Cette première semaine de janvier 2018 a été marquée par la révélation de l’existence de failles critiques dans la conception même des processeurs Intel qui ne peuvent pas être comblées par mise à jour du firmware et nécessitent des mises à jour significatives des noyaux des systèmes d’exploitation.
Ces failles permettent dans certaines conditions aux applications de lire le contenu de zones protégées de la mémoire du noyau et donc de récupérer des données confidentielles du type mot de passe. Les spécialistes parlent de fuite de mémoire du noyau.
Le problème, c’est que les correctifs qui vont être proposés pour les noyaux Windows et Linux vont se traduire par une baisse des performances comprise entre 5 % et 30 %, selon les tâches effectuées et le modèle du processeur.
Une réduction des performances qui offre un angle d’attaque à de futures poursuites judiciaires. Déjà, ce 5 janvier, la presse américaine recensait trois recours collectifs déposées à la suite de ces révélations. Ceux-ci citent notamment « l’incapacité d’Intel à divulguer » la faille de sécurité en temps opportun – de fait, Intel aurait été informé depuis au moins juin dernier des vulnérabilités de ses processeurs mais aurait choisi de ne pas les divulguer à ses clients – mais aussi la réduction des performances que les correctifs ne manqueront pas d’entraîner.
De nombreux acteurs sont concernés par cette vulnérabilité : les éditeurs de systèmes d’exploitation qui doivent mettre à jour leurs OS mais également les fournisseurs de services cloud, qui doivent patcher leurs infrastructures, et bien sûr les entreprises utilisatrices qui doivent mettre à jour leur parc de postes de travail et de serveurs. De premiers correctifs sont déjà disponibles sur Linux, Windows et MacOS. Du côté des fournisseurs de services clouds, certains tels Google, Amazon et Azure ont commencé à corriger leurs systèmes. Mais les correctifs ne sont pas évident à déployer et peuvent entraîner des inconvénients (voir à ce sujet l’article du MagIT : Spectre/Meltdown : que faire pour protéger son infrastructure de postes de travail).