Bilan

Une faille de sécurité majeure agite le monde de l'informatique

Contenues dans les microprocesseurs Intel, les vulnérabilités Spectre et Meltdown affectent 90% du parc informatique mondial. Les corrections, en cours d'implémentation, pourraient entrainer une perte de puissance de 5 à 30% des ordinateurs.

90% du parc informatique mondial serait concerné par les failles de sécurité Meltdown et Spectre.

Crédits: Keystone

Leur découverte est récente, mais les failles sont vieilles comme la micro informatique. Identifiées en mai 2017 par Google, Spectre et Meltdown affecteraient les microprocesseurs Intel depuis... 1995. Gardé secret depuis plusieurs mois, le temps de mettre au point des «patchs» (mises à jour correctives) pour tous les systèmes d'exploitation, le groupe américain a finalement dû rendre public le phénomène dans la nuit de mercredi à jeudi, sous la pression de rumeurs insistantes circulant au sein de la communauté.

Accéder à l'ensemble des données personnelles de l'utilisateur

Le risque mis à jour est de donner l'accès à l'ensemble de la mémoire de l'ordinateur à une application, qui normalement ne devrait pouvoir atteindre qu'une partie bien définie, et avec l'autorisation de l'utilisateur, comme le détaille Steven Meyer, CEO de ZENData, spécialiste en cybersécurité: «Avec Meltdown ou Spectre, via le téléchargment d'une application ou même la simple consultation d'un site par la victime, un individu malveillant pourrait accéder à l'ensemble des données en mémoire. Par exemple, les mots de passe stockés dans le navigateur, des documents Word, voir même des cookies d'accès au e-banking. Pour l'instant, on n'a pas encore d'attaques de ce type constatées via cette vulnérabilité, mais ce n'est qu'une question de jours.»

Lire aussi: Un tiers des PME suisses piratées

Faute de pouvoir directement intervenir sur le hardware -le microprocesseur- Microsoft et Apple travaillent à des correctifs (patchs) sur les systèmes d'exploitation, qui permettent de contenir le risque de Meltdown. Ils seront implementés via des mises à jour automatiques pour les particuliers. Les patchs sur windows 10 et OS 10.13 chez Apple sont déjà fournis, les autres version des systèmes d'exploitation vont suivre. Les Clouds Azur (Microsoft) et AWS (Amazon), sont également déjà patchés.

La performance des ordinateurs durablement affectée par les correctifs.

Là où la polémique enfle, c'est que les patchs proposés entraineraient des pertes colossales de puissance informatique sur les ordinateurs ainsi traités, comme le relève Steven Meyer: «Il y a débat. Certains tests sérieux donneraient entre 5 et 30% de réduction de la puissance informatique des machines. Pour les gens qui ont un usage limité (traitement de texte, navigation internet), l'impact n'est parfois même pas visible. En revanche pour des industries comme l'hébergement dans les data centers, les conséquences pourraient être beaucoup plus lourdes. Certains pourraient même être tentés de ne pas patcher.» Patcher Spectre semble plus complexe car il faut déployer un correctif pour chaque application. Il semblerait que les microprocesseurs ARM (utilisé dans l’internet des objets) soit aussi vulnérable, et ces appareils n’ont souvent pas de procédures en place pour être patchés.

Du côté des professionnels de l'hébergement en Suisse, le message est clair: quelles que soient les conséquences sur la performance, les patchs seront implémentés, comme l'affirme Ziad Fokeladeh, directeur de DFI, cloud privé suisse et conseil en cybersécurité: «Pas d'ambigüité, on va devoir patcher. Pour les hébergeurs comme nous, le process ne se fait pas automatiquement comme pour les particuliers, mais nous travaillons dessus. Pour la plupart de nos clients, l'impact ne sera même pas ressenti. Toutefois, certaines industries qui utilisent une grande puissance de calcul, comme les comparateurs de prix, dans le tourisme ou l'hôtellerie, pourraient être affectées. Libre à nos clients s'ils le souhaitent de nous acheter alors plus de puissance, en compensation. Mais il est encore trop tôt pour parler d'un impact significatif.»

Même son de cloche chez Boris Siegenthaler, fondateur d'Infomaniak, un des principaux acteurs suisse de l'hébergement, qui se veut rassurant: «Côté performances, nous ne sommes pas inquiets, car nos serveurs ne fonctionnent jamais à 100% de leur puissance de traitement, mais toujours à 50% (les autres 50 % sont une marge de sécurité). Dans tous les cas cela n’aura pas d’impact pour les clients, que ce soit financier ou sur la puissance disponible. Si le pire advenait, nous prendrions à notre charge ces coûts supplémentaires.» Les jours prochains seront décisifs pour déterminer l'impact réel de la faille et de ses correctifs sur l'industrie.

Lire aussi: Une cyberattaque de grande ampleur se prépare

Joan Plancade
Joan Plancade

JOURNALISTE

Lui écrire

Diplômé du master en management de l’Ecole supérieure de Commerce de Nantes, Joan a exercé pendant sept ans dans le domaine du recrutement, auprès de plusieurs agences de placement en France et En Suisse romande. Aujourd’hui journaliste indépendant, Il travaille en particulier sur des sujets liés à l’entreprise, l’innovation et l’actualité économique.

Du même auteur:

Les sociétés de conseil rivalisent avec l’IMD
Comment la sécurité se déploie aux frontières entre la France et la Suisse

Les newsletters de Bilan

Le cercle des lecteurs

Le Cercle des Lecteurs est une plate-forme d'échanger sur tout ce qui touche votre magazine. C'est le reflet de vos opinions, et votre porte-parole le plus fidèle. Plus d'info

Image Footer

"Tout ce qui compte.
Pour vous."