Spectre et Meltdown : tout ce que l'on sait sur les pannes des processeurs Intel, AMD et ARM

2023 Auteur: Donald Evans | [email protected]. Dernière modifié: 2023-05-21 05:05

En l'espace d'une journée Spectre et Meltdown ont fait la une des journaux en tant que failles de sécurité des processeurs Intel AMD et ARM. Deux vulnérabilités aux noms sinistres qui indiquent parfaitement l'abus qu'elles ont dû faire pour pénétrer dans les ordinateurs des utilisateurs ciblés par les pirates.

Ce n'est pas la première fois que nous entendons parler de vulnérabilités dans les logiciels, et avec tout ce qui s'est passé avec Snowden et la NSA, nous avons vu que nous y étions un monde où les vulnérabilités Backdoors sont présentes sur la plupart des ordinateurs.

Beaucoup peuvent dire qu'il n'y a rien à craindre parce qu'ils ont une maison propre, mais oui, nous devrions, car cela implique beaucoup de pouvoir pour ceux qui ont cela capacitéd'accéder à n'importe quel site sans que personne ne sache que vous le faites.

Meltdown et Spectre: les dégâts qu'ils causent

Nous avons 2 bogues sur un grand nombre de processeurs. Meltdown est le plus important et ne s'applique qu'aux processeurs Intel X86, tandis que Spectre n'est capable d'affecter que les puces Intel, AMD et ARM, bien que ce ne soit pas si important.

C'est surtout dû à la solution de corriger l'importance de chacun. Meltdown permet à une application malveillante d'accéder à la mémoire de ce qu'elle veut, comme le noyau et la mémoire d'un ordinateur.

Spectre, en revanche, autorise uniquement cette application malveillante à accéder à la mémoire d'autres applications qui ont le même niveau de sécuritéMeltdown est capable d'accéder à des niveaux de sécurité plus élevés, ce qui implique un plus grand danger.

En plus d'atteindre ces niveaux de sécurité, la solution pour y remédier entraîne une perte de performance de l'équipement, bien que dans ce cas, nous serons protégés en matière de confidentialité.

Le vrai problème vient avec Spectre, car il peut être résolu par l'application elle-même, bien que pour cela, vous devrez le faire à partir d'un nouveau cyclede processeurs.

Nous parlons du Spectre nécessitera une refonte complète de l'architecture dans la conception des processeurs. Il faudra donc environ une décennie entière pour que le cycle de vie du matériel soit remplacé et que ces correctifs puissent être appliqués.

Cela n'implique pas un manque de performances, mais cela signifie que notre ordinateur sera vulnérable à la possibilité qu'un pirate prenne en profiter.

Avec ce nous entrons dans un dilemme séculaire: vitesse contre sécurité. La raison pour laquelle ces vulnérabilités sont présentes dans tous les processeurs est qu'ils ont été conçus pour tirer parti de tous les avantages qui améliorent leurs performances.

C'est dans ce processus et cette guerre de vendre le processeur le plus rapide, dans lequel les fabricants de puces ont échoué à ne mettre en œuvre que les avantages qui étaient également lié à la sécurité.

Un exemple de la vulnérabilité de Spectre et Meltdown

Comme le prétend Nicole Pelroth sur son Twitter, Meltdown et Spectre sont le moyen pour les attaquants d'exploiter ces failles dans la conception pour accéder au contenu de toute la mémoire d'un appareil.

Supposons une attaque: un pirate qui dispose de cinq minutes de temps depuis les serveurs cloud d'Amazon, Google et Microsoft, pourrait voler les données horaires d'autres clients des mêmes serveurs pour aller sur un autre serveur et répéter l'attaque, alors qu'il est capable de voler des volumes illimités de données telles que des clés SSL, des mots de passe, des comptes, des fichiers, etc.

Oui, c'est terrifiant le pouvoir qu'une personne peut avoir dans sa mainMeltdown peut être exploité par n'importe quel script avec un code d'attaque malveillant, tandis que Spectre est plus difficile à utiliser son exploit ou sa vulnérabilité, bien qu'avec la gravité qu'il est impossible de corriger jusqu'à ce que de nouveaux processeurs commencent à être vendus.

Quelles solutions avons-nous ?

Before Meltdown, qui a d'abord déclenché l'alarme et tout le monde s'est alarmé parce qu'il affectait les performances, il peut être résolu, mais avec une baisse de 30 % des performances de votre PC. N'affecte que les processeurs Intel, donc ceux avec AMD ou ARM sont sûrs.

Mais le problème réel et sérieux est Spectre , car il implique un grand trou de sécurité que tous les systèmes actuels qui ont une puce sous ces trois architectures: les serveurs cloud, toutes les informations qui transitent par les serveurs WhatsApp, ou les services bancaires, pour ne citer que quelques exemples.

C'est-à-dire que Meltdown et Spectre affectent la grande majorité des fabricants de puces, y compris AMD, ARM et Intel, et tous les appareils et systèmes d'exploitation qui fonctionnent dessus: Google, Amazon, Microsoft, Apple, etc.

Et la réponse des plus grands fabricants de puces et sociétés technologiques ?

En quelques heures, nous avons eu Google disant que leurs systèmes ont été mis à jour pour se défendre contre Meltdown. Microsoft a publié une mise à jour d'urgence hier, tandis qu'Amazon maintient que ses clients sont en sécurité avec une version personnalisée de Linux.

Mais ils parlent de Meltdown, alors que Spectre est en sommeil et même si sa vulnérabilité est plus difficile à utiliser, la faille est là pour que les cybercriminels l'utilisent et les agences gouvernementales qui souhaitent accéder à des données privées de toutes sortes.

Nous laissons pour la fin l'avis du département de la sécurité intérieure des États-Unis dans lequel il avertit que la seule façon de résolvez-le C'est comme ça: remplacez le CPU. Dans l'image précédente, vous pouvez le voir de vos propres yeux.

Deux vulnérabilités telles que Spectre et Meltdown qui feront l'actualité ces jours-ci et qui forceront un changement de cap dans la manière nous comprenons comment la technologie doit évoluer, qu'il s'agisse d'une plus grande vitesse ou d'une plus grande sécurité.