De l’importance du projet Zero de Google

Matt Linton, senior security engineer, et Pat Parseghian, technical program manager de Google :

The Project Zero researcher, Jann Horn, demonstrated that malicious actors could take advantage of speculative execution to read system memory that should have been inaccessible. For example, an unauthorized party may read sensitive information in the system’s memory such as passwords, encryption keys, or sensitive information open in applications. Testing also showed that an attack running on one virtual machine was able to access the physical memory of the host machine, and through that, gain read-access to the memory of a different virtual machine on the same host. These vulnerabilities affect many CPUs, including those from AMD, ARM, and Intel, as well as the devices and operating systems running on them.

Quoi que l’on pense de Google, il faut reconnaître l’importance capitale de son projet Zero dans l’amélioration de la sécurité informatique ces trois dernières années1. Cette sorte de dream team de la recherche de failles est à l’origine de centaines de révisions de Windows, de macOS, de GNU/Linux, d’Android, d’iOS, des principaux navigateurs, de nombreux services web, de gestionnaires de mots de passe… Et révèle aujourd’hui que la quasi-totalité des appareils informatiques produits ces vingt dernières années sont vulnérables à Spectre, un jeu de failles dans la prédiction de branchement qui permet de casser les barrières entre les différents espaces mémoire, et qui ne pourra pas être complètement corrigée.

Les appareils dotés d’un processeur Intel sont aussi vulnérables à Meltdown, une autre faille dans l’accès à la mémoire, contre laquelle les principaux systèmes d’exploitation prennent déjà des mesures. Spectre remet nécessairement en cause les modèles de menace existants, tous les appareils devant désormais être considérés corruptibles voire corrompus.


  1. Même si l’on peut toujours arguer que l’amélioration de la sécurité informatique sert les intérêts de Google : des appareils plus fiables, ce sont des appareils qui affichent correctement les publicités de Google.