La publication d'un article par The Register précipite avec une semaine d'avance les révélations autour de la faille - ou plutôt les failles - affectant les processeurs, et pas seulement ceux d'Intel. Ces vulnérabilités de sécurité de conception sont regroupées autour des appellations Meltdown (CVE-2017-5754) et Spectre (CVE-2017-5753 et CVE-2017-5715).
Elles ont été découvertes par des chercheurs de Project Zero de Google, Cyberus Technology et universitaires l'année dernière, mais le problème serait de longue haleine et existerait depuis plus de vingt ans. Google a alerté Intel, AMD et ARM en juin 2017.
Les failles Meltdown et Spectre ont droit à un site dédié. On peut y lire en avertissement des problèmes de fuite de mots de passe et données sensibles à cause de bugs dans les ordinateurs modernes. Ce qui est plutôt alarmiste…
Les attaques Meltdown et Spectre tirent parti d'une technique d'exécution spéculative utilisée par la plupart des processeurs modernes afin d'optimiser les performances. Il s'agit d'anticiper le lancement d'instructions " sur la base d'hypothèses considérées comme vraisemblablement vraies. " L'accès à de l'information sensible est alors momentanément plus facile.
Pour Meltdown, Cyberus Technology explique un lien avec la microarchitecture d'un processeur, et plus particulièrement la possibilité de passer outre la barrière d'isolation de la mémoire d'espace noyau / espace utilisateur avec une architecture x86. De quoi accéder à des données mises à disposition dans un cache après une exécution spéculative.
Les ordinateurs de bureau, portables et cloud sont susceptibles d'être affectés par Meltdown, et potentiellement tous les processeurs Intel depuis 1995, à l'exception des Intel Itanium et Atom avant 2013. La faille Meltdown a été testée avec succès sur des processeurs Intel remontant jusqu'à 2011. " À l'heure actuelle, il n'est pas clair si les processeurs AMD et ARM sont également affectés par Meltdown. "
Pour Spectre, ce sont quasiment tous les systèmes qui sont affectés, y compris les smartphones. " Tous les processeurs modernes capables de conserver de nombreuses instructions à la volée sont potentiellement vulnérables. " Des vérifications ont eu lieu sur des processeurs Intel, AMD et ARM.
Reprenant un papier de recherche sur Spectre, The Hacker News écrit que les attaques Spectre peuvent être utilisées pour " fuiter de l'information du noyau aux programmes de l'utilisateur, ainsi que d'hyperviseurs de virtualisation aux systèmes invités. " Les chercheurs en sécurité ont été capables d'écrire un programme JavaScript pouvant lire les données de l'espace d'adressage du processus du navigateur l'exécutant.
Les attaques Spectre sont jugées plus difficiles à exploiter que pour Meltdown, sachant par ailleurs que des patchs pour Meltdown existent avec une implémentation de la fonctionnalité KPTI pour Linux, Windows et macOS. Les mesures d'atténuation contre les attaques Spectre seront plus délicates, même si des patchs logiciels pourront contrecarrer des exploits spécifiques.
Le site dédié à Meltdown et Spectre propose plusieurs liens, dont vers des avis de sécurité d'Intel, ARM, Google, Microsoft ou encore Amazon qui sont ou seront mis en ligne. On retiendra qu'il n'y a (a priori) pas eu d'exploitation des failles dans des attaques… du moins avant la publication des détails à leur sujet. Pour une exploitation, des attaquants doivent installer un malware sur un appareil pris pour cible.