Meltdown &Spectre Exploits :8 informations essentielles pour protéger vos systèmes

Presque tous les ordinateurs et appareils dans le monde ont été exposés à des failles de sécurité qui les rendent vulnérables aux attaques. Heureusement, aucune fuite d'informations n'a été signalée jusqu'à présent, mais les bugs découverts pourraient être considérés comme l'une des pires failles de sécurité des processeurs.

Ci-dessous, nous avons couvert presque tous les aspects (techniques et commerciaux) de ce bug. Voyons donc ce qui s'est passé exactement.

1. Quels sont les défauts ?

Il existe deux bogues de sécurité similaires, baptisés Meltdown et Spectre.

Fusion :  Une vulnérabilité matérielle affectant les ordinateurs de bureau, les ordinateurs portables et les serveurs fonctionnant sur des processeurs Intel. Il brise l'isolement fondamental entre le système d'exploitation et les applications utilisateur, permettant au programme d'accéder à la mémoire et donc aux secrets d'autres programmes.

Plus précisément, Meltdown profite des effets secondaires d’une exécution dans le désordre sur les puces actuelles afin de lire des emplacements mémoire arbitraires du noyau. L'attaque ne repose sur aucune vulnérabilité du système d'exploitation ou du logiciel.

Une fois l'appareil affecté, Meltdown peut lire la mémoire d'autres processus ou machines virtuelles dans le cloud sans aucun privilège ni autorisation utilisateur, affectant pratiquement tous les utilisateurs d'un PC.

Informations détaillées : Fusion



Spectre : Sa portée est plus large. Cela affecte les ordinateurs, tablettes et smartphones équipés d’Intel, AMD et ARM. Cela peut briser l'isolement entre différentes applications et permettre aux attaquants de tromper un programme sans erreur pour qu'il divulgue leurs données privées.

Spectre exploite « l'exécution spéculative » utilisée dans presque toutes les puces modernes. Il incite le processeur à exécuter de manière spéculative des séquences d'instructions qui n'auraient pas dû s'exécuter lors de l'exécution correcte du programme.

En plus de violer les limites d'isolation des processus via le code natif, les attaques Spectre peuvent également être utilisées dans le code JavaScript exécuté dans un navigateur afin d'accéder à la mémoire dans le processus de l'attaquant.

Informations détaillées : Attaques spectrales – Exploitation de l'exécution spéculative

Les deux utilisent des canaux secondaires pour extraire les données de l’emplacement mémoire consulté. Si vous comparez ces deux-là, Spectre est bien plus difficile à exploiter que Meltdown, mais aussi plus difficile à atténuer.

2. Quel type d'informations est à risque ?

Ces bogues peuvent divulguer des mots de passe dans un navigateur ou un gestionnaire de mots de passe, des frappes au clavier, des messages instantanés, des e-mails, vos photos personnelles et des données critiques pour votre entreprise.

3. Quels systèmes sont concernés et quelle est leur taille ?

Comme nous l'avons mentionné ci-dessus, la faille Meltdown ne s'applique qu'aux processeurs Intel (pas AMD ou ARM). Les chercheurs l'ont testé sur des processeurs lancés dès 2011. Théoriquement, chaque processeur Intel sorti après 1995 est une cible. Intel estime que ces failles ne sont pas susceptibles de modifier, de corrompre ou d'effacer des informations.

La faille Spectre, en revanche, est bien pire, elle peut endommager tous les appareils fonctionnant sur des processeurs Intel, AMD et ARM. De plus, selon la conception et l’infrastructure des fournisseurs de cloud, il pourrait être possible de voler des données sensibles à d’autres clients. Des services comme LXC, Docker et OpenVZ sont menacés.

Donc, si vous êtes curieux de savoir si votre appareil est affecté par ces bugs, nous répondrons certainement oui.

4. Comment protéger les ordinateurs ?

Toutes les entreprises concernées s'efforcent de publier des correctifs dès que possible. Heureusement, des correctifs logiciels sont disponibles pour Meltdown. Google, Microsoft et Mozilla publient des correctifs pour leurs navigateurs comme première ligne de défense.

Voici l'étape rapide que vous pouvez prendre-

1. Mettez à jour la dernière version de Chrome (sortie le 23 janvier) et de Firefox 57.
2. Assurez-vous d'avoir installé KB4056892 pour Windows 10.
3. Les utilisateurs Linux peuvent consulter KAISER.
4. Consultez le site Web OEM pour obtenir des informations sur la mise à jour du micrologiciel et l'assistance, et appliquez-les rapidement.

Google affirme avoir résolu les problèmes de ses appareils Android (Nexus et Pixel) avec les dernières mises à jour de sécurité.

Les chercheurs travaillent également à trouver une solution permanente contre l’exploitation future de Spectre. Comme ce n'est pas facile à réparer, cela va nous hanter pendant un certain temps.

5. Le correctif ralentira-t-il votre appareil ?

Malheureusement, la réponse est oui. Quelques chercheurs ont déclaré que toute solution pourrait ralentir votre appareil jusqu'à 30 %. Cependant, Intel estime qu’il s’agit simplement d’affirmations surestimées. Selon Intel, tout impact sur les performances dépend de la charge de travail ; pour les utilisateurs d'ordinateurs moyens, l'impact ne devrait pas être significatif.

Cela signifie que si vous utilisez votre ordinateur pour consulter vos e-mails et naviguer sur le Web, vous ne remarquerez aucune différence.

6. Comment l’industrie et le marché de la technologie ont-ils réagi ?

Il s’agit probablement de l’un des pires bugs de processeur jamais découverts, et c’est un problème majeur pour toutes les industries technologiques. Ils devront repenser le système d'exploitation et peaufiner l'architecture du processeur.

Google a déclaré avoir informé les entreprises concernées du bug Spectre en juin 2017, puis avoir informé du bug Meltdown en juillet.

En novembre 2017, Brain Krzanich, PDG d'Intel, a vendu pour 24 millions de dollars d'actions. BusinessInsider a indiqué qu'il était conscient de la vulnérabilité de la puce lorsqu'il a vendu des actions.

Ces bugs frappent durement les actions d'Intel, tandis que la part de son rival AMD monte en flèche.

Puisque Spectre et Meltdown découvrent des failles très fondamentales dans la façon dont les processeurs informatiques sont structurés, il y aura un impact sérieux et il faudra repenser la façon dont cette technologie sera développée à l'avenir.

7. Qui a signalé ces bugs ?

Une faille Meltdown a été découverte et signalée par 3 équipes :des chercheurs de Cyberus Technology, de l'Université de technologie de Graz et de Google Project Zero.

Les mêmes chercheurs du Google Project Zero et de l'Université de technologie de Graz ont découvert et signalé Spectre.

8. Références officielles

Lire :15 pires virus informatiques de tous les temps | Expliqué

Le CVE (Common Vulnerabilities and Exposures) est la norme en matière de vulnérabilité de sécurité des informations. Leurs noms et identifiants sont répertoriés dans le système MITRE et dans la base de données nationale des vulnérabilités des États-Unis.

La référence officielle de Meltdown est CVE-2017-5754, tandis que pour Spectre, il s'agit de CVE-2017-5715 et CVE-2017-5753.