On parle de tous les ordinateurs et de tous les téléphones portables depuis 1995. Le site spécialisé britannique The Register a affirmé mercredi que les puces du géant américain Intel présentent une faille de sécurité due à un défaut dans la conception du produit. Potentiellement, cette faille pourrait permettre à des pirates de prendre le contrôle d’un ordinateur et d’accéder aux données (mots de passe, numéros de cartes bancaires...).

Gérôme Billois, expert en cybersécurité chez Wavestone, revient pour 20 Minutes sur les deux failles baptisées « Meltdown » et « Spectre » qui auraient dû être rendues publiques seulement la semaine prochaine et qui nous concernent tous.

De quoi s’agit-il exactement ?

On est face à une faille cachée au plus profond des ordinateurs et des smartphones, dans l’électronique même. D’habitude, les failles concernent plutôt les logiciels et les applications. C’est ce qui rend le sujet très complexe et extrêmement difficile à corriger car la vraie bonne correction serait de changer les microprocesseurs de tous les équipements, et c’est impossible. Vu qu’on ne peut pas le faire, la solution c’est de pallier le problème matériel par des corrections dans le logiciel.

Comment la faille se traduit-elle concrètement ?

De manière très simplifié, un ordinateur fonctionne comme un orchestre et le chef d’orchestre est ce qu’on appelle le noyau, le kernel. Il répartit entre les différentes applications les accès aux différents composants. Une application qui veut accéder à la caméra demande au noyau de lui donner l’accès, une autre va demander d’accéder au haut-parleur. Le noyau est le maître à bord, il a accès à toutes les ressources et à toutes les applications. L’une des failles révélées, baptisée « Meltdown », permet à une application de savoir exactement tout ce que fait le noyau, d’avoir accès à tous les secrets qu’il manipule avec les autres applications comme les mots de passe.

Qu’en est-il de la deuxième faille, « Spectre » ?

Elle permet à une application de savoir ce qu’il se passe dans une autre application à côté. « Meltdown » permet d’avoir accès au chef d’orchestre, celui qui gère le matériel, et « Spectre » de savoir ce qu’il se passe dans les autres applications, de connaître les secrets de tous les autres musiciens de l’orchestre.

Qui est concerné par ces deux failles ?

Toutes les machines équipées de processeurs Intel depuis 1995 sont concernées. Et dans une certaine mesure, les processeurs AMD et ARM. Cela correspond à tous les ordinateurs qu’on peut rencontrer aujourd’hui : Mac, PC, smartphones Android, et, à première vue, les iPhones aussi. On est tous concernés. Aujourd’hui, il semble que les cybercriminels ne l’ont pas encore utilisée sur le terrain et des correctifs sont en train de sortir. Mais, le problème, c’est que ces correctifs peuvent avoir un impact sur les performances. Certaines entreprises pourraient préférer prendre le risque de voir leur système attaqué pour éviter de perdre en performance. C’est la crainte majeur en particulier pour les systèmes dans le cloud.

Pourquoi s’en rend-on compte seulement maintenant ?

On paye le fait que la sécurité n’était pas un sujet prégnant depuis des années. Ça change depuis cinq ou six ans, il y a une attention plus forte sur la sécurité. Petit à petit, les chercheurs en sécurité descendent de plus en plus profondément dans les ordinateurs pour trouver des failles et se protéger. Cette faille-là existait depuis plus de dix ans, mais jamais personne n’avait regardé. On va aller de plus en plus vers des failles complexes qui touchent le matériel.

Quels sont les risques concrets ?

Il y en a vraiment deux. Pour les particuliers, le risque c’est d’avoir des malwares ou des sites web piégés qui utilisent cette vulnérabilité. Le risque c’est de pouvoir accéder aux données les plus critiques de l’ordinateur. Par contre, ils ne peuvent pas le faire à distance, via Internet. Il faut que l’utilisateur lance une application ou visite un site web piégés. En restant attentif, en ne cliquant pas sur n’importe quel lien, en faisant attention aux applications qu’on installe, on peut vraiment prévenir le risque. Et surtout, il faut appliquer les correctifs de sécurité. Pour les entreprises, le vrai souci concerne les systèmes cloud. Les ordinateurs qui les composent sont sur Internet et, par définition, sont utilisés par plusieurs personnes. La faille permet à des personnes malveillantes utilisant des services cloud d’accéder aux données des entreprises utilisant le même serveur et donc le même processeur. A nouveau l’application des correctifs est essentiel, les grands fournisseurs comme Google, Microsoft ou Amazon ont annoncé des mises à jour, il faut contacter les autres pour s’en assurer également.