par Douglas Busvine et Stephen Nellis
FRANCFORT/SAN FRANCISCO (Reuters) - Des chercheurs en sécurité ont révélé un ensemble de failles de sécurité qui pourraient permettre à des hackers de dérober des informations sensibles sur presque tous les appareils informatiques modernes équipés de puces d'Intel (NASDAQ:INTC), d'Advanced Micro Devices (AMD) ou compatibles avec l'architecture ARM Holdings (LON:ARM).
L'une des vulnérabilités concerne spécifiquement les puces fabriquées par Intel au cours des dix dernières années et une autre affecte les ordinateurs portables et de bureau, les smartphones, les tablettes et les serveurs internet.
Mais selon Intel et ARM, la faille ne relève pas d'un défaut de conception, même si les utilisateurs doivent télécharger un correctif pour mettre à jour leur système d'exploitation.
"Les téléphones, les PC, tous sont concernés, mais l'impact variera d'un produit à l'autre", a déclaré le directeur général d'Intel, Brian Krzanich, lors d'une interview accordée à CNBC mercredi.
L'équipe d'experts en sécurité informatique du Project Zero de Google (NASDAQ:GOOGL), filiale d'Alphabet, en collaboration avec des chercheurs dans plusieurs pays, a découvert deux failles.
La première, appelée Meltdown, affecte les puces Intel et permet aux pirates informatiques de contourner la barrière matérielle entre les applications exécutées par les utilisateurs et la mémoire de l'ordinateur, laissant ainsi potentiellement le champ libre pour accéder par exemple aux mots de passe. La seconde, baptisée Spectre, affecte les puces d'Intel, d'AMD et d'ARM et permet potentiellement à des pirates de s'emparer des données secrètes stockées dans la mémoire des applications fonctionnant sur l'ordinateur.
DES CORRECTIFS DISPONIBLES
Selon les chercheurs, Apple (NASDAQ:AAPL) et Microsoft (NASDAQ:MSFT) disposent déjà de correctifs pour les utilisateurs d'ordinateurs de bureau affectés par Meltdown. Sollicités, Microsoft a refusé de s'exprimer et Apple de son côté n'a pas répondu dans l'immédiat.
Daniel Gruss, l'un des chercheurs de l'université de technologie de Graz à l'origine de la découverte de Meltdown, a estimé qu'il s'agissait "probablement de l'un des pires bugs de processeur jamais identifiés", dans une interview accordée à Reuters.
Pour cet expert, Meltdown constitue le problème le plus grave à court terme, mais pourrait être corrigé efficacement via des mises à jour logicielles.
La faille Spectre en revanche, qui concerne presque tous les appareils informatiques, est plus difficile à exploiter par des pirates mais elle est aussi moins facilement corrigeable et restera un sérieux problème à long terme, a-t-il expliqué.
Brian Krzanich a déclaré sur CNBC qu'Intel avait été informé depuis un moment par les chercheurs de Google sur ces failles et que le groupe avait testé des correctifs qui sortiront la semaine prochaine.
Avant que les problèmes ne soient révélés, Google a déclaré sur son blog qu'Intel et d'autres avaient l'intention de les divulguer le 9 janvier. Google a informé les entreprises concernées par la faille Spectre le 1er juin dernier et a signalé la faille Meltdown après le premier cas de vulnérabilité mais avant le 28 juillet.
DES PC RALENTIS
La publication spécialisée The Register a été la première à rapporter l'existence de ces failles mercredi. Elle a également indiqué que les mises à jour pour résoudre les problèmes pourraient ralentir les ordinateurs équipés de puces Intel de 5% à 30%.
Mais Intel conteste cette dernière affirmation.
"Intel a commencé à fournir des mises à jour de logiciels et de micrologiciels pour atténuer ces failles", indique le premier fabricant mondial de puces pour PC dans un communiqué. "Contrairement à certaines affirmations, l'impact sur les performances dépend de la charge de travail et, pour l'utilisateur moyen, cela ne devrait pas être significatif et sera atténué au fil du temps", ajoute Intel.
Le porte-parole d'ARM, Phil Hughes, a déclaré de son côté que des correctifs avaient déjà été partagés avec des entreprises partenaires, parmi lesquels de nombreux fabricants de smartphones.
"Cette méthode ne fonctionne que si un certain type de code malveillant est déjà en cours d'exécution sur un appareil et pourrait au pire déboucher sur l'accès à de petites données depuis la mémoire privilégiée", a-t-il déclaré.
Les puces AMD sont également affectées par au moins une variante des défauts de sécurité dévoilés, mais elles peuvent être corrigées par une mise à jour logicielle. Le concurrent d'Intel estime qu'il y a "un risque quasi nul pour les produits AMD en ce moment".
Google a déclaré sur un blog que les téléphones sous Android mis récemment à jour étaient également protégés, notamment ses modèles Nexus et Pixel. Le groupe américain a ajouté qu'aucune mesure spécifique n'était nécessaire pour la messagerie Gmail, mais les utilisateurs des ordinateurs Chromebooks, du navigateur web Chrome et des autres services de Google Cloud devront installer des mises à jour.
Amazon (NASDAQ:AMZN) de son côté a indiqué avoir corrigé le problème sur la plupart de ses serveurs internet.
Dan Guido, directeur général de la société de conseil en sécurité informatique Trail of Bits, invite les entreprises à mettre rapidement à jour leurs systèmes, car il s'attend à ce que des hackers développent très vite des logiciels malveillants capables d'exploiter ces vulnérabilités.
(Douglas Busvine à Francfort, Stephen Nellis et Salvador Rodriguez à San Francisco; avec Jim Finkle à Toronto et Laharee Chatterjee à Bangalore; Claude Chendjou pour le service français, édité par Véronique Tison)