Les géants du numérique, dont Apple, livrent bataille contre deux failles de sécurité majeures. L’objectif, face à un phénomène prenant de plus en plus d’ampleur, est pour l’heure de limiter la casse.
Amazon, Google et maintenant Apple… Alors que la liste des géants du nu- mérique touchés par deux failles de sécurité majeures, « Spectre » et « Meltdown“, s’allonge sans cesse, la course est lancée pour limiter la casse. « Tous les systèmes Mac et appareils (mobiles) iOS sont affectés mais il n’y a aucune attaque connue à l’heure actuelle », a fait savoir la firme à la pomme, dont les appareils sont généralement réputés pour leur sécurité, jeudi soir sur son blog officiel.
« Spectre » et « Meltdown » concernent la quasi totalité des micro-processeurs fabriqués ces dix dernières années par les entreprises Intel, AMD et ARM. Aucun ordinateur, smartphone ou tablette ne pourrait fonctionner sans ces composants miniaturisés, sorte de centres nerveux qui exécutent les programmes informatiques.
Cela distingue ces deux failles des alertes de sécurité plus classiques, qui concerne généralement du « software », des logiciels, et non du « hard- ware », les pièces composant les appareils. « Spectre » et « Meltdown » peuvent en théorie permettre d’accéder au « noyau » d’un système d’exploitation informatique, « exposant ainsi les informations critiques qui y seraient stockées », par exemple des mots de passe, explique dans une note publiée jeudi Chris Morales, chef de l’analyse sécurité pour l’entreprise de cybersécurité américaine Vectra Networks.
Luke Wagner, ingénieur logiciel pour Mozilla, explique lui sur le blog sécurité de cette fondation que la faille permettrait « à partir d’un contenu internet de venir lire les informations privées ». La quasi totalité des appareils électroniques et informatiques fabriqués ces dernières années dans le monde est équipée de puces potentiellement vulnérables.
Failles difficiles à exploiter ?
Les plus grands noms du secteur numérique, tels Amazon, Google, Microsoft ou encore la fondation Mozilla, se sont donc lancés dans une course contre la montre pour limiter la casse, en annonçant la mise en place de correctifs logiciels. Le géant américain des micro-processeurs Intel, de même que ses concurrents AMD ou ARM, a également commencé à diffuser des mises à jour de sécurité.
Dans un communiqué diffusé jeudi, Intel a affirmé qu’il aurait d’ici la fin de la semaine prochaine « diffusé des mises à jour pour plus de 90% de ses processeurs sortis ces cinq dernières années ». Pour éviter toute possibilité de piratage, Apple de son côté « conseille de ne télécharger des applications que depuis des sites sûrs, comme l’App Store ». Le groupe précise avoir lui aussi diffusé des correctifs pour limiter l’impact possible de la faille « Meltdown » et en annonce d’autres prochainement.
Selon certains experts, seul le remplacement du micro-processeur permet- trait de se prémunir durablement, une perspective lourde de conséquences pour tout le secteur. Ceci étant, expliquent-ils également, un piratage de ces processeurs exige un niveau technique très élevé, limitant selon eux les risques.
L’agence américaine en charge de la cybersécurité (CERT) a indiqué « ne pas avoir connaissance » jusqu’ici de tentatives de piratage utilisant « Spectre » et « Meltdown ». L’autorité allemande en charge de la sécurité informatique (BSI) n’a, elle non plus, pas constaté à ce jour « d’exploitation active » de ce problème de sécurité, mais a néanmoins recommandé aux acteurs du secteur de se protéger « le plus rapidement possible », dans un communiqué.
L’alerte sécuritaire se doublait vendredi d’interrogations au sujet de ventes d’ac-tions par le patron d’Intel. Selon le magazine spécialisé Solutions Numériques, Intel a alerté dès fin novembre de l’existence d’une faille sur ses micro-processeurs. Or au quatrième trimestre 2017, le PDG du groupe, Brian Kr- zanich, a vendu près de 900 000 actions Intel, abaissant de moitié sa participation au capital du groupe, selon l’agence économique Bloom- berg.
Cette vente « n’a pas de lien » avec l’affaire des failles de sécurité, a assuré à Bloomberg un porte-parole de la société, assurant que M. Krzanich avait exercé des options selon un calendrier établi à l’avance, et automatisé. L’action Intel a encore perdu près de 2% jeudi, finissant à 44,43 dollars, après avoir déjà clôturé en repli de 3,40% la veille.