Les récentes failles de sécurité que sont Meltdown et Spectre pour les processeurs Intel ont remis en lumière un problème récurrent des composantes matérielles de la technologie : la complexité de la gestion des mises à jour.
Ce n’est pas la première ni la dernière fois que le problème se produit.
C’est d’ailleurs d’un problème de ce type qu’est né le mot « bug » que l’on utilise en informatique.
Pour la petite histoire, dans les années 40, un insecte qui s’était introduit dans le relais électrique d’un ordinateur avait provoqué un court-circuit : un clair défaut de conception matérielle, l’insecte n’aurait pas du pouvoir atteindre cet endroit.
La vaste hésitation de Intel et des pourvoyeurs de systèmes d’exploitation qui sont mis en œuvre autour de ces processeurs a étonné nombre d’entre nous.
En effet, les deux problèmes connus par Intel depuis juin 2017 et révélés au grand public en janvier 2018, restent sans solution à cette date. Dans le meilleur des cas, Intel nous promet des solutions pour fin 2018.
Est ce une fatalité ?
Que dirait-on d’un éditeur de logiciel qui met dix huit mois à corriger un bug de sécurité majeur ?
Et pourtant aucune instance supérieure ne réagit, pas de déclaration fracassante de nos gouvernants législateurs, pourtant si prompt à dénoncer les dérives du monde commercial.
Même les utilisateurs et les entreprises semblent passifs, comme honteux d’hésiter entre laisser les failles ouvertes et appliquer d’obscurs correctifs dont les seuls effets clairement identifiés sont de réduire de façon significative les performances des systèmes.
Les seules réactions sont des class-actions d’actionnaires qui s’estiment lésés par l’absence de communication d’Intel. Autant dire que l’aspect sécurité qui a justifié les six mois de secret risque de mettre à mal leurs argumentations. Et de toute façon, l’action Intel a déjà très largement regagné le terrain perdu et atteint de nouvelles valeurs record.
Les tenants du problème
Un dispositif matériel est fait de composants plus ou moins complexes pilotés par une partie logicielle embarquée (le Firmware en général ou le BIOS pour les ordinateurs en particulier) et exploité par les logiciels classiques.
Les composants matériels sont inévitables et existeront toujours pour de nombreuses raisons :
– Eux seuls peuvent interagir avec la matière
– Ils sont souvent plus simples à mettre en œuvre
– Le logiciel a de toute façon besoin du matériel pour s’exécuter
– Le matériel dispose d’un avantage de performance évident.
Malheureusement, en cas de problème, de défaut de conception ou de faille de sécurité, la mise à jour s’avère souvent difficile.
Comment corriger un défaut matériel ?
Le matériel lui-même ne peut qu’être remplacé. Autant dire que dans le cas présent personne ne l’imagine. Outre les coûts prohibitifs, le changement d’un processeur est, au mieux réservé à des spécialistes, au pire juste impossible.
Le Firmware peut être mis à jour, encore faut-il que cela soit prévu et que cela comporte au moins un arrêt de production et un risque d’échec, voire de panne complète. Intel n’a pas prévu de dispositif autonome et se repose sur une éventuelle diffusion par les mises à jour des systèmes d’exploitation. Et c’est sans certitude que cette solution peut être ici possible.
Dernière piste, celle exploitée par les correctifs actuels : contourner le problème en bouchant la faille avec un dispositif de contrôle supplémentaire, qui explique la baisse de performance et l’aspect provisoire que tous lui confère.
Quelle leçon en tirer ?
Même si je doute que la transparence dans la communication des acteurs progresse beaucoup suite à cet épisode, on peut au moins s’attendre à un peu plus d’anticipation de leur part.
Quant à nous utilisateurs, gardons de prendre pour argent comptant une obsolescence des processeurs. Maintenant que la loi de Moore a atteint ses limites, la durée de vie des machines a fait un bond en avant. Alors on cherche à nous vendre « Socket Machin » ou « DDR truc » et bientôt des processeurs garantis moins buggés ?
Désolé, je n’achète pas.
Olivier Piochaud, Président Directeur Général d’Apsynet
