Meltdown et Spectre, deux failles qui font trembler les géants du cloud

Quelques heures seulement après le changement d’année, des chercheurs en sécurité ont dévoilé l’existence de deux failles de sécurité majeures touchant la majorité des appareils informatiques de la planète. Baptisées Meltdown et Spectre, ces failles ont, pendant un temps, fait trembler les fournisseurs cloud qui ont craint pour la sécurité des données stockées.

Que se cachent-ils derrière les noms Meltdown et Spectre ?

Si vous suivez un tantinet soit peu l’actualité de l’informatique et des nouvelles technologies, vous avez dû entendre parler de Meltdown et Spectre. C’est le nom de deux failles de sécurité affectant les processeurs des ordinateurs, des puces dont la mission est de traiter des données et d’exécuter les instructions données par l’utilisateur.

Afin de pouvoir traiter une quantité importante de données en temps réel, les processeurs disposent d’une mémoire normalement parfaitement sécurisée. Seulement voilà, les failles Meltdown et Spectre ouvrent un accès au contenu de cette mémoire.

Autrement dit, un hacker exploitant ces failles de sécurité a la possibilité d’obtenir toute sorte de données confidentielles incluses dans la mémoire des processeurs.

Un réel risque d’exploitation pour ces failles ?

Depuis leur découverte, Meltdown et Spectre sont extrêmement redoutées. Il faut dire que ces failles sont telles qu’il n’existe plus réellement de protection entre les différentes applications mais aussi entre ces dernières et le système d’exploitation.

Ainsi, si un logiciel malveillant parvient à accéder à la mémoire du processeur incriminé, il peut récupérer de nombreuses données précieuses.

Si la majorité des ordinateurs est exposée à ce type d’attaques, c’est aussi le cas de la plupart des services cloud et les fournisseurs de ces solutions tremblent. Mais là, dérober des données peut s’avérer encore plus simple. Imaginons en effet qu’un hacker soit client d’un service cloud, il y a fort à parier qu’il pourra aisément accéder à toutes les données hébergées sur le même serveur que les siennes.

Google à la rescousse d’Intel pour les correctifs

Puisque ce sont les processeurs Intel qui sont incriminés dans l’affaire « Meltdown et Spectre », il n’est pas surprenant qu’Intel ait été le premier à proposer des correctifs permettant de colmater ces failles.

Seulement, ces correctifs ont été peu appréciés par les professionnels étant donné qu’ils impactaient très largement les performances du processeur.

Aussi, ce sont finalement les correctifs Retpoline de Google qui ont retenu l’attention de la plupart des acteurs de l’industrie du cloud puisqu’ils épargnent les performances des processeurs et offrent une réelle protection contre les variantes d’attaques les plus redoutées pour exploiter Meltdown et Spectre.

Laisser un commentaire