Spectre et Meltdown vous souhaitent une bonne année 2018!

Les processeurs Intel et AMD, du nom du fabricant américain Advanced Micro Devices, équipent la majorité des ordinateurs portables, des ordinateurs de bureau et des serveurs informatiques y compris des infrastructures de télécommunication. Les processeurs ARM, dont le nom Advanced Risk Machine fait référence à un type d’architecture de processeurs, se retrouvent dans la majorité des téléphones portables et tablettes numériques. Intel, leader mondial des microprocesseurs, pourrait voir son fameux slogan publicitaire «Intel Inside» remplacé par celui de «No Security Inside».

En effet, ce 3 janvier 2018, Google faisait savoir au monde entier que des vulnérabilités dénommées Spectre et Meltown, connues depuis plusieurs mois, liées à des failles de l’architecture et du mode de fonctionnement d’une large gamme de processeurs Intel, ARM et AMD, permettaient de développer des attaques informatiques pour dérober des données et porter atteinte à la confidentialité des informations traitées par ces processeurs. Le processeur, cerveau de l’ordinateur, est devenu le vecteur de cyberattaques.

Pourquoi Google révèle la faille

Il s’agit d’une révélation capitale qui met en évidence la fragilité du monde numérique sur lequel nous bâtissons notre société, pour cinq raisons majeures.

Premièrement parce qu’elle est rendue publique par Google et non par un groupe de cybercriminels ou de victimes, comme ce fut le cas au printemps dernier lors de la cyberattaque Wannacry (en mai 2016, Google a indiqué avoir conçu un nouveau processeur informatique optimisé pour l’intelligence artificielle).

Deuxièmement parce que l’annonce intervient avant que la totalité des dispositifs de réparation permettant de pallier ces vulnérabilités ou du moins d’atténuer les impacts de l’usage malveillant soient disponibles, comme c’est généralement le cas.

Troisièmement parce qu’il ne s’agit pas d’un problème de sécurité informatique à proprement parler, mais d’un défaut de conception des processeurs dont les vulnérabilités, si elles sont exploitées, conduisent à un problème de sécurité informatique. C’est un peu comme si on avait construit une maison avec du béton qui se révèle ne pas être armé. La bâtisse risque de s’effondrer même si elle possède des solutions de sécurité comme une porte blindée ou des barreaux aux fenêtres. Car ces solutions de sécurité ont été installées pour répondre à un problème de sécurité particulier et non pour pallier des défauts de conception de la maison ou de ceux liés à un choix de composants matériels manquant de robustesse. Cela indépendamment du fait que la maison, avec ses solutions de sécurité, a été vendue très cher à son propriétaire. Peut-on vivre avec ce risque d’effondrement et ce manque de confiance?

Quatrièmement par l’ampleur et le nombre de systèmes concernés, y compris dans des domaines d’utilisation très sensibles (armement, défense, diplomatie, gouvernement, finance…).

Enfin, parce que ce n’est pas la sécurité informatique qui est la cause du problème: celui-ci réside dans la conception des processeurs qui a fait le choix de privilégier les performances au détriment de la sécurité et de la fiabilité. En quelque sorte, les concepteurs et fabricants de processeurs informatiques n’ont pas voulu payer le prix de la sécurité, mais nous allons tous payer celui de l’insécurité. Ce défaut de prise en compte des exigences de la sécurité informatique dans la conception des systèmes existe également dans la majorité des objets connectés à Internet et des logiciels d’application, qui privilégient la mise rapide sur le marché de produits qui n’intègrent pas de sécurité pour des raisons de performance, de convivialité mais surtout de coût. La sécurité coûte cher et personne, à moins d’y être contraint, ne souhaite supporter le coût de la sécurité informatique. Au final c’est souvent l’utilisateur et la société tout entière qui en supporteront les coûts réels.

Mises à jour et ralentissement

Les propriétaires de tous les systèmes concernés par Spectre et Meltdown devront installer des mises à jour logicielles, qui ralentiront les performances des processeurs (ordre de grandeur estimé entre 5 et 30%). Toutefois, on ne pourra pas vraiment certifier l’efficacité de ces rustines logicielles qui, de plus, risquent de rendre obsolètes certains systèmes nécessitant leur remplacement. La crainte que ces vulnérabilités existantes depuis de nombreuses années aient déjà été exploitées, les investissements nécessaires à la réalisation de ces mises à jour, ou à l’achat de nouveaux équipements, seront portés par les clients.

Aucune cyberassurance ne couvre ce type de risque. Il reste toutefois la possibilité de porter plainte contre Intel pour avoir fourni une puce électronique intégrée dans de multiples équipements, dont les performances après mises à jour ne correspondent plus aux promesses vendues. Il existe un précédent: en mars 2004, une plainte collective avait été déposée par le cabinet américain d’avocats Girard Gibbs contre Intel et Hewlett-Packard pour présentation abusive des performances du processeur Pentium 4. Ce même cabinet propose déjà d’examiner les cas de consommateurs victimes de la vulnérabilité Meltdown et diverses plaintes contre Intel ont déjà été déposées aux Etats-Unis.

La solution de l’open source

Les risques que font courir les pressions capitalistes ne sont pas étrangers aux défaillances des produits informatiques car à force de rogner sur les coûts et les délais pour satisfaire la marge et la croissance, on finit par dégrader leur qualité et donc leur sécurité. En revanche, force est de constater que tous les acteurs de l’informatique et des télécommunications doivent faire face à toujours plus de complexité des architectures informatiques, ce qui rend très difficile leur sécurisation.

Dans ce contexte, Spectre et Meltdown auront eu l’avantage de nous rappeler la nécessité d’appliquer le principe de conception et de développement des solutions informatiques «secure by design» et de pouvoir vérifier, un peu à la manière des processus de validation des médicaments avant leur mise sur le marché et durant toute leur durée de vie, la qualité des éléments informatiques. Le fait de vérifier, contrôler, certifier leur innocuité, leur fiabilité ainsi que leur comportement cohérent au regard de l’évolution des risques et des savoir-faire en matière de cyberattaques peut être facilité par des approches de type open source et devenir un nouveau domaine d’opportunité, y compris pour la Suisse.