À 22 ans, Jann Horn s'est fait un nom dans le monde de la cybersécurité. Le jeune Allemand, chercheur chez Google, est le premier à avoir mis le doigt sur les failles Spectre et Meltdown, les plus grandes failles informatiques jamais découvertes . Les deux défauts de conception affectent des millions de microprocesseurs à travers le monde et rendent les données des ordinateurs, des serveurs et des smartphones vulnérables à de potentiels logiciels malveillants.
«Jann a toujours été un esprit exceptionnel», raconte à Bloomberg, un professeur d'informatique, qui se souvient avoir été impressionné quand Jann Horn avait découvert un problème de sécurité dans le réseau d'ordinateurs de son lycée. En 2013, il assistait déjà à une réception donnée par Angela Merkel après avoir remporté une compétition scientifique. Un an plus tard, il est repéré par le fondateur du cabinet de cybersécurité Cure53, Mario Heiderich, où il restera deux ans.
Aujourd'hui, Jann Horn travaille pour Project Zero, l'unité d'Alphabet dédiée à la traque des vulnérabilités indésirables, qui permettent à des hackers de s'introduire dans le système des ordinateurs et menacent potentiellement le Web. Au milieu de l'année 2017, le jeune homme découvre Spectre et Meltdown.
Au départ, Jann Horn cherchait simplement à s'assurer que les ordinateurs étaient capables de supporter un code arithmétique particulier. Il s'est donc lancé dans la lecture des manuels des processeurs Intel, qui équipent la majorité des ordinateurs. C'est là que l'exécution spéculative attire son attention. L'exécution spéculative consiste, pour le processeur, à deviner la partie du code qu'il va devoir exécuter dans un futur proche. En quelque sorte, il s'agit d'anticiper la tâche suivante, afin de récupérer à l'avance les données nécessaires à son exécution.
Le jeune homme remarque que, lorsque le processeur anticipe mal la prochaine tâche à exécuter, les données réunies en prévision de cette tâche restent stockées dans la mémoire de la puce. Il comprend que ces données pourraient être exposées aux hackers, et que cela pourrait même affecter davantage de parties de code. Aux côtés de Felix Wilhelm, un autre jeune chercheur de Google, Jann Horn décide de mener des recherches plus poussées. Il avait vu juste, et fut le premier à alerter Intel Corp au mois de mai 2017.
90% des processeurs Intel de moins de cinq ans patchés
Révélées au grand public en janvier 2018, les failles Spectre et Meltdown causent bien des difficultés à Intel, qui équipe des millions d'ordinateurs à travers le monde, mais aussi des smartphones, des centres de données, et des serveurs. Intel n'est pas seul mis en cause: les processeurs AMD ou d'architecture ARM sont aussi concernés, ce qui élargit encore le périmètre d'appareils impactés.
«Nous avons maintenant publié des mises à jour pour 90% des processeurs Intel introduits au cours des cinq dernières années, mais nous avons encore du travail à faire», écrit Intel, dans une note du 17 janvier. Cet engagement avait été pris une semaine plus tôt par le PDG d'Intel, Brian Krzanich. Les 10% restants devraient être patchés avant le mois de février. Les processeurs les plus âgés seront traités en dernier.
La note relève tout de même que ces patchs semblent être responsables d'un redémarrage plus fréquent de l'appareil, dans le cas des microprocesseurs construits sur les architectures Ivy Bridge, Sandy Bridge, Skylake, et Kaby Lake. «Nous avons reproduit ces problèmes en interne et progressons vers l'identification de sa cause », affirme Intel.
Des recours collectifs (class actions) ont été lancés dans au moins trois États américains, en Californie, dans l'Oregon et dans l'Indiana. Les plaintes reprochent à Intel de ne pas avoir communiqué sur ces vulnérabilités. Les inquiétudes portent aussi sur les conséquences des correctifs déployés sur les performances des appareils et infrastructures.