L’industrie informatique vient d’obtenir sa première alerte de sécurité de l’année, et le moins que l’on puisse dire est que celle-ci n’a pas été tendre pour la totalité des entreprises. Une reprise quelque peu mouvementée donc. Surnommées Meltdown et Spectre, les vulnérabilités de sécurité tirent parti de la façon dont les processeurs modernes fonctionnent au niveau matériel, ce qui rend la tâche difficile à résoudre sans répercussions.
De plus, cela ne concerne pas seulement les processeurs Intel, mais AMD et même ARM et ne fait pas non plus de distinction entre les systèmes d’exploitation. Ainsi, alors que les Mac et les appareils iOS, souvent salués pour leur sécurité, ne sont pas immunisés. Et, le dernier bulletin d’Apple dit essentiellement de rester calme et de rester à jour face aux vulnérabilités Meltdown et Spectre.
Meltdown et Spectre exploitent les capacités des processeurs modernes sous différents angles, mais de la même manière. Ils profitent essentiellement du fait que les processeurs essaient d’exécuter du code qui pourrait être nécessaire par la suite. Et à cause d’une faille dans la conception du CPU, l’espace utilisateur peut accéder à la mémoire du noyau supposée protégée afin d’injecter du code malveillant que le CPU exécutera involontairement à l’avance.
Pas de ralentissements perceptibles
Apple reconnaît que ses appareils, qu’il s’agisse de Mac, d’iPhone ou d’iPad, sont affectés par ces deux vulnérabilités. Fait intéressant, la Apple Watch est censée être immunisée. Cela dit, Apple assure également aux utilisateurs qu’il n’y a pas d’exploits connus profitant de ces bugs et que la firme a déjà publié des correctifs qui atténuent la vulnérabilité.
Meltdown est le cas un peu plus intéressant, car les correctifs pour cela changent nécessairement la façon dont les processeurs gèrent la mémoire et l’exécution spéculative mentionnée ci-dessus. Et cela, malheureusement, conduit à une baisse de performance. Cependant, Apple affirme que sa mise à jour de décembre 2017 pour iOS 11.2, macOS 10.13.2 et tvOS 11,2 n’a montré aucune réduction significative des performances selon des outils de benchmarks.
Les circonstances qui pourraient conduire à l’utilisation de la vulnérabilité de Spectre pourraient être un peu plus difficiles à réaliser, mais peuvent encore être faites en utilisant du code JavaScript s’exécutant sur un navigateur Web. En tant que tel, Apple va déployer une mise à jour pour Safari, à la fois sur macOS et iOS, pour l’atténuer. Encore une fois, aucun problème de performance n’a été signalé dans les tests d’Apple.