Meltdown et Spectre : des failles critiques pour tout le monde ! |
————— 04 Janvier 2018 à 12h15 —— 22444 vues
Meltdown et Spectre : des failles critiques pour tout le monde ! |
————— 04 Janvier 2018 à 12h15 —— 22444 vues
Tout juste hier, nous vous parlions du bug matériel découvert chez Intel affectant au moins tout ses processeurs produits depuis 2011, dont Nicolas vous a expliqué le pourquoi du comment sur cette brève. La faille a depuis été baptisée "Meltdown", un choix très révélateur qui souligne bien l'aspect critique de la chose. Normalement, tous les systèmes d'exploitations actuels devraient voir arriver des correctifs finalisés incessamment sous peu - si ce n'est déjà fait -, hélas aux dépens des performances qui souffriront après application des patchs, de baisses jusqu’à 25% selon les premières estimations, heureusement l'impact semble minime en jeu. On se console comme on peut ! Précisons que les patchs respectifs endommageaient initialement les performances de tous les processeurs x86, sans discrimination (tactique spray and pray), AMD a néanmoins finalement réussi à persuader les développeurs de noyaux Linux à ce que ses processeurs soient épargnés.
Une fondue savoyarde ? Non, c'est Meltdown !
Alors que Meltdown ne concerne visiblement uniquement les CPU Intel (pour le moment ?), il semblerait bien qu'une seconde faille ait décidée de se joindre à la fête et a d'ores et déjà été confirmée comme pouvant porter atteinte tout autant aux processeurs d'Intel qu'à ceux d'AMD, d'IBM et la majorité des processeurs ARM : Spectre ! Ce qui veut dire que toutes les plateformes sont cette fois-ci concernées, qu'il s'agisse de desktops, laptops, serveurs ou smartphones... Pas de jaloux, au moins tout le monde se retrouve ici (relativement) sur un pied d’égalité.
Meltdown et Spectre sont deux attaques différentes, mais à l'approche assez similaire; pour résumer, Meltdown autorise par exemple la rupture de l'isolation entre les applications utilisateur (donc leurs processus divers) et le noyau du système, pendant que Spectre permet de porter atteinte à la séparation entre les processus des applications en fonctionnement, grosso modo l'exploitation de l'un comme de l'autre permet d’accéder à des informations (potentiellement sensibles, mots de passe, clés, etc.) qui ne devraient pas pouvoir l’être.
Un Spectre fouettard ?
Selon les chercheurs, par rapport à Meltdown, Spectre serait bien plus difficile à exploiter, mais du coup aussi moins évident à corriger, et contrairement aux patchs de Meltdown déjà bien avancés chez Linux, Windows et macOS, le travail sera autrement plus intense pour barricader tout logiciel actuel contre une exploitation via Spectre. D'autant plus que là encore, on peut logiquement s'attendre à des baisses de performances - au moins initialement - dès l’application des futurs correctifs colmatant les brèches.
En voilà une affaire dont on en a pas encore fini d'entendre parler et dont les conséquences vont certainement se faire ressentir sur la durée, d'une part du fait des baisses de performances apparentes (qu'il s'agira quand même de tester plus en détail), et d'autre part à cause de l'atteinte évidente aux réputations des constructeurs respectifs et de leurs produits, sans exception. Un cauchemar PR de la pire espèce ! Et si les partis concernés essayent inévitablement (parfois légitimement) de minimiser la chose au fils des annonces auprès de la presse (comme ici), il faudra impérativement éviter de se lancer dans un débat de fanboy Intel vs AMD sans fin, puisque tous les constructeurs souffrent ici des conséquences de choix architecturaux effectués il y a des années et aucun n'avait alors vraiment anticipé de telles failles de sécurité, lesquels sont en cours de traitement depuis novembre, rappelons-le.
Cela-dit, avec toute l'attention et le bruit provoqué par cette affaire (dans une certaine mesure, probablement plus que de raison), il est tout à fait envisageable que des aspects des failles ci-dessus soient encore à découvrir, et similairement, au fur et à mesure des recherches rien n’exclut la trouvaille de nouveaux bugs critiques. Il serait aussi intéressant de voir l'impact potentiel de Meltdown et Spectre sur les processeurs en cours de développement, tout particulièrement dans le cadre où les baisses de performances causées par les patchs s’avèrent correctes. En tous cas, quelle ambiance pour débuter 2018 ! Le CES promet d’être fun pour les constructeurs de CPU...
Un poil avant ?Nostalgeek : Diddy Kong Racing 64 porté (un tout tout petit peu) sur PC | Un peu plus tard ...Comment transformer une banane en grille pain avec un sticker ? |