Voilà plus d’un mois que les failles Meltdown et Spectre ont été révélées au grand public, et force est de constater que malgré toute l’énergie et les moyens mis en œuvre par Intel pour en venir à bout, il reste encore du chemin à parcourir. L’occasion de faire un petit bilan de ce qui a constitué un séisme dans le monde de l’informatique et de voir les prochaines étapes de la résolution d’un mal profond.
Rappels des failles Spectre et Meltdown
Bien que la révélation des failles ait été faite début janvier 2018, il faut savoir que la découverte en elle-même a eu lieu bien avant. En effet, c’est en mai 2017 qu’un jeune ingénieur allemand travaillant chez Google a découvert une faille majeure dans les processeurs Intel.
Jann Horn n’imaginait sans doute pas toutes les sueurs froides qu’il allait donner à la direction du géant des semi-conducteurs lorsqu’il s’est mis à travailler sur l’optimisation de certains calculs intensifs exécutés sur des processeurs Intel. Pour faire simple, Jann Horn a découvert que l’un des aspects des processeurs actuels, l’exécution spéculative (speculative execution) posait problème. Il s’agit d’un mécanisme d’optimisation permettant de réaliser à l’avance des opérations ayant de bonnes chances d’être appelées dans un futur proche. Ce mécanisme est utilisé intensément de nos jours dans les processeurs pour fournir des performances accrues.
Mais là où le bât blesse, c’est que sous certaines conditions, cette exécution spéculative peut permettre à des individus mal intentionnés d’accéder à des données confidentielles stockées dans l’ordinateur. Il s’agit souvent de mots de passe ou des numéros de carte bancaire.
Tous les processeurs Intel ne sont certes pas concernés par ces failles, mais une grande partie, ainsi que certaines puces de type ARM, celles qui sont embarquées dans les smartphones.
Branle-bas de combat dans le monde de l’IT
Lorsque les failles ont été rendues publiques, Intel a rompu avec la politique du silence qui prévalait jusque là et s’est fendu d’un mea culpa en bonne et due forme. Cette attitude transparente et coopérative a semble-t-il porté ses fruits. L’ensemble des acteurs de l’industrie de l’IT ont globalement été rassurés par le leader des semi-conducteurs quant à la prise au sérieux de la menace et son implication dans la résolution.
Travaillant en étroite collaboration avec les principaux éditeurs de logiciels comme Microsoft, des patchs ont été mis à disposition ces derniers temps. Malheureusement, dans certains cas, ces correctifs réduisent significativement les performances, puisque l’exécution spéculative, le cœur du problème, y est bridée.
Intel a promis de travailler sur de nouveaux patchs moins pénalisants en termes de performance, mais ils se font encore attendre.
Dernier correctif en date
Divers correctifs ont déjà été publiés en janvier, bien que certains aient dû être annulés, car eux aussi buggés.
En ce mois de février, Intel a déployé un nouveau microcode pour les processeurs de type Skylake. Mais reste encore à mettre à jour les microcodes pour les processeurs de générations Haswell et Broadwell plus anciennes.
On attendra donc le déploiement de ces derniers pour tourner définitivement la page autour de ces failles, qui auront non seulement terni la réputation d’Intel auprès des professionnels, mais aussi auprès du grand public.