Les géants du numérique, dont Apple, bataillent contre deux failles majeures
Amazon, Google et maintenant Apple… Alors que la liste des géants du numérique touchés par deux failles de sécurité majeures, «Spectre» et «Meltdown», s’allonge sans cesse, la course est lancée pour limiter la casse.
«Tous les systèmes Mac et appareils [mobiles] iOS sont affectés, mais il n’y a aucune attaque connue à l’heure actuelle», a fait savoir la firme à la pomme, dont les appareils sont généralement réputés pour leur sécurité, jeudi soir sur son blogue officiel.
«Spectre» et «Meltdown» concernent la quasi-totalité des microprocesseurs fabriqués ces dix dernières années par les entreprises Intel, AMD et ARM. Aucun ordinateur, téléphone intelligent ou tablette ne pourrait fonctionner sans ces composants miniaturisés, sorte de centres nerveux qui exécutent les programmes informatiques.
Cela distingue ces deux failles des alertes de sécurité plus classiques, qui concernent généralement du « software », des logiciels, et non du « hardware », soit les pièces composant les appareils.
Accès aux informations privées
«Spectre» et «Meltdown» peuvent en théorie permettre d’accéder au «noyau» d’un système d’exploitation informatique, «exposant ainsi les informations critiques qui y seraient stockées», par exemple des mots de passe, explique dans une note publiée jeudi Chris Morales, chef de l’analyse sécurité pour l’entreprise de cybersécurité américaine Vectra Networks.
Luke Wagner, ingénieur logiciel pour Mozilla, explique sur le blogue sécurité de cette fondation que la faille permettrait «à partir d’un contenu Internet de venir lire les informations privées ».
La quasi-totalité des appareils électroniques et informatiques fabriqués ces dernières années dans le monde est équipée de puces potentiellement vulnérables.
Les plus grands noms du secteur numérique, tels Amazon, Google, Microsoft ou encore la fondation Mozilla, se sont donc lancés dans une course contre la montre pour limiter la casse, en annonçant la mise en place de correctifs logiciels.
Le géant américain des microprocesseurs Intel, de même que ses concurrents AMD ou ARM, a également commencé à diffuser des mises à jour de sécurité.
Dans un communiqué diffusé jeudi, Intel a affirmé qu’il aurait d’ici la fin de la semaine prochaine «diffusé des mises à jour pour plus de 90% de ses processeurs sortis ces cinq dernières années ».
Pour éviter toute possibilité de piratage, Apple, de son côté, « conseille de ne télécharger des applications que depuis des sites sûrs, comme l’App Store». Le groupe précise avoir lui aussi diffusé des correctifs pour limiter l’impact possible de la faille «Meltdown» et en annonce d’autres prochainement.
Remplacer le microprocesseur
Selon certains experts, seul le remplacement du microprocesseur permettrait de se prémunir durablement, une perspective lourde de conséquences pour tout le secteur.
Cela étant, expliquent-ils également, un piratage de ces processeurs exige un niveau technique très élevé, limitant selon eux les risques.
L’agence américaine responsable de la cybersécurité (CERT) a indiqué «ne pas avoir eu connaissance» jusqu’ici de tentatives de piratage utilisant «Spectre» et «Meltdown».
L’autorité allemande responsable de la sécurité informatique (BSI) n’a, elle non plus, constaté aucune «exploitation active» de ce problème de sécurité à ce jour, mais elle a néanmoins recommandé aux acteurs du secteur, dans un communiqué, de se protéger «le plus rapidement possible».
L’alerte sécuritaire se doublait vendredi d’interrogations au sujet de ventes d’actions par le patron d’Intel.
Selon le magazine spécialisé Solutions numériques, Intel a donné l’alerte dès fin novembre au sujet de l’existence d’une faille sur ses microprocesseurs. Or, au quatrième trimestre 2017, le p.-d.g. du groupe, Brian Krzanich, a vendu près de 900 000 actions Intel, abaissant de moitié sa participation au capital du groupe, selon l’agence économique Bloomberg.
Cette vente « n’a pas de lien» avec l’affaire des failles de sécurité, a assuré à Bloomberg un porte-parole de la société, assurant que M. Krzanich avait exercé des options selon un calendrier établi à l’avance et automatisé.
L’action Intel a encore perdu près de 2% jeudi, finissant à 44,43$, après avoir déjà clôturé en repli de 3,40 % la veille.