Spectre et Meltdown sont deux failles de sécurité majeures qui affectent les processeurs et CPU d’Intel depuis… 1995 ! Et pourraient également affecter des CPU qui embarquent des processeurs AMD, ARM et IBM. Un véritable cauchemar qui s’annonce pour tous les DSI et devrait sévir également sur le cloud.
Retenez bien cette expression : chipocalypse.
Dévoilées par une équipe de chercheurs de Google, les failles de sécurité Spectre et Meltdown concernent quasiment tous les ordinateurs dans le monde, une grande partie des serveurs, ainsi que des smartphones. Plus précisément, elles concernent tous les ordinateurs équipés de processeurs Intel depuis 1995 !
Nota 1 : au moment où nous écrivons cet article, aucune information ne nous est parvenue sur l’exploitation, ou non, des failles sur les processeurs Intel par des pirates… Le CERT, l'agence américaine en charge de la cybersécurité, a indiqué "ne pas avoir connaissance" de tentative de piratage utilisant ces failles.
Nota 2 : depuis la rédaction de cet article, Intel s'est fendu d'un communiqué officiel au sujet de l’impact des mises à jour de sécurité publiées récemment, qui affirme que "Des tests approfondis effectués par Apple, Amazon, Google et Microsoft indiquent qu'il y a peu ou pas d'impact sur les performances". Nous reproduisons l'intégral du communiqué en version originale en fin de notre article.
Les failles qui cassent l’isolation des applications
Dans un ordinateur, des fonctionnalités intégrées au noyau du processeur sont destinées à isoler le système d’exploitation (OS) des applications, et à isoler les applications entre elles, afin d'empêcher la lecture ou l’écriture non autorisée dans la mémoire système ou d’accéder à la mémoire utilisée par d’autres programmes. C’est une fonctionnalité de base des ordinateurs récents, c’est à dire conçus depuis la fin du siècle dernier.
Ce que les chercheurs ont révélé ce mercredi, c’est que cette isolation est fragilisée par deux bugs, des failles de sécurité qui affectent le noyau des processeurs et des CPU, et les mécanismes de protection de la mémoire vive, et qui permettent de contourner les mesures de sécurité. Spectre permet de casser l’isolation entre différentes applications qui s’exécutent sur le processeur. Et Meltdown permet de casser l’isolation entre l’OS et une application.
Alors que Meltdown n'affecte que les CPU Intel, Spectre touche la plupart des CPU produits au cours des 15 dernières années par Intel, AMD, ARM et IBM. La très grande majorité des machines actuelles est donc concernée.
Dans les deux cas, le risque est qu’un pirate exploite l’une des failles dans un logiciel malveillant pour accéder à la mémoire de l’ordinateur pour en vider le contenu, ou aux applications qui s’y exécutent, passant d’une application à l’autre pour dérober les données rendues accessibles, dont les mots de passe, les clés de chiffrement, et les données sensibles.
Un risque majeur, surtout pour le cloud
Avec des millions d’ordinateurs affectés, et aujourd’hui les failles révélées au monde, le risque est majeur. Nos ordinateurs personnels présentent un risque, Spectre et Meltdown peuvent être exploités via le téléchargement d’un application vérolée, proposée dans le cadre d’une campagne de phishing par exemple.
Mais là où le risque est majeur, c’est sur le cloud. En effet, les services dans le nuage s’exécutent sur des serveurs, or ceux-ci sont dimensionnés avec la virtualisation pour accueillir des milliers de machines virtuelles qui exécutent des milliers applications, on imagine les dégâts que pourrait occasionner un pirate qui exploite l’une des failles…
Des fournisseurs de cloud ont déjà envoyé des notifications d'urgence à leurs grands clients pour les prévenir d'indisponibilités à venir, afin par exemple d'éviter qu’un code hyperviseur ne fuite d'une machine virtuelle.
Se protéger…
Les failles des processeurs d’Intel sont gravées dans le silicium. Autant dire qu’il ne peut y avoir de correctif direct dans le CPU. Il faut donc passer par les éditeurs et les patchs. Qui en particulier portent sur le kernel (noyau) des principaux OS.
- Microsoft a déjà publié un correctif pour Windows 10 (il faudra attendre pour W7 et W8), et recommande à ses utilisateurs de maintenir leurs systèmes à jour et d’installer les mises à jour des micrologiciels fournies par les fabricants de périphériques OEM.
- Apple n’a pas encore publié de recommandation sur macOS.
- Quant à la communauté Linux, elle est déjà servie, Intel a collaboré à la réécriture du noyau Linux.
- Concernant le cloud, c’est vers les hébergeurs que l’on se tourne, qui comme Amazon AWS, Microsoft Azure ou le français OVH ont déjà annoncé le déploiement des patchs des éditeurs déjà cités.
- Enfin, les éditeurs de navigateurs internet, Google Chrome ou Firefox, vont également imposer leurs correctifs.
Notons que les patchs concernent principalement Meltdown, puisque c’est l’OS qui est impacté. Pour Spectre, pour lequel aucun correctif n’est disponible à cette date, les choses semblent plus compliquées. Il faudrait que le correctif s’applique directement au processeur… Ou alors, pour prendre en compte l’étendue de la menace, il faudrait revoir l’architecture des ordinateurs !
Dernière minute : Dans un nouveau communiqué diffusé jeudi, Intel affirme qu'il aura d'ici la fin de la semaine prochaine "diffusé des mises à jour pour plus de 90% de ses processeurs sortis ces cinq dernières années". Mais diffuser n'est pas appliquer, même si les DSI vont regarder cela de très près. Surtout, ils vont tester ces mises à jour avant de prendre le risque de les appliquer et de dégrader fortement les performances de leurs équipements...
Les effets secondaires
Histoire de complexifier un peu plus l’affaire, en plus de ne pas régler complétement le problème des failles, les correctifs pourraient également avoir des effets secondaires significatifs, sous la forme de ralentissement et de dégradation des performances. Les premiers experts qui ont soulevé ce problème évoquent des réductions de performance de l’ordre de 5% à 20% ! Pire, sur les applications qui font un appel intensif au noyau de l’OS (réseaux et stockage de données en particulier), la perte de performance dépasserait les 50% !
Quand on parle de cauchemar pour le DSI, on n’ose imaginer le casse-tête que va représenter pour nombre d’entre eux le maintien des performances des infrastructures et des datacenters. Et l’on se demande également comment les hébergeurs, les outsourceurs et les opérateurs de cloud vont pouvoir maintenir leurs engagements contractuels sur la performance de leurs infrastructures et des services sans faire de concession à la sécurité.
L’attitude choquante d’Intel et de son écosystème
Mis à part le danger que représentent les failles, ce qui choque le plus les observateurs de cette histoire, c’est l’attitude d’Intel. Les failles ont été découvertes en mai dernier, date à laquelle les équipes de développement du noyau Linux ont été informées. Depuis, Intel a travaillé avec les fabricants et les éditeurs au développement des correctifs. Jusqu’à ce que cette affaire soit rendue publique mercredi dernier.
Durant tout ce temps, Intel, que l’on imagine mal ne pas être informé des dangers embarqués sur ses processeurs, a continué de livrer des CPU bogués ! Et depuis novembre, le groupe aurait travaillé avec certains de ses clients à l’intégration de patchs de sécurité sur les machines équipes de ses processeurs. Quant à son patron, Brian Krzanich, il a levé des stock-options et vendu la majorité de ses actions du groupe pour 11 millions de dollars le 29 novembre dernier, ne conservant que le minimum imposé pour rester en poste, 250.000 actions. Difficile de ne pas imaginer un lien de cause à effet…
Que risque Intel ? Il faut d’abord attendre que toute l’affaire soit dévoilée afin d’en savoir plus. On imagine difficilement cependant le rappel de millions de processeurs remplacés par de nouveaux CPU à fabriquer ! De même, les délais de carence vont s’appliquer, seuls les processeurs livrés au cours des deux dernières années pourraient être concernés. Une class action est envisageable aux Etats-Unis, un recours pour vice-caché en Europe. Et une poursuite pour délit d’initié pour le patron. De quoi boguer le géant des semiconducteurs… après qu’il ait bogué nos PC, serveurs, datacenters et clouds !
Le communiqué officiel d'Intel
Image d’entête 492260943 @ iStock serazetdinov