L‘une des vulnérabilités concerne spécifiquement les puces fabriquées par Intel au cours des dix dernières années et une autre affecte les ordinateurs portables et de bureau, les smartphones, les tablettes et les serveurs internet. Dans la foulée, on a appris que le CEO d'Intel, Brian Krzanich, a vendu fin 2017 un important paquet d'actions de son entreprise, et ce alors qu'il était déjà au courant de la faille de sécurité affectant les micro-processeurs. Pur hasard ? Selon une porte-parole d'Intel, la vente n'a rien à voir avec le problème de sécurité. Le CEO pourrait toutefois devoir s'expliquer d'un éventuel délit d'initié.

Selon Intel et ARM, la faille ne relève pas d‘un défaut de conception, même si les utilisateurs doivent télécharger un correctif pour mettre à jour leur système d‘exploitation. L’équipe d‘experts en sécurité informatique du Project Zero de Google, filiale d‘Alphabet, en collaboration avec des chercheurs dans plusieurs pays, a découvert deux failles.

La première, appelée Meltdown, affecte les puces Intel et permet aux pirates informatiques de contourner la barrière matérielle entre les applications exécutées par les utilisateurs et la mémoire de l‘ordinateur, laissant ainsi potentiellement le champ libre pour accéder par exemple aux mots de passe. La seconde, baptisée Spectre, affecte les puces d‘Intel, d‘AMD et d‘ARM et permet potentiellement à des pirates de s‘emparer des données secrètes stockées dans la mémoire des applications fonctionnant sur l‘ordinateur.

Selon les chercheurs, Apple et Microsoft disposent déjà de correctifs pour les utilisateurs d‘ordinateurs de bureau affectés par Meltdown. Daniel Gruss, l‘un des chercheurs de l‘université de technologie de Graz à l‘origine de la découverte de Meltdown, a estimé qu‘il s‘agissait “probablement de l‘un des pires bugs de processeur jamais identifiés”, dans une interview accordée à Reuters. Pour cet expert, Meltdown constitue le problème le plus grave à court terme, mais pourrait être corrigé efficacement via des mises à jour logicielles. La faille Spectre en revanche, qui concerne presque tous les appareils informatiques, est plus difficile à exploiter par des pirates mais elle est aussi moins facilement corrigeable et restera un sérieux problème à long terme, a-t-il expliqué.

La publication spécialisée The Register a été la première à rapporter l‘existence de ces failles mercredi. Elle a également indiqué que les mises à jour pour résoudre les problèmes pourraient ralentir les ordinateurs équipés de puces Intel de 5% à 30%. Mais Intel conteste cette dernière affirmation.

Les puces AMD sont également affectées par au moins une variante des défauts de sécurité dévoilés, mais elles peuvent être corrigées par une mise à jour logicielle. Le concurrent d‘Intel estime qu‘il y a “un risque quasi nul pour les produits AMD en ce moment”.

Google a déclaré sur un blog que les téléphones sous Android mis récemment à jour étaient également protégés, notamment ses modèles Nexus et Pixel. Le groupe américain a ajouté qu‘aucune mesure spécifique n’était nécessaire pour la messagerie Gmail, mais les utilisateurs des ordinateurs Chromebooks, du navigateur web Chrome et des autres services de Google Cloud devront installer des mises à jour. Amazon de son côté a indiqué avoir corrigé le problème sur la plupart de ses serveurs internet.