Qu’est-ce qu’une faille de sécurité ?
Une faille de sécurité informatique (aussi communément appelée « vulnérabilité ») est une faiblesse avérée dans un système informatique. Cette faiblesse exploitée par un tiers malveillant peut lui permettre de porter atteinte à l’intégrité du système (son fonctionnement, la confidentialité et l’intégrité des données qu’il protège). Une faille de sécurité est la conséquence d’une faiblesse au niveau de la conception, de l’utilisation ou de la mise en œuvre d’un composant matériel ou logiciel. Les failles de sécurité mises au jour font l’objet de correctifs. Cependant, tant que le correctif temporaire ou définitif n’est pas installé, l’utilisateur final du produit informatique est exposé aux éventuelles conséquences néfastes d’une exploitation par un pirate informatique.
Les failles SPECTRE et MELTDOWN
Les vulnérabilités SPECTRE et MELTDOWN (site en anglais) exploitent une fonction des processeurs nommée « exécution spéculative » (ES), qui permet aux processeurs d’optimiser leur rapidité de réponse en tentant d’anticiper les besoins de l’ordinateur lors de sa prochaine opération. L’ES prépare les informations nécessaires à la bonne exécution de l’opération. Spectre force le processeur à effectuer l’ES et permet d’accéder à des informations critiques. Meltdown permet quant à lui d’accéder aux informations critiques par le biais du système d’exploitation de l’ordinateur (Windows, macOS ou Linux).
Quels produits sont concernés ?
En tant que leader mondial des microprocesseurs, la firme Intel équipe une écrasante majorité des ordinateurs portables et de bureau mis en circulation ces 20 dernières années. Le matériel équipé de processeurs ARM ou AMD peut également être touché. Dans une interview accordée à la chaîne de télévision américaine CNBC le 3 janvier, le directeur général d’Intel a affirmé que les « téléphones et les PC sont concernés [par les deux failles], mais [que] l'impact variera d'un produit à l'autre ». La firme Google a quant à elle déclaré sur un blog que les téléphones sous système Androïd mis à jour récemment étaient protégés, notamment les modèles Nexus et Pixel. Concernant les produits Google, l’entreprise précise qu’aucune mesure spécifique n’est requise pour protéger le système de messagerie Gmail. En revanche, les utilisateurs du navigateur Chrome, des ordinateurs Chromebooks et des autres services de Google Cloud devront installer des mises à jour.
Quels sont les risques ?
Les chercheurs du Projet Zero ont publié un rapport complet détaillant les risques posés par ces deux failles de sécurité (en anglais). Pour le matériel et l’utilisateur final, les risques concrets de ces deux failles de sécurité dépendent en grande partie de la capacité d’éventuels hackers à exploiter la masse d’informations et produire un malware, c’est-à-dire un logiciel malveillant et intrusif. A l’heure actuelle, Intel déclare ne pas avoir connaissance de l’existence d’un logiciel Malware destiné à exploiter ces deux vulnérabilités.
Comment se protéger contre MELTDOWN ?
L’équipe de chercheurs du Project Zero de Google affirme qu’Apple et Microsoft disposent de correctifs pour les ordinateurs de bureau affectés par la vulnérabilité Meltdown. La faille pourrait être facilement contrée grâce à la mise à jour du système d’exploitation et des pilotes du processeur d’un ordinateur. La firme Intel a indiqué dans un communiqué espérer que « les éditeurs de systèmes d'exploitation auront corrigé le problème d'ici le 7 janvier pour plus de 90% des processeurs introduits au cours des 5 dernières années ».
Pour l’utilisateur final, cette mise à jour s’effectue à l’aide de l’assistant de mises à jour du système d’exploitation (Windows Update ou l’App Store), ou en se rendant directement sur le site internet du fabricant. En ce qui concerne Windows, la version KB4056892 de Windows 10 datant du 3 janvier est considérée comme sûre. Pour Mac, il s’agit de la version 10.13.2 de macOS High Sierra. Une mise à jour plus importante de Windows est prévue pour la semaine du 9 janvier. Ces correctifs ne prendront cependant pas en compte les systèmes d'exploitation obsolètes qui ne sont plus maintenus à jour par leurs éditeurs, comme par exemple Microsoft XP.
En ce qui concerne la mise à jour des processeurs, il suffit de télécharger les derniers pilotes sur le site du fabricant. La marque du processeur est indiquée sur une petite étiquette colorée collée sur le boitier de l’ordinateur. Une fois téléchargées, les mises à jour n’ont plus qu’à être exécutées. Là encore, les mises à jour écarteraient les microprocesseurs produits entre 1995 et 2013.
Comment se protéger contre SPECTRE ?
Concernant la faille SPECTRE, il semblerait que cela soit un peu plus compliqué. La vulnérabilité, qui provient de l’architecture physique des processeurs est irréparable avec une mise à jour logicielle. Les chercheurs en sécurité informatique vont cependant pouvoir colmater les brèches engendrées par la faille au fur et à mesure de leurs découvertes. Ces patchs correctifs, appliqués progressivement, permettraient de combler la faille sur le court terme. Sur le long terme, seul le remplacement des ordinateurs permettrait de ne plus être affecté par la vulnérabilité. Une légère baisse de performance des machines peut être à prévoir lors de la mise en place des patchs correctifs.
La sécurité informatique est l’affaire de tous
La mise au jour de ces deux failles démontre la faiblesse relative des systèmes informatiques auxquels nous confions chaque jour un très grand nombre de données. Si à l’échelle de l’utilisateur lambda il est impossible de mettre en place un système de sécurité infaillible, une utilisation plus responsable des produits informatiques personnels (le smartphone, la tablette ou le PC) peut permettre d’accroitre la protection des données sensibles. La mesure la plus simple au quotidien consiste à simplement limiter l’enregistrement de données sensibles comme les mots de passe, les clés de sécurité, les identifiants bancaires, etc.