La vulnérabilité Spectre ne donne pas seulement des suées froides aux RSSI. Si l'impact en termes de sécurité est avéré, les DSI ont sans doute aussi du mouron à se faire, surtout ceux disposant de parcs de postes de travail sous Windows 7. Et ils sont encore très nombreux : d'après NetMarketShare, la part des PC de bureau équipés de ce système d'exploitation est encore de 45% en décembre 2017, contre 27,4% pour Windows 10 et 8,1% pour Windows 8/8.1 (et encore 7,7% pour XP). Microsoft a en effet indiqué que les PC équipés de Windows 7 sur lesquels le correctif permettant de corriger l'une des deux vulnérabilités Spectre « branch target injection » (CVE-2017-5715), et reposant sur un processeur datant de 2013 ou avant (type Haswell), allaient connaitre une sérieuse baisse de performance. A l'inverse, pour les parcs de PC sous Windows 10 avec de vieux processeurs, l'applicatif de ce patch n'aura pas autant de conséquence en termes de ralentissement d'après la firme de Redmond.
Dès que les vulnérabilités Meltdown et Spectre ont été révélées, les experts ont expliqué que les mesures correctives auraient des impacts en termes de performance. « Il est possible qu'un patch puisse désactiver l'exécution spéculative ou empêcher les lectures de mémoire spéculatives, mais cela entraînerait une baisse significative de performance », ont écrit des chercheurs indépendants et académiques qui ont explicité les défauts dans les moindres détails. Terry Myerson, vice-président exécutif Windows et Devices Group, a indiqué que la différence entre Windows 10 et Windows 7 est dûe aux nouveaux processeurs et à la conception en elle-même de l'OS les deux se faisant au détriment de ce dernier. « Les anciennes versions de Windows ont un impact de performance bien plus important parce que Windows 7 et 8 ont davantage de transitions utilisateur-noyau à cause des décisions de conception historiques, comme celle faisant que tous les rendus de polices ont lieu dans le noyau », a précisé Terry Myerson.
Des impacts variables selon les workloads et les applications
La différence de traitement entre Windows 7 et Windows 10 résulte en fait d'un choix entrant dans la grande tradition de Microsoft qui a toujours été de privilégier le dernier OS sorti au détriment de celui qu'il remplace. En 2016, la société a ainsi relégué Windows 7 au second plan lorsqu'il a annoncé raccourcir le support des processeurs Skylake, avant de finir par se raviser en indiquant finalement une prise en charge jusqu'en janvier 2020. Pour autant, la firme de Redmond n'a rien lâché sur le support des processeurs Kaby Lake (et postérieurs) uniquement pour Windows 10, condamnant un peu plus ses OS vieillissants.
Les entreprises devraient immédiatement commencer à tester les mises à jour et évaluer leurs problèmes de performances, a exhorté un expert en correctifs. « Les sociétés doivent faire preuve de prudence et tester soigneusement avant de déployer », a averti Chris Goettl, chef de produit d'Ivanti, fournisseur de solutions de sécurité client et de gestion. Certains workloads seront plus susceptibles de subir des ralentissements après le patch, tandis que d'autres n'auront pas vraiment de conséquence sur le travail au quotidien des utilisateurs qui auront du mal à remarquer une différence.
Des précisions d'impacts de performance attendues
Chris Goettl a identifié des domaines tels que le stockage, l'utilisation élevée du réseau et la virtualisation comme étant susceptibles d'être impactés par des performances plus lentes après l'application des mises à jour. « Cela va varier », a déclaré le chef de produit d'Ivanti. « Dans quelle mesure l'accès au stockage sera touché ou quel sera l'impact sur les plateformes cloud, telles qu'Office 365 ? Les environnements en bord de réseau peuvent voir leur performance se dégrader le plus. » Terry Myerson n'a quant à lui pas cité de données de précisions sur la façon dont les mises à jour affecteront les différentes plateformes (processeurs, OS...) mais a promis que Microsoft « publiera des données sur les performances de référence dans les semaines à venir », a-t-il déclaré. Nul doute que les DSI seront parmi les premiers à les attendre au tournant.