Failles informatiques Meltdown et Spectre : vous êtes sûrement concernés, voici ce que vous risquez

Si vous lisez ce texte sur votre smartphone, votre ordinateur portable ou de bureau, PC ou Mac, vous êtes très probablement concerné par l'une des plus grandes failles informatiques de ces dernières années. Ou plus précisément, une double faille : Meltdown et Spectre.

Alors qu'une première faille avait été détectée le mardi 2 janvier, on a appris le lendemain qu'il en existait une seconde pour lequel il n'existerait pas encore de solution miracle. Ces deux failles, qui ont fait l'objet d'un bulletin d'alerte du centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR), reposent sur des logiques différentes. 

Mais elles ont la même (fâcheuse) conséquence : elles rendent accessible une partie de la mémoire du processeur par laquelle transitent à peu près toutes les données que vous utilisez au quotidien, y compris les plus sensibles : mots de passe, photos, emails, etc. 

Vous risquez de vous faire dérober toutes ces informations confidentielles par des pirates. Ceux-ci pourraient ensuite s'en servir de diverses manières (vente de données, chantage, malveillance, etc.). Aucune attaque informatique tirant profit de ces failles n'a encore été recensée. Mais les chercheurs qui les ont découvertes affirment qu'il est impossible pour un utilisateur de savoir pour l'instant s'il a été victime d'une tentative ou non.

L'un de ces chercheurs en sécurité informatique ayant participé à la découverte des failles, Michael Schwartz, a ainsi publié jeudi un gif montrant comment un mot de passe peut être volé en temps réel avec la faille Meltdown.

D'un côté, la faille Meltdown concerne les processeurs de marque Intel produits depuis 1995, et qui équipent la plupart des appareils. De l'autre, la faille Spectre concerne également Intel, mais aussi ses concurrents AMD et ARM, donc l'immense majorité des processeurs dans le monde. C'est aussi Spectre qui, selon des chercheurs, est plus difficile à parer. Pour l'anecdote, les deux failles ont déjà leur logo quasi-officiel. 

La plupart des entreprises concernées, notamment Microsoft, Apple et Google, ont publié des mises à jour pour leurs systèmes d'exploitation (Windows, MacOS, Android), ou doivent le faire d'ici la semaine prochaine. Un conseil : installez ces mises à jour au plus vite sur vos appareils, tout en vous assurant qu'elle viennent bien de sources sûres.

Si ces mises à jour sont censées contrer les deux problèmes, des chercheurs estiment que Spectre représentera toujours un risque. Pour ces experts, la faille la plus dangereuse ne pourra être entièrement colmatée qu'après avoir remplacé physiquement tous les processeurs atteints. En effet, contrairement à Meltdown, Spectre ne reposerait pas sur une faille de programmation mais sur une faille de conception.

Mardi, le site The Register affirmait que les mises à jour pouvaient diminuer les performances de vos appareils de 5 à 30 %. Mais il semble que cette diminution de performance soit minime, voire inexistante, pour les appareils grand public. Des conséquences plus lourdes peuvent advenir en revanche pour les serveurs et les services de Cloud qui en dépendent. Amazon a par exemple annoncé qu'il redémarrerait son service de Cloud ce vendredi, rapporte Libération, puis ce sera au tour des poids lourds IBM et OVH ce weekend, puis Microsoft le mercredi 10 janvier.