Failles Meltdown et Spectre : ce n’est encore pas la fin de l’histoire
Depuis la révélation le 3 janvier dernier des vulnérabilités de sécurité Meltdown et Spectre qui affectent les microprocesseurs et notamment ceux d’Intel, il ne se passe pas un jour sans que les fabricants de puces incriminés, mais également les fabricants de systèmes et les éditeurs de logiciels, ne publient des communiqués pour rassurer leurs clients. A elle-seule, cette avalanche de communication au jour le jour prouve que ces failles sont loin d’être aussi anodines que les fournisseurs ont tenté de le faire croire au tout début.
Des propos initialement rassurants sur la dangerosité de Meltdown et Spectre et l’absence d’attaques malveillantes recensées, on est ainsi passé à la mise à disposition de correctifs pour protéger les systèmes contre l’exploitation de ces failles de sécurité. Puis, Microsoft a mis les pieds dans le plat en déclarant peu ou prou que les PC d’avant 2015 verraient leurs performances ralenties par la mise en place de ces correctifs (voir communiqué).
Faudra-t-il arbitrer entre sécurité et performances pour les anciens systèmes ? De là à penser que la découverte des failles Meltdown et Spectre pourrait conduire à accélérer le renouvellement des parcs de PC, autres terminaux grand publics et matériels d’infrastructures…
Depuis le début de cette révélation, Intel a publié pas moins de 8 communiqués de mise à jour de sa communication dans ce domaine (dont la dernière en date est la lettre ouverte du p-dg Brian Krzanich). Preuve que la restauration de la confiance des clients dans la sécurité de leurs données n’est pas aussi simple que prévu.
Un site officiel qui rassemble toutes les informations et les mises à jour concernant les vulnérabilités de sécurité Meltdown et Spectre a été mis en place par l’Université technologique de Graz. Il rassemble en particulier tous les communiqués et déclarations des parties concernées, non seulement les fabricants de puces (Intel, ARM, AMD, Nvidia, Risc-V), mais également les fabricants de systèmes (Cisco, Dell, HP, IBM, Lenovo, Apple, Huawei, etc.) et les spécialiste du logiciel (Microsoft, Android, Linux, etc.). Mieux vaut s’y reporter pour suivre les évolutions concernant la résolution de ces problèmes de sécurité et de performances en rapport avec vos systèmes.