Processeurs

Failles critiques des processeurs, les correctifs ont un impact sur les performances

Suite à l’annonces des failles critiques Meltdown et Spectre touchant les processeurs, les premiers patchs de sécurité sont apparues. Jérôme Segura, Lead Malware Analyst, livre son point de vue sur la situation.

Dans son intervention il explique que le problème principal « provient d’un défaut de conception » des processeurs. Il permet à des attaquants de vider le contenu de la mémoire de n’importe quel périphérique (Ordinateur personnel, smartphone, serveur cloud, etc.). Des données sensibles peuvent alors être récupérées comme des mots de passe.

Meltdown et Spectre, deux failles critiques touchent les processeurs Intel

Il y a cependant une différence face aux autres problèmes classiques de sécurité. Les failles Meltdown et Spectre, identifiées par des chercheurs, sont particulières. Leurs exploitations par des pirates ne laissent aucune trace dans des fichiers journaux traditionnels. Du coup personne ne sait pas si ces bugs ont été ou sont actuellement exploités par des pirates.

Patch de sécurité - Windows
Patch de sécurité – Windows

Correctifs contre Meltdown, un impact sur les performances

Jérôme Segura explique

« L’architecture informatique moderne isole normalement les applications de l’utilisateur et le système d’exploitation. De cette manière, on évite la lecture ou l’écriture non autorisée dans la mémoire du système. Cette conception empêche également aux programmes d’accéder à la mémoire utilisée par d’autres programmes. Meltdown et Spectre contournent ces mesures de sécurité, et ouvrent de nombreuses opportunités pour divers types d’exploitation. »

Concernant les processeurs concernés Meltdown n’affecte que les CPU Intel et Spectre touche la plupart des CPU produits au cours des 15 dernières années par Intel, AMD, ARM et IBM.

Le bilan est qu’une très grande majorité des machines actuelles est concernée.

Un correctif pour Meltdown existe pour Linux, Mac OS et Windows 10 Insider Edition. Il est par contre rapporté que son installation à un impact significatif sur les performances des machines même si les estimations puissent varier considérablement selon Jérôme Segura.

Spectre, aucun correctif n’existe pour le moment

Enfin il est précisé

« Microsoft recommande à ses utilisateurs de maintenir leurs systèmes à jour et d’installer les mises à jour des micrologiciels fournies par les fabricants de périphériques OEM. Apple n’a, pour le moment, publié aucune recommandation.

 En ce qui concerne Spectre, aucun correctif n’est disponible pour le moment. Celui-ci peut être exploité via JavaScript et WebAssembly ce qui le rend encore plus critique. Il est donc recommandé d’appliquer certaines contre-mesures comme l’isolation du site en chrome. Mozilla Firefox déploie un correctif pour atténuer le problème tout en travaillant sur une solution à long terme. Microsoft fait des choses similaires pour Edge et Internet Explorer. »

Jerome G

Issu d’une formation scientifique. Aime l'innovation, la High Tech et le développement durable. Soucieux du respect de la vie privée.

Un commentaire

  1. HFR, a décortiqué la news, et il semble qu’en usage mainstream, l’impact soit négligeable.

    Le plus gros impact est en usage 100% applicatif, ou l’impact peut aller jusqu’à 30%.

    Mais pour donner un exemple, sur les SGBDR l’impact va de 5 à 26% avec une moyenne de 17% pour un select en base.

    Les principaux impactés seront donc les professionnels qui ont dimensionné leurs serveurs avec des marges trop étroites.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page