Android et Chrome OS sont également touchés par les trois failles de sécurité divulguées cette semaine, étant donné que l’on retrouve les vulnérabilités pas seulement sur Intel, mais aussi chez AMD et ARM.

Ce qu’il se passe est relativement grave. Trois failles, potentiellement catastrophiques pour toute une génération de processeurs, ont été divulguées cette semaine. Il s’agit d’un problème de conception des processeurs.

Cette faille de sécurité est-elle dangereuse ?

Oui, plutôt. Plus grave encore que la baisse potentielle des performances (jusqu’à 30 %) avec le correctif, ces failles de sécurité — Meltdown et Spectre — permettent de lire la mémoire système, ce qui peut donner accès (aux personnes malveillantes) à des informations sensibles, telles que des mots de passe, des clés de chiffrement ou des informations sensibles des applications et programmes.

Nos confrères de Numerama ont publié un dossier très complet sur les détails de cette faille de sécurité.

Quels sont les systèmes visés ?

Google n’a pas attendu l’embargo fixé par les acteurs de l’industrie pour publier des détails sur les trois variantes de la faille. On apprend donc que AMD, ARM et Intel sont touchés par la faille. Ce n’est pas seulement le noyau Linux qui doit être mis à jour (ici, version 4.15) mais aussi tous les OS : Windows, Mac OS, mais aussi Android. D’ailleurs, ARM a également confirmé que ses processeurs Cortex-A sont vulnérables.

Heureusement, Google n’a pas réussi à reproduire la vulnérabilité sur les appareils Android basés sur ARM. Cela ne signifie pas que nos smartphones sont hors de danger.

 

Quels correctifs ?

Google précise sur son blog que l’équipe Google Project Zero a été à l’origine de la découverte de cette faille, ils ont ensuite contacté tous les acteurs du marché, y compris Intel, AMD et ARM, ainsi que les constructeurs. Devant le battage médiatique, ils ont pris l’initiative de communiquer sur la faille avant la levée de l’embargo, prévue le 9 janvier prochain.

Android

Sur Android, Google nous précise que les appareils avec la dernière mise à jour de sécurité sont hors de danger. Il s’agit plus précisément du patch de sécurité de janvier, le dernier patch en ligne. Aucun appareil sur le marché n’est donc protégé à ce jour, mais les appareils Nexus et Pixel seront pris en charge avec la dernière mise à jour de sécurité.

Cela sera également le cas pour les appareils des autres fabricants, il faudra attendre patiemment le patch de sécurité de janvier 2018. D’ailleurs, il sera intéressant d’évaluer l’impact du correctif sur les performances de nos appareils. Google précise qu’il travaille étroitement avec ses partenaires pour déployer rapidement le patch en question.

Pour le moment, Android n’est donc pas directement visé, néanmoins cette faille pourrait être l’occasion de s’apercevoir qu’il est impossible de mettre à jour l’ensemble des appareils Android. Si une mise à jour des Google Play Services suffisait, Google pourrait la pousser à travers le Play Store, mais le correctif nécessite une mise à jour du noyau du système. Évidemment, les appareils populaires seront mis à jour rapidement, mais qu’en est-il des vieux appareils ? De ceux des petits constructeurs ? Ou encore des appareils qui n’ont reçu aucune mise à jour depuis leur commercialisation ?

Chrome OS

Concernant Chrome OS, les noyaux 3.18 et 4.4 ont été patchés avec le Kernel Page Table Isolation (KPTI) sur Chrome OS 63. Il s’agit de la dernière mise à jour de Chrome OS disponible depuis mi-décembre. Nous vous encourageons vivement à mettre votre Chromebook à jour.

Vous trouverez davantage d’information sur ce lien, sur le site officiel de Google.

Notons que Google nous précise également que l’infrastructure qui héberge Google Apps et Google Suite est protégée. Les autres produits Google, comme le Chromecast, Google WiFi et Google Home, ne sont pas touchés par la faille selon Google.

Windows 10, iOS, macOS et Linux

Microsoft a également publié un correctif d’urgence pour tous les appareils fonctionnant sous Windows 10, avec d’autres mises à jour prévues. Ce patch pouvant créer des Blue Screen en cas d’incompatibilité avec l’antivirus, son déploiement est bloqué pour les utilisateurs d’un antivirus tiers, à moins que le vendeur de ce dernier n’ait modifié une clé de registre en particulier. Numerama référence les anti-virus compatibles avec la mise à jour Windows.

Il y a eu aussi des rumeurs concernant un correctif partiel de macOS déployé avec la version 10.13.2. Pour iOS, Apple n’a encore rien communiqué publiquement. Enfin, le noyau Linux 4.15 comporte les correctifs de la faille.

 

Quel impact sur les performances ?

On ne sait pas non plus comment les différents correctifs affecteront les performances des processeurs. Certaines estimations (pour des systèmes basés sur Linux) ont atteint 17 %, bien que d’autres tests montrent peu ou pas d’effet sur les performances. Néanmoins, cela semble être lié aux performances de base de l’appareil, ce qui pourrait être bien plus visible sur des smartphones d’entrée de gamme.

Quoi qu’il en soit, le mal est fait et il faut s’attendre à une volée de mises à jour dans les jours qui viennent. Nous vous invitons également à lire le dossier de Numerama sur le sujet, très complet.

À lire sur FrAndroid : Bug critique Intel : jusqu’à 30 % de performances en moins sur PC