Une quatrième variante de la faille Spectre affecte l’immense majorité des processeurs

Écrit par Guillaume
Publié le : {{ dayjs(1527264007*1000).local().format("L").toString()}}
Suivez-nous

Confirmée par quelques-uns des ténors de l’informatique personnelle, l’existence d’une quatrième variante de la fameuse faille Spectre a été révélée tout récemment. Au contraire des précédentes vulnérabilités dévoilées en janvier dernier, cette quatrième version aurait le don de s’attaquer à la quasi-totalité des processeurs du parc informatique mondial. Heureusement, des logiciels correctement mis à jour devraient suffire pour s’en prémunir presque complètement même si pour une sécurité optimale, il faudra attendre d’autres correctifs.

En janvier dernier, tous les magazines et autres sites web dédiés de près ou de loin à la micro-informatique avaient évoquer le problème des vulnérabilités Spectre / Meltdown qui semblaient pouvoir toucher à peu près n’importe quelle machine. Dans les faits, les principaux acteurs du secteur – Intel et Microsoft en tête – avaient rapidement réagit. L’immense majorité des utilisateurs n’a donc pas eu à subir les conséquences de ces failles liées à des lacunes dans la conception d’un grand nombre de microprocesseurs. Le danger n’est toutefois pas écarté comme nous le prouvent aujourd’hui des sociétés comme Intel, Google et Microsoft. Elles viennent de confirmer l’existence d’une quatrième variante de Spectre.

Comme le précisent nos confrères du Monde Informatique citant Leslie Culbertson, vice-président exécutif et directeur général Assurance et la Sécurité des produits chez Intel Corporation, cette quatrième vulnérabilité « utilise l’exécution spéculative, une caractéristique commune à la plupart des architectures processeurs modernes, pour potentiellement exposer certains types de données en empruntant un canal latéral ». Dans les faits, l’utilisation la plus évidente serait d’exploiter cette vulnérabilité au sein des runtimes tels JavaScript employé dans les navigateurs Internet. Heureusement, la majorité de ces navigateurs ont été mis à jour à l’annonce des vulnérabilités de janvier et aujourd’hui, il paraît très difficile d’exploiter cette faiblesse.

Reste que tout danger n’est pas écarté et Intel a donc joué la carte de la prudence en livrant à ses partenaires des mises à jour de ses microcodes afin que les BIOS puissent être mis à jour très prochainement. Le choix devrait être laissé aux utilisateurs de privilégier un surcroît de sécurité au prix de 2% à 8% de baisse de performances. De son côté, Microsoft précise que rien ne permet aujourd’hui de dire que Windows a été affecté par cette vulnérabilité, mais l’éditeur insiste sur sa politique de Tuesday Update – mises à jour du mardi – qui doit permettre de corriger les problèmes avant qu’ils ne deviennent trop importants.