Spectre et Meltdown. Ces deux nouvelles failles informatiques vont faire parler d'elles. Et pour cause: découvertes par des experts de Google, elles touchent potentiellement les PC et smartphones fabriqués ces deux dernières décennies. Et permettent tout simplement à un attaquant d'avoir accès aux mots de passe, même chiffrés, ainsi qu'à toutes sortes d'informations.

Mardi 2 janvier, The Register affirmait que c'était seulement les processeurs (le "cœur" d'un ordinateur ou smartphone) fabriqués par Intel qui étaient concernés. Depuis, Google a donné plus de précisions, ce mercredi 3 janvier, et les nouvelles ne sont pas bonnes. "Ces vulnérabilités touchent de nombreux processeurs, y compris d'AMD, ARM et Intel". En gros, la quasi totalité des fabricants de microprocesseurs.

Comment ça marche? Pour faire (très) simple, disons que ces failles utilisent une technique pourtant bien pratique de tous les processeurs récents: l'"exécution spéculative". Nos ordinateurs et smartphones calculent des choses que l'on n'a pas encore demandé, juste au cas ou. Si finalement, la demande est effectuée, tant mieux. Sinon, le processeur revient en arrière. Google a justement trouvé plusieurs manières d'utiliser cette spécificité pour réussir à accéder à des informations normalement non accessibles.

Si la faille peut effectivement permettre à des pirates d'accéder à des informations sensibles, Intel affirme qu'elle ne permet cependant "pas de corrompre, modifier ou effacer des informations" stockées dans l'ordinateur. L'entreprise ajoute ne pas avoir connaissance de tentatives d'utilisation de cette faille par des pirates.

Les correctifs en fonction de votre machine



Dans tous les cas, les attaques mises au point par Google, Spectre et Meltdown sont tout de même très compliquées et pas à la portée de n'importe qui. Mais chacune doit être réparée de manière différente. Heureusement, Google a prévenu Intel, AMD et ARM depuis le mois de juin 2017 du problème et tous travaillent à des solutions.

ARM (à l'origine de nombreux processeurs de smartphones) a confirmé à l'AFP travailler avec Intel et AMD à la résolution du problème, qui dans certains cas et pour certains modèles de puces seulement, pourrait "au pire" permettre l'accès "à de petites quantités d'informations".

Google précise ainsi qu'un correctif a été déployé pour les smartphones sous Android. Le problème étant de savoir quand les différents constructeurs (Samsung, Huawei, LG, etc.) vont mettre en place la mise à jour. De même, le navigateur Chrome sera mis à jour d'ici le 23 janvier pour parer à ces attaques.

Windows devrait lui disposer d'une mise à jour ce jeudi 4 janvier, selon The Verge. Amazon, Microsoft et Google ont précisé avoir mis à jour leurs serveurs gigantesques, sur lesquels sont stockées de nombreuses données (dont les vôtres), précise le New York Times.

Apple n'a pas encore communiqué sur le sujet, mais il semblerait que la dernière version de MacOS ait déjà corrigé cette vulnérabilité sur les Mac (qui utilisent des processeurs Intel). Pour les iPhone, c'est le flou. Les microprocesseurs des smartphones Apple, s'ils utilisent des standards, sont fabriqués directement par la marque à la pomme.

