À 22 ans, Jann Horn est employé par Alphabet dans l’équipe Project Zero, chargée de traquer les vulnérabilités des appareils. Il est aussi l’ingénieur qui a identifié les failles Meltdown et Spectre, et qui a informé les entreprises concernées en juin 2017.

Les gens qui connaissent Jann Horn parlent d’une détermination obstinée et d’un esprit puissant pour le décrire. Du haut de ses vingt-deux ans, l’ingénieur est à l’origine de la découverte des bugs critiques Meltdown et Spectre, localisés dans les processeurs des appareils. Il était donc logiquement au centre de l’attention, lors d’une conférence organisée à Zurich il y a une semaine.

En 2013, Jann Horn assistait en compagnie de 64 autres étudiants à une réception, organisée à Berlin en présence de la chancelière allemande. Angela Merkel félicitait alors les gagnants d’un concours organisé par le gouvernement, afin d’encourager les étudiants à se tourner vers la recherche scientifique.

Jann Horn faisait partie du Project Zero

Quelques années plus tard, le jeune homme a intégré Google en tant que chercheur spécialisé dans la cybersécurité. Il a en effet rejoint le Project Zero au sein d’Alphabet — une équipe chargée de dénicher de potentielles failles dans des produits, y compris ceux créés par Google.

Lui et ses vingt-deux printemps ont été parmi les premiers à signaler la faille de sécurité touchant les microprocesseurs, qui a amené Intel à plancher rapidement sur des correctifs — l’entreprise assurant que ces derniers n’ont pas d’impact négatifs sur leurs performances.

Il a consulté des manuels de processeurs

Le jeune ingénieur ne s’attendait pas à découvrir cette faille majeure lorsqu’il a commencé, en avril dernier, la lecture des manuels accompagnant les processeurs Intel. En se lançant dans ce travail colossal — les documents font des milliers de pages –, Jann Horn a expliqué qu’il voulait vérifier que ce matériel puisse supporter des lignes de code qu’il avait mis au point.

Ce faisant, l’ingénieur s’est intéressé à la façon dont les processeurs géraient l’exécution spéculative. Il s’agit d’une technique permettant à la puce d’améliorer sa propre vitesse, en « anticipant » des instructions qui ne lui ont pas encore été données. Les manuels consultés par Jann Horn indiquaient qu’en cas d’erreur de la part du processeur, les données resteraient stockées dans la mémoire de la puce. C’est ainsi que l’ingénieur a suspecté que cette information pourrait être utilisée à des fins malveillantes.

« À ce moment, je me suis rendu compte que le modèle de code sur lequel nous travaillions pouvait potentiellement laisser échapper des données secrètes. J’ai alors réalisé que cela pouvait — du moins en théorie — affecter bien plus que l’extrait de code sur lequel nous travaillions », a expliqué l’ingénieur.

« Cela pouvait affecter bien plus que notre extrait de code » — Jann Horn

Jann Horn parle alors d’un « processus graduel » pour décrire le cheminement qui l’a amené à suspecter la présence d’une faille. L’ingénieur savait qu’une équipe de chercheurs en sécurité à l’université de Graz, formée de Moritz Lipp, Daniel Gruss et Michael Schwarz, travaillait déjà sur cette vulnérabilité potentielle. Chacun de leur côté, les trois ingénieurs s’étaient mis à écrire des lignes de code pour tester la faille, échangeant leur progression via une messagerie instantanée — finalement, la vulnérabilité a été trouvée par Daniel Gruss.

Après avoir consulté Felix Wilhelmm, un autre jeune chercheur de Google à Zurich, Jann Horn a demandé conseil auprès d’un autre de ses collègues plus expérimenté, Robert Swiecki. Ce dernier a conseillé le jeune ingénieur sur la meilleure manière d’alerter Intel et les autres entreprises concernées. Le 1er juin suivant, Jann Horn les informait de la faille.

La suite de l’histoire est plus connue : Spectre et Meltdown ont été révélés au grand public en janvier 2018, posant immédiatement la question des protections et des conséquences possibles de ces énormes failles de sécurité.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.