Dans un billet de blog, Microsoft revient sur les mesures d'atténuation pour les vulnérabilités Meltdown et Spectre, et consacre quelques lignes au sujet de l'impact des correctifs sur les performances pour les ordinateurs et serveurs Windows.

Microsoft dit se baser sur ses propres benchmarks pour une première évaluation. Davantage de détails seront ultérieurement publiés avec des tests plus complets. Pour le moment, il s'agit surtout de donner une idée générale.

De manière globale, Microsoft estime que les contre-mesures pour la variante 3 de Meltdown (le seul type d'attaque connu) et la variante 1 de Spectre ont un impact qualifié de minimal sur les performances. C'est avec la variante 2 de Spectre qu'il y a davantage d'impact.

Pour la variante 2 de Spectre, des mises à jour firmware sont nécessaires, ce qui n'est pas le cas avec la variante 1 et pour Meltdown.

Meltdown-Spectre-Microsoft-Windows
Microsoft résume ses constatations actuelles comme suit. Pour Windows 10 sur des processeurs récents (PC de 2016 avec des processeurs à architecture Skylake, Kabylake ou plus d'Intel), l'impact sur les performances est jugé négligeable.

Pour Windows 10 sur des processeurs anciens (PC de 2015 avec processeurs Haswell ou moins), quelques utilisateurs devraient constater un ralentissement dans les performances système, et ils seront d'autant plus nombreux avec Windows 8 et Windows 7.

Sur le cas des serveurs Windows, et indépendamment des processeurs, l'impact sur les performances est plus prononcé. Pour les administrateurs, Microsoft en vient alors à cette recommandation rare face à un risque de sécurité : " Vous devez prendre soin d'évaluer le risque de code non sûr pour chaque instance Windows Server, et équilibrer le compromis entre sécurité et performance pour votre environnement. "

Cette affaire autour des failles Meltdown et Spectre de fuite d'informations dans des processeurs est vraiment très inhabituelle. Pour l'impact des correctifs sur les performances, les déclarations oscillent entre le chaud et le froid.

À noter que Red Hat a aussi publié un article au sujet de l'impact sur les performances (avec Red Hat Enterprise Linux 7).