Apple, qui n’avait pas encore réagi aux failles Meltdown et Spectre affectant les processeurs Intel, livre enfin son diagnostic. Et la nouvelle n’est pas très bonne, puisque tous les périphériques Mac et iOS sont concernés. Cependant, le constructeur californien assure qu'il n'y a aucune raison de paniquer. Comme l’a expliqué Apple, les failles sont liées à une fonction processeur dénommée « exécution spéculative », laquelle permet d’accélérer la vitesse de traitement en exécutant plusieurs tâches simultanément : « Pour augmenter les performances, le CPU estime le chemin qu'une branche est la plus susceptible de prendre et poursuit spéculativement le traitement sur ce chemin avant même que la branche ne soit terminée. Si la prédiction s’avère fausse, l’exécution spéculative est annulée selon un processus normalement invisible des logiciels ». Et c’est ce processus que des exploits basés sur les failles Meltdown et Spectre pourraient théoriquement détourner pour accéder à des données protégées.
Cette explication est importante, car Apple n'est pas seulement l'un des plus grands fournisseurs de mobiles dans le monde. C'est aussi l'un des plus grands fabricants de puces, puisque la firme livre plus de 200 millions de processeurs ARM par an. Bien sûr, comme Intel et Google, Apple a pris des mesures appropriées pour atténuer les risques des failles Meltdown et Spectre. Mais la vraie question est de savoir quel impact ces failles auront sur la conception future des puces, car même si le risque n’est pas très élevé, des modifications sont nécessaires. Ainsi les puces des futurs iPad, iPhone et Watch seront scrutées de près d’autant qu’Apple va se retrouver en première ligne pour fournir à l’industrie un nouveau standard en matière d'exécution spéculative.
Atténuer le risque
Comme on a pu le découvrir, la mise à jour 10.13.2 de MacOS livrée en décembre par Apple contenait déjà des mesures d'atténuation pour protéger ses ordinateurs Macs contre la faille affectant la puce Intel et les possibles exploits Meltdown. Apple a également déclaré que les versions 11.2 d’iOS et 11.2 de tvOS contenaient des mesures d’atténuation pour les protéger de la faille Meltdown, ce qui signifie que les iPhone, iPad et Apple TV sont aussi vulnérables que les PC. Et selon Google, les mobiles Android ne sont affectés que par la faille Spectre. Surtout, Apple affirme que les tests effectués avec des benchmarks publics comme GeekBench 4, Speedometer et JetStream montrent que les mesures d'atténuation ajoutées pour protéger les périphériques de la faille Meltdown « n'entraînent aucune réduction mesurable des performances des systèmes MacOS et iOS ».
Concernant Spectre, les conclusions d’Apple rejoignent celles de Google, à savoir que la faille est « extrêmement difficile à exploiter » avec une application, mais qu’elle « peut être exploitée en JavaScript dans un navigateur Web ». Une prochaine mise à jour de Safari atténuera le risque, mais on ne sait pas si l’update ajoutera une fonction « de strict isolement de site » comme c’est le cas de Chrome ou si elle permettra simplement de cacher les données fuitées pour ne pas les exposer à des attaques potentielles. Comme pour Meltdown, Apple affirme que ces mesures d'atténuation « n'auront pas d'impact mesurable » sur les performances de Safari, selon les tests effectués avec Speedometer, ARES-6 et un benchmark JetStream estime « l’impact à moins de 2,5 % ».
Des mises à jour à venir
Apple continue à développer des mesures d'atténuation contre la faille Spectre pour ses systèmes d'exploitation. Celles-ci seront intégrées aux prochaines mises à jour d’iOS, de MacOS et de tvOS. À noter au passage que, selon Apple, la Watch n'est pas concernée par les failles Spectre et Meltdown. Depuis l'iPhone 4 livré en 2010, Apple fabrique ses propres systèmes sur puce SoC de série A. Initialement basée sur l'architecture Cortex d'ARM, la puce A6 introduite en 2012 a introduit une série de modifications propres à Apple. Cette architecture processeur maison sert toujours de base pour les puces équipant les iPhone, iPad et Apple TV. Apple fabrique également une puce dite de série W pour les connexions sans fil et la mise en réseau, des puces auxiliaires de série T pour MacBook Pro et iMac Pro, et des puces auxiliaires de série S pour la Watch.
(Mise à jour du 9 janvier 2018) Spectre bloqué avec iOS 11.2.2 et macOS 10.13.2.
Commentaire