Passées les deux semaines nécessaires aux experts pour expliquer les détails d’une double faille complexe, une question demeure : quelle sera la persistance de ce bug ?
Fausse question au demeurant, car pratiquement tout le landernau de la sécurité est du même avis : cela prendra du temps. Si les professionnels et les grandes entreprises ont techniquement les moyens de déployer des correctifs, ce ne sera quasiment pas le cas des millions de stations de travail équipant les particuliers, les PME, une grande partie du monde du contrôle de processus industriel, des équipements médicaux, des IoT de tous poils, les bornes interactives qui vont des TPV aux DAB, en passant par les billetteries automatiques des organismes de transport ou de loisirs, sans oser mentionner les périphériques connectés et microprocessorisés que sont les imprimantes, les routeurs divers… en bref, tout ce qui intègre une cpu Intel, partiellement AMD ou ARM.
Cette prévisible résistance au déploiement de correctif est ce que l’on pourrait appeler le « syndrome T.J. Maxx ». Souvenons-nous. C’était en 2007, 45 millions d’identités clients et bancaires « fuitées » par le biais d’équipements Wifi que l’on savait vulnérables depuis plus de 6 ans, car utilisant le protocole WEP. WEP, si facile à remplacer sur une station de travail par un WPA triomphant à l’époque, mais oh combien enquiquinant à reflasher (lorsque cela était possible) sur une foultitude de routeurs, de caisses enregistreuses, d’étiquettes communicantes… Et c’est bien là le problème de la faille Meltdown/Spectre : elle concerne plusieurs familles de processeurs équipant bon nombre d’appareils connectés mais rarement, voir jamais, mis à jour car exigeant un re-flashage de Bios (opération délicate pour 98% de la population informatisé, et hors de portée pour 80% d’entre elle, faute d’outils ou de connaissances techniques). Ce n’est plus une « fenêtre de vulnérabilité », c’est le gouffre de Padirac de la SSI. Ceci sans mentionner le faible niveau de prévention, que nul média grand public, radio, TV, presse écrite quotidienne, ne peut véritablement diffuser. Car Spectre n’est jamais que la énième fin du monde informatique de ces derniers 300 jours, et que l’on aura oublié à la fin du « 20 Heure ». Une fois de plus « la sécurité (des S.I.) est un échec », car elle échappe à toute action coordonnée dans ce cas précis. Point de « patch Tuesday » salvateur hors les principaux systèmes d’exploitation, aucune signature d’antivirus fiable pour l’instant, excepté peut-être les quelques exploits publiés par les chercheurs, et encore trop de terminaux intelligents, de tablettes, de smartphones, d’instruments de mesure, d’électroniques de commande connectés en permanence sur des réseaux publics mais dépourvus de protocole de déploiement de rustines véritablement unifié.
Il faut alors se concentrer sur ce que l’industrie de la sécurité a toujours fait, la détection d’attaque plutôt que la remédiation. Le coup par coup plutôt que le définitif. La sécurité « externalisée » confiée à des logiciels, des « pizza box », des services, des réseaux d’opérateurs qui sauront -peut-être- intercepter les malwares, tout en rendant un peu plus dépendants les utilisateurs de systèmes numériques. Dépendants et toujours aussi peu informés. « Meltdown and Spectre: Security is a Systems Property » explique Steve Bellovin au fil de l’un de ses trop rares billets. La sécurité est une chaîne, qui lie à la fois le système local, les moyens de communication… et d’autres éléments dont la majorité des usagers ne soupçonne même pas l’existence et sur lesquels ce même usager n’a strictement aucune prise.
Et les exemples comparables ne manquent pas. Tout au long de l’année qui vient de s’écouler, les avalanches de fuites d’informations personnelles ont montré à quel point les précautions de chiffrement (notamment en termes de salage ou de choix d’algorithmes récents) étaient traités par-dessus la jambe par des acteurs que l’on croyait respectables et sur lesquels le fameux « utilisateur final » n’a aucun moyen de pression. Des acteurs de la part desquels ce même usager n’obtient aucune information. Tant qu’une négligence est ignorée du public, pourquoi chercher à la corriger en priorité ? D’ailleurs, quand bien même la majorité des principaux acteurs pratiquerait une politique du « meilleur effort » que l’effort en question peut être compromis par les manquements de quelques-uns. Et ce, parfois, par ignorance, par oubli… et certainement pas dans l’intention de nuire.
Ce n’est pourtant en aucun cas une raison pour ne pas appliquer les correctifs qui sont disponibles. Cela va sans dire… cela va mieux en le déployant. Ajoutons au passage que les pertes de performances liées à l’application du patch Intel ne concernent que quelques gros serveurs de jeux en ligne et peuvent affecter, dans une faible proportion, des outils CAO sollicitant fortement les ressources CPU. L’occasion rêvée pour demander une mise à niveau matérielle ou une légère rallonge budgétaire ?