Amazon, Google et Apple sont touchés par "Spectre" et "Meltdown"

©EPA

Les grands noms de la technologie ont entamé une course contre la montre pour corriger le plus rapidement possible les deux failles de sécurité informatique dévoilées en milieu de semaine. La première devrait être résolue rapidement… mais pas la seconde.

Amazon, Google et maintenant Apple… Alors que la liste des géants du numérique touchés par les failles de sécurité "Spectre" et "Meltdown" s’allonge sans cesse, la course est lancée pour limiter la casse.

"Tous les systèmes Mac et appareils iOS sont affectés, mais il n’y a aucune attaque connue à l’heure actuelle", a fait savoir la firme à la pomme, dont les appareils sont pourtant généralement réputés pour leur sécurité, jeudi soir sur son blog officiel. Un message clair.

En cause, le fait que les deux vulnérabilités concernent la quasi totalité des micro-processeurs fabriqués ces dix dernières années par de véritables géants du secteur que sont les entreprises Intel, AMD et ARM. Sans ces composants miniaturisés, sorte de centres nerveux qui exécutent les programmes informatiques, aucun ordinateur, smartphone ou tablette ne pourrait fonctionner.

Élément central de distinction avec des alertes de sécurité plus classiques qui concernent généralement du "software", soit ce qui touche au logiciel, et non du "hardware", soit ce qui touche aux pièces composant les appareils.

"Tous les Macs et appareils iOS sont affectés, mais il n’existe aucune attaque connue à l’heure actuelle."
Apple

Et le problème est sérieux, car "Spectre" et "Meltdown" peuvent en théorie permettre d’accéder au "noyau" d’un système d’exploitation informatique, "exposant ainsi les informations critiques qui y seraient stockées", par exemple des mots de passe, explique dans une note publiée jeudi Chris Morales, chef de l’analyse sécurité pour l’entreprise de cybersécurité américaine Vectra Networks.

Pour sa part, Luke Wagner, ingénieur logiciel pour Mozilla, explique sur le blog sécurité de la fondation du célèbre navigateur que la faille permettrait même "à partir d’un contenu internet, de venir lire les informations privées".

Et quand on sait que la quasi totalité des appareils électroniques et informatiques fabriqués ces dernières années dans le monde est équipée de puces potentiellement vulnérables, l’affirmation pose question.

Les plus grands noms du numérique tels qu’Amazon, Google, Microsoft ou encore la fondation Mozilla, se sont donc lancés dans une course contre la montre pour limiter la casse, en annonçant la mise en place de correctifs logiciels rapides.

Le géant américain des micro-processeurs Intel, de même que ses concurrents AMD ou ARM, ont également commencé à diffuser des mises à jour de sécurité de leur côté. D’ailleurs, dans un communiqué diffusé jeudi, Intel a affirmé qu’il aurait d’ici la fin de la semaine prochaine "diffusé des mises à jour pour plus de 90% de ses processeurs sortis ces cinq dernières années". Pour le reste, il faudra attendre pour plus de précisions.

Pour éviter toute possibilité de piratage, Apple conseille quant à lui "de ne télécharger des applications que depuis des sites sûrs, comme l’App Store" pour l’instant. Le groupe précise dans la foulée avoir lui aussi diffusé des correctifs pour limiter l’impact possible de la faille "Meltdown" et en annonce d’autres prochainement.

Spectre prendra du temps

Bien, ça, c’est pour la première des deux vulnérabilités découvertes en juin par des chercheurs de chez Google, mais révélées en milieu de semaine seulement. Quid pour l’autre, "Spectre"? Selon certains experts, seul le remplacement des micro-processeurs concernés permettrait de se prémunir durablement, une perspective lourde de conséquences pour tout le secteur.

Ceci étant, expliquent-ils également, un piratage de ces processeurs exige un niveau technique très élevé, limitant selon eux les risques pour l’utilisateur.

L’agence américaine en charge de la cybersécurité (CERT) a indiqué "ne pas avoir connaissance" jusqu’ici de tentatives de piratage utilisant "Spectre" et "Meltdown" – facile, diront les mauvaises langues, cette connaissance étant difficile à établir. Quant à l’autorité allemande en charge de la sécurité informatique (BSI), elle non plus, dit ne pas avoir constaté à ce jour d'"exploitation active" de ce problème de sécurité, mais recommande tout de même aux acteurs du secteur de se protéger "le plus rapidement possible", dans un communiqué.

L’alerte sécuritaire se doublait vendredi d’interrogations au sujet de ventes d’actions par le patron d’Intel. Selon les chercheurs de Google, Intel a été alerté il y a de cela six mois déjà de l’existence d’une faille sur ses micro-processeurs. Or au quatrième trimestre 2017, le PDG du groupe, Brian Krzanich, a vendu près de 900.000 actions Intel, abaissant de moitié sa participation au capital du groupe, rapporte l’agence économique Bloomberg. Cette vente "n’a pas de lien" avec l’affaire des failles de sécurité, a assuré un porte-parole de la société, préférant dire que M. Krzanich avait exercé des options selon un calendrier établi à l’avance, et automatisé.

Lire également

Publicité
Publicité

Messages sponsorisés