Non classé

La cybersécurité… un château de silicium

Avec Meltdown et Spectre, Intel,
l’incontesté spécialiste mondial
du microprocesseur a largement
contribué à réduire presque à néant
la sécurité des données confiées
aux systèmes informatiques les
plus courants, existant à l’heure
actuelle. La globalisation connaît
ici, son premier accident industriel
pouvant affecter jusqu’à la sécurité
des Etats.

Une majorité de microprocesseurs produits par Intel depuis 1995 environ, auxquels s’ajoutent ceux de ARM et
AMD mais aussi de Qualcomm et de Samsung
sont concernés par un accident industriel
unique en son genre puisqu’il conduit à
entacher les puces d’un défaut irréparable. Le
problème trouve sa source dans une erreur de
conception qui affecte ce qui constitue le socle
sur lequel est bâtie l’architecture du
microprocesseur. Or, ce défaut ne peut être
effacé par un tour de passe-passe puisqu’il est
tout simplement gravé dans le silicium des
puces concernées.

Par la combinaison d’une pseudo-instruction et
d’une procédure de détection de violation de la
protection des zones de mémoire réservées au
noyau du système, la faille Meltdown permet à
n’importe quel processus, d’accéder à des
informations normalement protégées sans que
l’opération puisse être détectée….
Les éditeurs de logiciels ont rapidement
proposé des correctifs qui se révèlent efficaces
mais au prix le plus souvent, d’une dégradation
sensible des performances.

Concernant Spectre – un nom qui rappelle la
mythique organisation criminelle créée par Ian
Fleming dans la série de romans d’espionnage
dont le personnage central est James Bond –,
cette faille engendre un bouleversement sans
précédent dans l’ère numérique. Son cas est
encore plus problématique en termes de
cybersécurité puisque Spectre permet à un
processus de se ménager un accès à des
informations sensibles – mots de passe, clés de
déchiffrement, etc. – appartenant à un autre
processus sans laisser la moindre trace
d’effraction. Une attaque exploitant Spectre
sera considérablement plus dévastatrice
puisque plus une application respecte les
protocoles de sécurité, plus ces protocoles sont
documentés et plus aisément, ils peuvent être
exploités à des fins pernicieuses. La mise en
exploitation de ce défaut est éminemment
complexe mais dès lors que la cible mérite les
efforts à consentir, il y a fort à parier que le défi
sera relevé.

Désormais, il est donc impossible de préserver
le secret des données sensibles au sens absolu
puisqu’un correctif logiciel pourra toujours être
contourné dès lors que le défaut est présent de
manière inhérente dans le matériel. Certes,
attaquer un système via Spectre n’est pas une
mince affaire mais dès qu’ils seront
fonctionnels, gageons que les programmes qui
s’essaieront avec quelque succès à l’exercice,
s’accumuleront à l’envi dans les recoins les plus
sombres de la Toile.

En y consacrant suffisamment d’ingénierie et un
peu d’énergie, tous les processus sécurisés
peuvent être piégés dans la toile de Spectre :
les clés de chiffrement des transactions
financières mais aussi, les échanges de
documents confidentiels portant sur des brevets, des secrets de conception comme des formules chimiques, des
protocoles d’optimisation de processus, etc.
La possibilité de porter atteinte à la propriété intellectuelle, de s’emparer
des données confidentielles des individus, de compromettre les secrets
qui relèvent de l’indépendance ou de la sécurité des Etats, est gravée de
manière inaltérable dans le silicium.

METTRE LE GARAGE CALIFORNIEN SUR
UNE VOIE DE GARAGE

Depuis ses débuts, l’informatique se construit sur une relation particulière
avec ses utilisateurs : bénéficier d’une efficacité en constante amélioration
au prix d’un risque maîtrisé au regard des défauts – les bugs – inhérents à
une mise sur le marché accélérée de technologies sans cesse renouvelées.
La confiance dans ce contrat repose sur un paradigme : ce que fait le
numérique, le numérique peut le défaire. Les failles dans les systèmes et
les défauts qui entachent les logiciels peuvent être corrigés par leur
concepteur, ce qui amène à la diffusion fréquente de patchs avec lesquels
les utilisateurs de Linux, MacOS X ou Windows, sont plus que familiarisés.

Meldown et Spectre sont d’une autre trempe. Gravés au cœur des puces
fautives, ils resteront tapis dans l’ombre de leur microcode jusqu’à ce
qu’une nouvelle génération de microprocesseurs voit le jour – quand ? –
et qu’elle équipe de nouvelles machines. Les entreprises que leur activité,
exposent à des risques qu’il serait trop imprudent de prendre, seront dans
l’obligation de remplacer tous les équipements compromis en supportant
évidemment un préjudice financier considérable qui se double d’un
important préjudice opérationnel.

Comble du paradoxe, les californiens Intel et le AMD étant en situation de
quasi-monopole, ils devraient être au finish, les grands bénéficiaires du
coup de balai qui se produira lorsqu’ils commercialiseront une nouvelle
génération de puces que le monde professionnel espère sans tâche… sans
la moindre assurance sur ce point. C’est un aspect surprenant des
situations presque kafkaïennes que produit la mondialisation : le fautif tire
profit de ses turpitudes en faisant payer l’addition à ses victimes.
Nous ne saurons sans doute jamais si quelqu’un chez Intel, connaissait
l’existence des failles Meltdown et Spectre avant que soient publiés les
travaux de recherche de Paul Kocher et Daniel Genkin de l’Université du
Maryland. Ce qui est une certitude en revanche, c’est qu’il serait temps que
l’Europe se détache du mythe du garage californien, cette caverne
miraculeuse dont ne sortiraient que des inventions qui ne sauraient naître
sur le Vieux Continent.

L’industrie 4.0, c’est-à-dire la digitalisation de l’appareil industriel qui va
permettre de le raccrocher à la société numérique mondiale, n’est pas une
mode. C’est un mouvement de fond sur lequel va se construire et dans
certains secteurs se reconstruire, un outil de production nécessaire pour
accompagner la croissance mondiale au cours des décennies à venir. Tout
ce qui concourt à concevoir, planifier, organiser, piloter, automatiser ou
encore, optimiser l’appareil de production au moyen des technologies
numériques, revêt une importance géostratégique alors même que la
préservation des ressources et la protection de l’environnement
conditionnent l’avenir du vaisseau-Terre.

Concevoir et fabriquer des microprocesseurs en Europe est possible,
comme il est possible de concevoir et fabriquer, toutes les technologies
qui conditionnent l’indépendance et la sécurité du Vieux Continent. Une
situation aussi ubuesque que celle qui conduit à mettre en péril la
confidentialité dans la presque totalité de la sphère numérique, devrait
nous inciter à être les seuls maîtres de notre avenir en devenant les
artisans de notre autonomie digitale.

Ces articles peuvent vous intéresser :