Dans un article détaillé, SemiAccurate affirme que les failles Meltdown et Spectre vont couter cher à Intel. A clair cela ne va pas être seulement important. Il est prédit que l’équilibre actuel des parts de marché va être déplacé pour plusieurs années.
Meltdown et Spectre sont définis comme des failles de sécurité béantes. Ajoutons de notre côté que si Intel est « à la une » depuis plusieurs jours, ceci s’explique par sa présente écrasante dans le domaine des processeurs. La situation a donné naissance à trois séries de vulnérabilités (nommées variante 1, 2 et 3). Elles concernent donc les puces Intel mais aussi des solutions AMD et ARM. Le grand reproche de l’article concerne le comportement du géant face aux autres acteurs concernés. SemiAccurate parle des différentes postures selon le constructeur allant de déclarations détaillées et directes à des déclaration « intentionnellement trompeuses et visqueuses ».
Failles Meltdown et Spectre, ce ne sont pas des bugs
Nous sommes en présence d’une nouvelle classe d’attaques. Les correctifs affectent les architectures de différentes manières. Le plus inquiet cependant à la nature du problème. Ces failles ne sont pas des bugs ou des erreurs mais le bon comportement du processeur qui permet de pirater des systèmes. Du coup est devient facile de comprendre que la stratégie de protection est d’empêcher, d’une certaine manière, ce bon fonctionnement afin d’atténuer les risques.
Ces trois vecteurs d’attaque concernent les puces des trois firmes. Il est expliqué que nous n’avons pas les mêmes vulnérabilités en raison des différences d’architectures. Selon l’article, AMD a joué carte sur table avec « une déclaration assez claire sur ce qui est affecté ». ARM a publié « de loin la meilleure et la plus complète des descriptions » tandis qu’Intel « a obscurci, nié, blâmé les autres et minimisé le problème ».
SemiAccurate ne mâche pas ses mots en annonçant qu’Intel « continue d’être la blague courante de l’industrie » en ce qui concerne la communication.
« Leur déclaration est un exemple assez impressionnant de ne rien dire du tout en essayant désespérément de minimiser le problème »
Failles Meltdown et Spectre, les correctifs ont un impact
Les correctifs proposés ont des conséquences liées à la charge de travail du CPU. Pour les variantes 1 et 2, l’impact serait mineur avec des rapports évoquant du 1%. Il est cependant souligné que 1 ou 2% en moins pour un système protégé, le choix est rapide.
Le gros problème résiderait dans la variante 3. Chez ARM, il n’y aurait pas trop de soucis à se faire. Que nous soyons sur mobile ou tablette, les processeurs ARM n’ont pas de lourdes charges de travail (multi-utilisateurs, virtualisation…). L’article ajoute
« Pour les quelques noyaux ARM affectés, leurs utilisateurs verront une baisse de performance mineure, probablement imperceptible, lors de la mise à jour »
Il est probable que la situation sera identique pour les systèmes x86 car là encore nous ne sommes pas dans un contexte de serveur. SemiAccurate a par contre beaucoup plus de réserve pour le monde des serveurs. Selon eux
« les correctifs pour la variante 3 sont pénibles […] des rapports dévoilent des ralentissement entre 5-50% […] avec une moyenne aux alentours des 30%. »
L’article s’attaque ensuite à expliquer le mode opératoire des correctifs puis conclu
« il est peu probable de paralyser un PC grand public ou un téléphone, mais il est possible de paralyser un serveur. Donc, les serveurs x86 sont en grave difficulté »
Du coup l’idée d’augmenter le nombre de processeur pour garantir le même niveau de performance est évoquée. La chose est cependant improbable à la vue des couts en jeu. Enfin après des explications sur les choix d’AMD et d’Intel au niveau architectural l’article annonce
« AMD semble avoir fait la bonne chose pour les bonnes raisons […] Pour Intel, cet évitement s’accompagne d’une baisse de performance de 30% sur les charges de travail de type serveur, moins sur les charges de travail de type bureau. Pour AMD, le problème a été évité de par les choix de conception »
Au final « la réponse d’Intel était bien une non-réponse » en annonçant que les autres étaient également concernés par ces failles.
« AMD va probablement sortir le champagne au QG »
En conclusion SemiAccurate ajoute
« Intel a également essayé de détourner les attaques en disant que sa politique suit les meilleures pratiques de l’industrie. Ils ne le font pas […] Intel n’est pas digne de confiance pour les pratiques de sécurité ou les divulgations, le PR a la priorité sur la sécurité des clients […] Malheureusement, la sécurité ne se vend pas et affecte rarement les marchés. Cette fois, cependant, c’est différent et cela va frapper Intel et ça va faire mal dans le portefeuille. SemiAccurate pense que cet exploit va dévaster le marché d’Intel. »
