmes d'exploitation récents devraient bénéficier de leur patch correctif au cours du mois de janvier. Il ne faudra donc pas négliger d'installer les mises à jour que proposeront Microsoft, Apple, Google et consorts pour se protéger des attaques. Le correctif pour Windows sera publié mardi prochain. Selon l'expert en sécurité Alex Ionescu, Apple aurait quant à lui déjà intégré son patch à la nouvelle version de macOS «High Sierra», dans sa version 10.3.2, sortie début décembre (mais les possesseurs de la version précédente «Sierra» devront patienter). La mise à jour la plus récente du noyau Linux, numérotée 4.15, est elle aussi déjà corrigée.

Mais on entendra parler de Spectre des années encore après ces rustines d’urgence : à long terme, c’est l’architecture même des processeurs et le fonctionnement des ordinateurs qui doit être remis en cause et refondé.