Actualites 7 - Espace informatique

Face aux failles Meltdown et Spectre, qui affectent de nombreux processeurs, la question des patchs correctifs semble poser problème. Intel s’était en tout cas fait discret sur ce sujet dans son premier communiqué sur les failles, mais le fondeur est revenu cette nuit à la charge avec cette fois-ci des détails plus poussés sur la façon dont il compte corriger les vulnérabilités détectées par les chercheurs.

Corriger Meltdown et Spectre demande en effet des patchs correctifs de la part des éditeurs de logiciels autant que de la part des fondeurs de processeurs, qui devront également intégrer plusieurs corrections dans leurs prochaines architectures de processeurs pour éviter qu’un bug similaire ne se produise. Mais dans le cas d’Intel, la tache est loin d’être aisée : selon les estimations des chercheurs à l’origine de la découverte de la faille, l’ensemble des processeurs commercialisés par Intel depuis 1995 est vulnérable à ces attaques. Celles-ci s’appuient en effet sur des techniques de conception largement utilisées par les processeurs modernes d’Intel et les failles sont donc largement présentes au sein de la gamme d’Intel.

C’est pourquoi on attendait avec une certaine appréhension la réaction d’Intel à ce sujet. Le fondeur explique ainsi dans un communiqué qu’il travaille d’arrache-pied à diffuser des patchs correctifs pour ses processeurs affectés par la faille de sécurité : dans un communiqué publié hier, Intel explique ainsi avoir déjà « diffusé des mises à jour pour la majorité des processeurs sortis au cours des cinq dernières années. » Intel espère être en mesure de pouvoir proposer des correctifs pour 90% des processeurs sortis au cours des cinq dernières années avant la fin de la semaine prochaine.

Pour ceux qui s’interrogent sur ce délai, on peut rappeler que les failles Meltdown et Spectre étaient censées être sous embargo jusqu’au 9 janvier, embargo qui a finalement été brisé par l’équipe Google Zero suite aux articles de presse évoquant la faille. Mais si le public a été mis au courant, cela n’a visiblement pas changé le calendrier de diffusion des correctifs, qui prévoyait une diffusion pour la semaine prochaine.

Reste l’épineuse question de l’impact de ces correctifs sur les performances. En effet, des tests menés sur les premiers correctifs implémentant  KPTI laissaient entendre que le patch avait un impact sur les performances des machines. Intel nuance cette affirmation dans son communiqué : « Intel continue de penser que l’impact sur la performance causée par cette mise à jour dépend largement de la typologie de la charge de travail confiée au processeur et que les utilisateurs lambda ne devraient pas être affectés de manière sensible par cette mise à jour » précise le fondeur. Intel promet néanmoins qu’il travaillera à améliorer ses outils afin de résoudre d’éventuels problèmes introduits par le patch et venant peser sur les performances de ses processeurs.

La correction des failles Spectre et Meltdown passe par un effort conjugué de plusieurs acteurs de l’industrie, qui doivent chacun à leur niveau déployer des patchs pour limiter l’exploitation de cette faille.

Extrait ZDNet 05/01/2018