La cybersécurité... un château de silicium

Avec Meltdown et Spectre, Intel, l’incontesté spécialiste mondial du microprocesseur a largement contribué à réduire presque à néant la sécurité des données confiées aux systèmes informatiques les plus courants, existant à l’heure actuelle. La globalisation connaît ici, son premier accident industriel pouvant affecter jusqu’à la sécurité des Etats.


Une majorité de microprocesseurs produits par Intel depuis 1995 environ, auxquels s’ajoutent ceux de ARM et AMD mais aussi de Qualcomm et de Samsung sont concernés par un accident industriel unique en son genre puisqu’il conduit à entacher les puces d’un défaut irréparable. Le problème trouve sa source dans une erreur de conception qui affecte ce qui constitue le socle sur lequel est bâtie l’architecture du microprocesseur. Or, ce défaut ne peut être effacé par un tour de passe-passe puisqu’il est tout simplement gravé dans le silicium des puces concernées.

Par la combinaison d’une pseudo-instruction et d’une procédure de détection de violation de la protection des zones de mémoire réservées au noyau du système, la faille Meltdown permet à n’importe quel processus, d’accéder à des informations normalement protégées sans que l’opération puisse être détectée…. Les éditeurs de logiciels ont rapidement proposé des correctifs qui se révèlent efficaces mais au prix le plus souvent, d’une dégradation sensible des performances.

Concernant Spectre – un nom qui rappelle la mythique organisation criminelle créée par Ian Fleming dans la série de romans d’espionnage dont le personnage central est James Bond –, cette faille engendre un bouleversement sans précédent dans l’ère numérique. Son cas est encore plus problématique en termes de cybersécurité puisque Spectre permet à un processus de se ménager un accès à des informations sensibles – mots de passe, clés de déchiffrement, etc. – appartenant à un autre processus sans laisser la moindre trace d’effraction. Une attaque exploitant Spectre sera considérablement plus dévastatrice puisque plus une application respecte les protocoles de sécurité, plus ces protocoles sont documentés et plus aisément, ils peuvent être exploités à des fins pernicieuses. La mise en exploitation de ce défaut est éminemment complexe mais dès lors que la cible mérite les efforts à consentir, il y a fort à parier que le défi sera relevé.

Désormais, il est donc impossible de préserver le secret des données sensibles au sens absolu puisqu’un correctif logiciel pourra toujours être contourné dès lors que le défaut est présent de manière inhérente dans le matériel. Certes, attaquer un système via Spectre n’est pas une mince affaire mais dès qu’ils seront fonctionnels, gageons que les programmes qui s’essaieront avec quelque succès à l’exercice, s’accumuleront à l’envi dans les recoins les plus sombres de la Toile.

En y consacrant suffisamment d’ingénierie et un peu d’énergie, tous les processus sécurisés peuvent être piégés dans la toile de Spectre : les clés de chiffrement des transactions financières mais aussi, les échanges de documents confidentiels portant sur des brevets, des secrets de conception comme des formules chimiques, des protocoles d’optimisation de processus, etc. La possibilité de porter atteinte à la propriété intellectuelle, de s’emparer des données confidentielles des individus, de compromettre les secrets qui relèvent de l’indépendance ou de la sécurité des Etats, est gravée de manière inaltérable dans le silicium.

METTRE LE GARAGE CALIFORNIEN SUR UNE VOIE DE GARAGE

Depuis ses débuts, l’informatique se construit sur une relation particulière avec ses utilisateurs : bénéficier d’une efficacité en constante amélioration au prix d’un risque maîtrisé au regard des défauts – les bugs – inhérents à une mise sur le marché accélérée de technologies sans cesse renouvelées. La confiance dans ce contrat repose sur un paradigme : ce que fait le numérique, le numérique peut le défaire. Les failles dans les systèmes et les défauts qui entachent les logiciels peuvent être corrigés par leur concepteur, ce qui amène à la diffusion fréquente de patchs avec lesquels les utilisateurs de Linux, MacOS X ou Windows, sont plus que familiarisés.

Meldown et Spectre sont d’une autre trempe. Gravés au cœur des puces fautives, ils resteront tapis dans l’ombre de leur microcode jusqu’à ce qu’une nouvelle génération de microprocesseurs voit le jour – quand ? – et qu’elle équipe de nouvelles machines. Les entreprises que leur activité, exposent à des risques qu’il serait trop imprudent de prendre, seront dans l’obligation de remplacer tous les équipements compromis en supportant évidemment un préjudice financier considérable qui se double d’un important préjudice opérationnel.

Comble du paradoxe, les californiens Intel et le AMD étant en situation de quasi-monopole, ils devraient être au finish, les grands bénéficiaires du coup de balai qui se produira lorsqu’ils commercialiseront une nouvelle génération de puces que le monde professionnel espère sans tâche… sans la moindre assurance sur ce point. C’est un aspect surprenant des situations presque kafkaïennes que produit la mondialisation : le fautif tire profit de ses turpitudes en faisant payer l’addition à ses victimes. Nous ne saurons sans doute jamais si quelqu’un chez Intel, connaissait l’existence des failles Meltdown et Spectre avant que soient publiés les travaux de recherche de Paul Kocher et Daniel Genkin de l’Université du Maryland. Ce qui est une certitude en revanche, c’est qu’il serait temps que l’Europe se détache du mythe du garage californien, cette caverne miraculeuse dont ne sortiraient que des inventions qui ne sauraient naître sur le Vieux Continent.

L’industrie 4.0, c’est-à-dire la digitalisation de l’appareil industriel qui va permettre de le raccrocher à la société numérique mondiale, n’est pas une mode. C’est un mouvement de fond sur lequel va se construire et dans certains secteurs se reconstruire, un outil de production nécessaire pour accompagner la croissance mondiale au cours des décennies à venir. Tout ce qui concourt à concevoir, planifier, organiser, piloter, automatiser ou encore, optimiser l’appareil de production au moyen des technologies numériques, revêt une importance géostratégique alors même que la préservation des ressources et la protection de l’environnement conditionnent l’avenir du vaisseau-Terre.

Concevoir et fabriquer des microprocesseurs en Europe est possible, comme il est possible de concevoir et fabriquer, toutes les technologies qui conditionnent l’indépendance et la sécurité du Vieux Continent. Une situation aussi ubuesque que celle qui conduit à mettre en péril la confidentialité dans la presque totalité de la sphère numérique, devrait nous inciter à être les seuls maîtres de notre avenir en devenant les artisans de notre autonomie digitale.