Corentin : Aujourd’hui avec Geoffroy Husson de Tom’s Guide, on va faire le point sur de gros problèmes de sécurité informatique. Et pour cela, il me semble qu’on a ouvert le standard. C’est bien ça ?
Geoffroy : Salut Corentin, c’est tout à fait ça oui. On va parler de Meltdown et Spectre, deux failles dont la découverte a été annoncée début janvier par le laboratoire Project Zero de Google. Mais il me semble qu’on a déjà un appel de José, 46 ans, c’est bien ça ?
C : Et oui, c’est à vous José. D’où nous appelez-vous ?
[Oui bonjour, je m’appelle José. Je viens de Neuilly et j’adore les Croissants, surtout les chroniques de Geoffroy.]
C : Bonjour José, comment ça va et quelle est votre question ?
[On fait aller vous savez, Corentin. Alors j’ai pas tout compris, il s’est passé quoi exactement ?]
G : Alors José c’est assez complexe techniquement. En gros, les processeurs, les cerveaux des ordinateurs en quelque sorte, disposent tous d’une mémoire. Celle-ci est théoriquement protégée, fermée avec un gros verrou. Cependant, les processeurs les plus récents utilisent des fonctionnalités avancées pour utiliser en partie cette mémoire cache. C’est ce qu’on appelle l’exécution spéculative. Le processeur, pour être plus rapide, va anticiper vos actions à venir dans l’éventualité où vous ayez à effectuiez telle ou telle tâche. Et ça, sans même en être certain.
Les deux failles découvertes, Spectre et Meltdown, peuvent permettre à un pirate d’accéder directement à la mémoire cache des processeurs de la machine et aux données qui y sont conservées. Il peut s’agir de mots de passe, d’identifiants, de contenus de vos correspondances ou de tous types d’informations.
C : Merci pour votre appel José. Je vois qu’on a Christiane au bout du fil, comment allez-vous Christiane ?
[Allô oui c’est bon, je suis à l’antenne ? J’appelle pour savoir quand est-ce qu’on a appris tout ça, parce que j’ai acheté un Ultrabook l’an dernier et je voulais savoir si ça craint.]
G : Alors Christiane, d’abord la date de la découverte des deux failles ne correspond pas forcément à la date d’achat de votre ordinateur, ne vous en faites pas. Mais je pense qu’on aura d’autres questions là-dessus.
En fait il y a deux choses à retenir. C’est le 4 janvier qu’a été publiée l’étude. Mais les recherches ont commencé bien avant que Google ne dévoile ses résultats.
En fait, pour s’assurer que la faille ne soit pas exploitée, Google a utilisé une procédure assez courante dans le domaine de la sécurité informatique. Une fois les failles découvertes, Project Zero a prévenu les différents intervenants, en l’occurrence les fabricants de processeurs, pour leur laisser le temps de prendre les devants. Par exemple, Intel aurait été prévenu en juin 2017 de la découverte des deux failles. Google s’assure ainsi que personne n’exploite les failles et que les constructeurs proposent des patchs avant qu’elle ne soit dévoilée au grand public, et donc à des pirates potentiels.
C : D’accord donc c’est déjà plus clair Geoffroy. On a une autre question au standard, de Manuel, 25 ans de Montélimar.
[Oui bonjour, je suis Manuel, j’ai 25 ans, et j’habite à Montélimar. Est-ce que la faille me concerne ?]
G : Bonjour Manuel, 25 ans, de Montélimar. Alors sans même connaître votre ordinateur ou votre smartphone, on va envisager qu’il y a de grandes chances. En fait la faille touche potentiellement tous les processeurs de moins de dix ans, ce qui a de grandes chances d’être le cas de celui dans votre ordinateur.
Google a surtout basé son étude sur les types de processeurs les plus courants, ceux d’Intel et d’AMD, pour les ordinateurs, et les processeurs ARM, pour les smartphones. Et tous étaient ou sont touchés, de manière plus ou moins grande, quel que soit le système d’exploitation utilisé, Windows comme Mac comme Linus comme iOS ou Android. Heureusement, tous les systèmes sont en train d’être corrigés pour éviter que la faille ne soit exploitée.
C : D’accord donc vous avez compris, Manuel, 25 ans, de Montélimar, il faut installer les mises à jour qui permettront de vous prémunir d’attaques utilisant les failles. Merci Manuel, 25 ans de Montélimar et on prend un nouvel appel. Qui êtes-vous et quelle est votre question ?
[Allô oui, c’est Carine. Je suis d’accord pour faire les mises à jour, mais est-ce qu’il subsistera un risque après ça ?]
G : Bonjour Carine, j’espère que vous allez bien. Vous avez raison, pensez à mettre à jour votre système d’exploitation, mais aussi vos navigateurs puisqu’ils sont sensibles aussi.
Alors non, normalement, si les constructeurs et les éditeurs font bien leur travail, il n’y aura pas de risque. En revanche, cela ne veut pas dire qu’il n’y aura pas de conséquence. Déjà parce que les patchs de sécurité vont désactiver pour certains les fonctionnalités des processeurs mises en cause. Si vous m’avez bien écouté au début Carine, j’expliquais que la faille repose sur l’aspect prédictif des processeurs. Pour empêcher la faille, il va donc falloir bloquer cette fonction et donc ralentir un peu les processeurs.
C : Ralentir les processeurs ? Mais de beaucoup ?
G : Pas tant que ça. En gros, dans le pire des cas, les performances pourraient être réduites de 30 %, mais on devrait surtout s’approcher d’un ralentissement de 5% de la puissance de calcul.
En fait pour les particuliers, à condition de mettre ses logiciels à jour, encore une fois, ça ne représente pas grand-chose. C’est plus compliqué en revanche pour les entreprises qui proposent des serveurs où sont hébergés des sites et des services. 5% de la puissance d’une ferme de serveur, ça peut représenter des sommes colossales pour de grosses entreprises comme Microsoft avec son service de cloud Azure, ou Amazon avec Web Services. Mais s’il y a un leitmotiv à garder en tête pour vous, toujours, tout le temps, c’est de mettre à jour vos appareils, même si c’est enquiquinant.
C : D’accord, merci beaucoup Geoffroy pour ces réponses et à tous les auditeurs ayant posé leurs questions !
0:00
5:28
Vous êtes sur une page de podcast. En cas de difficulté pour écouter ce document sonore, vous pouvez consulter sa retranscription rapide ci-dessous.