Que sont Meltdown et Spectre ?
Il s'agit de deux importantes failles de sécurité présentes dans les puces qui alimentent presque tous les ordinateurs, smartphones et tablettes.
Ce sont également les noms que je pensais donner à mes enfants un jour.
Comment Meltdown et Spectre agissent-elles sur mes appareils ?
Elles peuvent potentiellement compromettre la mémoire de votre appareil, en laissant la porte ouverte aux personnes qui tentent d'y accéder et de voler certaines de vos données personnelles, comme vos mots de passe, images, détails de paiement, numéros de carte de paiement...
Les deux failles sont-elles différentes ?
Oui, Meltdown et Spectre présentent des différences.
-
Meltdown affecte chaque ordinateur, smartphone et tablette possédant un processeur Intel, ainsi que les services sur le Cloud. Les pirates informatiques pourraient potentiellement louer un serveur virtuel sur le service Cloud partagé et l'utiliser pour accéder aux données d'autres utilisateurs.
-
Spectre affecte tous les processeurs sur le marché, pas seulement ceux de la marque Intel. Les navigateurs Web sont également concernés : là encore, un pirate informatique qui sait ce qu'il fait peut potentiellement rédiger un code JavaScript malveillant, l'ajouter à un site Web et forcer votre navigateur à révéler vos mots de passe.
Meltdown et Spectre sont le plus souvent évoquées en duo car les deux failles ont été découvertes presque au même moment. Si vous souhaitez en savoir plus sur la façon dont elles diffèrent, Google Project Zero a rédigé un excellent article technique à ce sujet.
Quels appareils affectent-elles ? M'affectent-elles ?
Possédez-vous un PC, ordinateur portable, ordinateur Mac, smartphone ou une tablette fonctionnant sous Windows, Linux, Android ou iOS ?
Alors oui, vous êtes probablement affecté.
Sont-elles vraiment destructrices ?
D'une part, vous avez peut-être remarqué que nous continuons à utiliser le mot « potentiellement ». En effet, il n'y encore jamais eu de cyber-attaques via l'exploitation de ces deux failles. (À notre connaissance. Pour le moment.)
Il ne s'agit pas non plus de défauts de sécurité qui peuvent être exploités par n'importe qui. Vous devez vraiment savoir ce que vous faites.
D'autre part, Meltdown et Spectre affectent tant de dispositifs du monde entier, et à un degré tel, que lorsqu'elles ont été signalées pour la première fois, les analystes de sécurité pensaient que les failles étaient fausses. Ils les définissent maintenant comme « catastrophiques ».
Les deux failles sont vraiment très destructrices. Potentiellement.
Qui a créé Meltdown and Spectre ?
Ces bugs n'ont pas été créés exprès. Il ne s'agit pas de virus ou de malwares, mais seulement de failles de sécurité dont nous ne connaissions pas l'existence.
Afin que nos appareils fonctionnent aussi vite que nous le souhaitons, les fabricants de puces informatiques ont construit des processeurs capables d'anticiper certaines de nos commandes avant que nous ne les exécutions, en fonction des commandes que nous avons effectuées auparavant.
Nous venons de découvrir que ces capacités de « mémoire prédictive » (leur nom officiel est exécution spéculative) peuvent être piratées et utilisées contre nous. Une nouvelle fois, potentiellement.
En un mot, en rendant les appareils très rapides, nous les avons rendus accidentellement ultra-vulnérables.
Que faire à propos de Meltdown et Spectre ?
Il existe certaines précautions que vous pouvez prendre pour aider à résoudre et minimiser les conséquences de Meltdown et Spectre :
-
Assurez-vous d'installer les correctifs et les mises à jour de Windows
Microsoft a fourni aux utilisateurs de Windows 10, 8 et 7 un correctif automatique. Vous pouvez ouvrir vos paramètres Windows (ou le Panneau de configuration) et Windows Update pour vous assurer que vous avez bien installé votre mise à jour. À ce stade, il est difficile de déterminer si les anciennes versions de Windows qui ne sont pas prises en charge par Microsoft obtiendront des mises à jour.
-
Mettez à jour vos appareils Apple
Apple a publié des mesures d'atténuation sous iOS 11.2, macOS 10.13.2, tvOS 11.2, iOS 11.2.2, la mise à jour supplémentaire macOS High Sierra 10.13.2, Safari 11.0.2 pour macOS Sierra et OS X El Capitan. Il semble que les Apple Watch ne soient pas affectées. Mettez tout à jour.
-
Mettez à jour votre navigateur
Cette étape est importante car, comme nous l'avons mentionné plus haut, quelqu'un pourrait rédiger un code JavaScript malveillant et voler vos mots de passe et informations personnelles. Firefox 57 et la dernière version d'Internet Explorer et d'Edge pour Windows 10 incluent des correctifs. Le navigateur Chrome 64 de Google contiendra également un correctif. Safari a également été protégé et mis à jour.
-
Mettez à jour vos applications. Régulièrement.
Ce n'est pas vraiment spécifique à Meltdown et Spectre. Il s'agit plutôt d'un conseil général. Plus tôt vous effectuez les mises à jour, plus tôt vous obtenez les derniers correctifs de sécurité.
Pourquoi mon appareil est-il soudainement plus lent ?
Vous vous souvenez que nous vous avons expliqué plus tôt qu'en concevant des appareils ultra-rapides, nous les avions également rendus ultra-vulnérables par accident ?
Il se trouve qu'en bloquant les problèmes de sécurité créés, vous vous retrouvez... avec des appareils plus lents. Parfois beaucoup plus lents. Jusqu'à 40 pour cent plus lents, pour être exact.
Ces correctifs ont d'autres conséquences, notamment des redémarrages inattendus. Surprise !
Et non, vous ne pouvez pas supprimer les correctifs. C'est comme ça.
Alors, que se passe-t-il maintenant ?
Même si utiliser un ordinateur beaucoup plus lent qui redémarre de manière aléatoire peut se révéler pénible, c'est surement mieux que de se faire voler sa carte de paiement ou le mot de passe de son compte bancaire en ligne. Et puisqu'il est impossible de supprimer ces correctifs, le mieux est de prendre son mal en patience jusqu'à ce qu'une solution soit trouvée...
... ce qui pourrait prendre des années car cela implique de concevoir de toutes nouvelles puces informatiques et de les intégrer à de nouveaux ordinateurs, smartphones et tablettes.
Alors maintenant, nous patientons.