Failles Meltdown et Spectre: le flou dans la performance au-delà de la sécurité

meltdown-spectre-intel-ok

D’un côté, Intel rassure sur la sécurité des processeurs liée aux failles Meltdown et Spectre. De l’autre, Microsoft se concentre sur l’impact de performance.

Les failles Meltdown et Spectre associées à l’exploitation des processeurs risquent d’avoir des conséquences sur les performances des ordinateurs des utilisateurs finaux.

Elles avaient été dévoilées au grand public la semaine dernière, provoquant des réactions en chaîne dans l’écosystème numérique global.

La responsabilité des concepteurs de processeurs a été mise en cause, à commencer par celle d’Intel qui dispose d’un leadership certain : environ 90% pour les ordinateurs (fixes ou portables).

Beaucoup de questions restent en suspens à propos de la corruption de mémoire des processeurs par le biais des « exploits » Meltdown et Spectre et des risques d’attaques par canaux auxiliaires.

Dans le cadre de sa session keynote au CES de Las Vegas, Brian Krzanich, CEO d’Intel, a assuré que sa firme « travaillait sans relâche » pour endiguer le danger de piratage à travers une collaboration « remarquable » entre acteurs de l’écosystème.

« La sécurité est notre boulot numéro un chez Intel et pour toute notre industrie. Notre première préoccupation quand nous discutons (du sujet) est d’assurer la sécurité des données de nos clients », a-t-il assuré.

Après les révélations au grand public, la firme américain s’était empressée de fournir un argumentaire pour répondre aux questions à travers un espace FAQ dédié et de minimiser sa responsabilité.

Mais cet exercice d’information vers un peu plus de transparence n’a pas suffi : trois actions de groupe visant Intel sont identifiées dans des Etats comme la Californie, l’Oregon et l’Indiana.

Au-delà des risques de sécurité IT, la performance des processeurs serait également remise en cause avec la diffusion progressive des patches incluant ceux d’Intel. Là aussi, Intel a cherché à limiter l’impact.

Mais le couple « Wintel » (Windows + Intel) manque d’harmonie dans ce dossier.  Dans une contribution blog en date du 9 janvier signée par Terry Myerson (Executive Vice President, Windows and Devices Group), Microsoft assure que les correctifs anti-Meltdown et Spectre a des conséquences sur la performance de certains modèles d’ordinateurs, de serveurs et de configurations plus puissances installées dans les data centers (éventuellement exploitées en mode cloud).

La firme de Redmond s’est même rendue compte que l’installation du patch de sécurité brouillait certains écrans d’ordinateur équipés de processeurs AMD et fonctionnant sous OS Windows.

Plus globalement, Microsoft estime que les risques de performance s’accentuent en fonction de l’âge des modèles des ordinateurs et de la version Windows impliquée.

Concrètement, l’impact sur une nouvelle configuration sous processeur Intel Skylake et Windows 10 sera limité. Mais si l’utilisateur dispose d’un ordinateur tournant avec un processeur Intel de l’ère Haswell (2015) et exploitant un OS plus ancien comme Windows 8 ou Windows 7, le risque de dégradation de la performance s’accentue.

Que se passe-t-il sur Windows Server ? Quel que soit le processeur (notamment en cas de sollicitation d’applications gourmandes en entrées/sorties), Microsoft observe un « impact plus significatif » sur les performances dès lors que l’on cherche à résoudre le problème en isolant le code douteux au sein d’une instance Windows Server.

Apple, Cisco, ARM : évaluations de l’impact

Du côté d’Apple, le sujet est aussi pris au sérieux. La version MacOS 10.13.2, dévoilée le mois dernier (donc avant la révélation grand public des failles), intégrait un kit pour limiter l’impact de Meltdown. Tandis qu’iOS 11.2 a coupé l’herbe sous le pied de Spectre pour les utilisateurs des terminaux iPhone et iPad.

Interrogé par Reuters, Cisco déclare avoir recensé des vulnérabilités associées à Meltdown et Spectre sur 18 produits de son catalogue.

L’équipementier réseau américain déclare que les investigations continuent sur 30 autres produits liés aux commutateurs et aux routeurs.

Mais il se veut rassurant globalement : la majorité des produits de Cisco ne sont pas vulnérables à ce type de failles « en raison des systèmes cloisonnés mis en place qui n’autorisent pas les clients à injecter du code dans les machines ».

Pour sa part, ARM, très influent sur le segment des processeurs pour terminaux mobiles, estime que Spectre est susceptible de perturber moins de 5% de son parc de puces écoulées sur le marché depuis 1991 (un volume global évalué à 120 milliards de puces). Sur le volet Meltdown, le niveau d’alerte serait moindre.

Intel et AMD se sont montrés moins diserts à propos du volume global de puces affectées sur le marché.

La semaine dernière, Intel assurait que des patches pour ses gammes de processeurs seraient proposées dans 90% des cas d’ici le 12 janvier.

(Photo by portalgda on Visual hunt / CC BY-NC-SA)