La nouvelle a jeté un froid dans le monde de la sécurité informatique : des chercheurs ont annoncé, mercredi 3 janvier, avoir mis au point deux cyberattaques permettant la captation de données efficaces contre un très grand nombre de modèles de processeurs, en particulier ceux fabriqués par l’américain Intel.

Surnommées Meltdown (« effondrement ») et Spectre par les chercheurs qui les ont conçues, elles exploitent des défauts présents dans quasiment toutes les puces Intel construites ces vingt dernières années et de nombreuses autres provenant de différents fabricants.

Une très large majorité des machines informatiques (téléphones portables, tablettes, ordinateurs, serveurs…) sont donc vulnérables à l’une ou à l’autre. Et comme ces attaques s’en prennent à un composant physique de l’ordinateur, tous les systèmes d’exploitation – les logiciels faisant fonctionner un appareil électronique, comme Windows, Android, iOS – sont touchés.

Le processeur – une des pièces maîtresse de tout système informatique – est le composant qui effectue les calculs nécessaires au fonctionnement de l’appareil et des programmes qui y sont installés. Toutes les données gérées par un système informatique s’y trouvent en transit à un moment ou à un autre. Lorsqu’elles sont traitées par le processeur, elles sont censées être cantonnées à des zones étanches. Or les chercheurs ont démontré qu’il était possible de contourner ces protections et d’obtenir copie de données traitées par le processeur et supposées inaccessibles.

Zone critique

Un pirate peut donc en théorie utiliser ces attaques pour dérober des informations sensibles, notamment des mots de passe. L’une d’elles, Meltdown, donne même accès à des données issues d’une zone critique au fonctionnement d’un ordinateur – et normalement ultraprotégée – le « kernel », ou noyau, qui fait le lien entre le matériel et les logiciels.

Ce problème se révèle particulièrement inquiétant pour les sociétés du secteur du cloud pour lesquelles la confidentialité des données est un impératif. Ces dernières hébergent fréquemment sur une seule machine les données – site Internet ou intranet, messagerie – de plusieurs clients. Ces derniers partagent donc un même processeur. En mobilisant Spectre, des pirates présents sur un serveur pourraient donc accéder à des données normalement protégées de leurs « colocataires ».

Avertis en amont par les chercheurs, la plupart des grands acteurs du secteur ont déjà corrigé leurs infrastructures ou s’apprêtent à le faire. « Microsoft a publié plusieurs mises à jour pour limiter l’impact de ces vulnérabilités. Nous avons aussi pris des mesures pour sécuriser nos services de cloud », a fait savoir la firme de Redmond (Etat de Washington) sur son site Web.

Google a aussi annoncé avoir « mis à jour » ses systèmes « contre ce nouveau type d’attaque » ; tout comme Amazon, très gros fournisseur de cloud. Octave Klaba, le fondateur et dirigeant d’OVH, le géant de l’hébergement, a détaillé sur Twitter les mesures prises par son entreprise pour protéger ses clients.

Forte confusion

Si Meltdown – qui concerne en très grande majorité les processeurs Intel – peut être repoussée, il en va différemment pour sa petite sœur Spectre. Cette dernière a des racines plus profondes et les constructeurs vont devoir modifier l’architecture même de leurs puces pour s’en prémunir. Cela signifie que certains appareils demeureront vulnérables pendant des mois, voire des années. Cette persistance a même donné son nom à l’attaque : « Comme elle est difficile à contrecarrer, cette attaque va nous hanter pour un bon moment », écrivent les chercheurs.

A ce stade, les conséquences pour les utilisateurs lambda devraient être limitées. Cependant, il est difficile d’anticiper les multiples façons dont ces attaques pourront être utilisées à moyen terme par des pirates. Les chercheurs ont déjà précisé qu’il était possible d’activer Spectre directement depuis un navigateur Web, via un site contenant du code conçu à cet effet. Une information confirmée par une analyse préliminaire conduite par Mozilla, qui édite le navigateur Firefox. Cette possibilité est loin d’être anodine, puisqu’elle facilite la diffusion et la mise en œuvre de l’attaque.

En attendant, les particuliers doivent impérativement installer les mises à jour proposées par leurs ordinateurs ou téléphones. Certaines des mesures prises par les développeurs des systèmes d’exploitation sont cependant susceptibles de ralentir le fonctionnement des processeurs. Les experts divergent toutefois sur l’ampleur exacte de ce ralentissement. Intel assure qu’il sera minime.

La publication, mercredi 3 janvier, des détails concernant Meltdown et Spectre, par des chercheurs de Google et de l’université de Graz en Autriche notamment, a mis fin à plusieurs heures d’une forte confusion.

L’action Intel affectée en Bourse

La rumeur d’une faille dans les processeurs Intel circulait depuis quelques semaines, et pour cause : les chercheurs travaillaient sur ces attaques depuis des mois et avaient averti dans le plus grand secret certains fabricants, une pratique courante en la matière. Pour éviter de donner des idées à tous types de pirates, il faut en effet que l’annonce des failles soit postérieure ou simultanée à leur correction. Le secret, qui devait prendre fin le 9 janvier, a été éventé par une enquête du site spécialisé The Register. Afin qu’un maximum d’experts puisse prendre des mesures, les chercheurs ont décidé de précipiter la publication officielle de leurs trouvailles.

Dans un communiqué publié le 3 janvier, Intel a tenté de minimiser les effets de ces attaques sur ses produits, une stratégie moquée et critiquée dans le milieu de la sécurité informatique. Jeudi soir, le groupe a déclaré que les correctifs destinés à régler les problèmes de sécurité ne ralentiraient pas les ordinateurs. En deux jours, l’action d’Intel a perdu environ 5 % de sa valeur.

Par ailleurs, la presse américaine a remarqué que le PDG de l’entreprise, Brian Krzanich, avait vendu, en novembre 2017, pour 39 millions de dollars (32 millions d’euros) de parts de la société alors qu’Intel était déjà au courant des failles touchant ses produits. Il pourrait devoir s’en expliquer très prochainement : hasard du calendrier, il est censé s’exprimer lundi en ouverture du CES, le Salon des nouvelles technologies à Las Vegas (Nevada).