Dévoilée en janvier 2018, la faille Spectre ne cesse de se métamorphoser. De nouvelles variantes sont découvertes régulièrement. Pour Intel et les autres fondeurs, le cauchemar est loin d’être terminé.
L’année 2018 a démarré par deux découvertes critiques en matière de cybersécurité : deux failles dénommées Spectre et Meltdown exploitaient non pas un bug mais une défaillance dans la conception même des processeurs Intel, ARM et AMD. Des rustines ont rapidement été publiées, causant leurs propres dysfonctionnements et ralentissements. Mais, comme indiqué déjà à l’époque, ces patchs fragiles ne faisaient que masquer le mal, sans véritablement le corriger.
Pour preuve, la faille Spectre n’a cessé, au fil des mois, d’être déclinée en plusieurs variantes, imposant la création de nouvelles rustines logicielles destinées à minimiser les risques sans pour autant corriger le problème de fond. Car, pour véritablement « réparer » ces failles, les fondeurs n’ont d’autre alternative que de repenser la conception du cœur même de leurs processeurs.
Des Spectres à gogo
Spectre exploite en effet une faille du mécanisme « prédictif » au cœur du fonctionnement des processeurs (dont l’idée générale est d’anticiper les calculs pour gagner en performances). Via les vulnérabilités de ce mécanisme, Spectre dérobe les données des applications après en avoir analysé le comportement. Et, plutôt que d’une faille, il faudrait parler des failles « Spectre » au pluriel. Dès janvier, on en dénombrait déjà deux versions et, en mai dernier, deux nouvelles variantes dénommées Spectre 3a et Spectre 4 sont apparues. Intel, AMD, ARM ainsi qu’IBM (avec ses Power) ont confirmé la vulnérabilité de leurs processeurs à ces variantes.
Parallèlement, huit nouveaux scénarios d’attaque s’appuyant sur la même erreur de conception des processeurs sont venus s’ajouter à ceux déjà découverts. Annoncés fin mai par le site Heise, mais non rendus publics, ils sont désignés sous le nom de « Spectre NG » (pour Next Generation). Compliqués à mettre en œuvre mais tout autant à parer (comme toutes les failles Spectre), ils affectent tous les processeurs Intel de ces six dernières années ainsi que certains CPUs ARM. La vulnérabilité des processeurs AMD à ces variantes « NG » n’est pas encore établie.
Spectre : bientôt la saison 2…
En d’autres termes, Spectre est devenu un feuilleton aux multiples rebondissements qui ne connait pas la traditionnelle pause estivale : le 23 juillet, une nouvelle variante de l’attaque, dénommée SpectreRSB (pour Return Stack Buffer), a encore été dévoilée. Et le dénouement tant attendu de cette série qui n’en finit pas n’est pas pour tout de suite.
De fait, toutes les contre-mesures mises en œuvre jusqu’à maintenant relèvent plus du bricolage que du véritable correctif. Pour gérer le problème, les acteurs du marché appliquent en effet des modifications dans le BIOS ou sur des applications ou pilotes particulièrement sensibles (à commencer par les navigateurs Web et les pilotes vidéo). Lourdes pour les entreprises en termes de mise en œuvre parce qu’il faut notamment flasher le BIOS sur les serveurs, postes de travail, tablettes, etc., ces contre-mesures ont aussi un impact non négligeable sur la performance ou l’occupation mémoire des infrastructures existantes.
Pour réellement corriger la faille, il faudra non seulement attendre la mise sur le marché d’une nouvelle génération de processeurs dépourvue de l’erreur de conception (prévue des quelques mois), mais aussi patienter une bonne décennie avant que les appareils animés par les processeurs actuels soient mis au rebut. En attendant, la boite de Pandore est ouverte et Spectre est loin d’avoir fini de hanter tous les acteurs du marché (à commencer par les fondeurs et les éditeurs de système d’exploitation). Chercheurs ou hackers, tous explorent de nouvelles façons d’exploiter cette magistrale erreur de conception au cœur des CPUs et leur terrain de jeu est étonnamment vaste. Autant dire que dire que Spectre risque, comme certaines séries TV, d’enchainer les saisons encore pendant quelques années…
