Alerte sécurité :Vulnérabilités Meltdown et Spectre
Le 4 janvier, deux vulnérabilités ont été publiées : Meltdown et Spectre.
Ces failles ont pour particularité d’exploiter une caractéristique logique des processeurs et non pas un bug logiciel.
Les processeurs des constructeurs Intel, AMD et ARM sont impactés par cette faille, autrement dit la quasi-totalité des systèmes informatiques d’internet, tous systèmes d’exploitations confondus.
Meltdown et Spectre, qu’est ce que c’est ?
Des chercheurs (universitaires et Google) ont travaillé plusieurs mois pour comprendre ces failles, et prévenir les fondeurs de processeurs et les éditeurs de systèmes d’exploitation afin de les bloquer.
Les processeurs modernes font ce qu’on appelle de l’exécution spéculative, c’est à dire qu’ils préchargent des instructions avant leur exécution pour pouvoir les enchainer rapidement. En jouant sur des timers et des exceptions choisies et en s’appuyant sur cette exécution spéculative, un attaquant peut lire des zones de mémoire qui lui sont interdites. De manière plus pratique, cela signifie qu’un attaquant, pouvant exécuter du code sur une machine, peut lire tous les contenus d’une mémoire, qui peuvent être des mots de passe, des clés de chiffrements, des informations sensibles …
La meilleure solution serait de remplacer tous les processeurs par des processeurs « corrigés ». Cette solution n’étant pas réalisable, des corrections logicielles peuvent être mises en place pour diminuer l’impact de cette faille.
Il faut donc mettre à jour les systèmes logiciels en attendant que des processeurs immunisés contre Meltdown et Spectre voient le jour.
Pour plus d’informations, deux sites de référence existent :
https://googleprojectzero.blogspot.fr/2018/01/reading-privileged-memory-with-side.html
https://meltdownattack.com/
Vérifiez que votre Windows se met à jour
Les patchs pour les systèmes d’exploitations sont publics, il est recommandé de les installer.
Une liste non exhaustive est indiquée sur le site meltdownattack.com .
Toutefois, si vous êtes sous Windows, une attention particulière doit être portée. En effet, Microsoft a constaté que certains antivirus sont incompatibles avec le patch (possibilité d’écran bleu BSOD). Le patch ne s’installera que si une clé particulière de la base de registre est créée. Les éditeurs antivirus doivent donc valider ce patch, puis pousser une mise à jour qui installe la clé dans la base de registre, et les mises à jour Windows s’installeront. Dans la majorité des cas, ce processus est transparent.
Deux cas subsistent:
- Vos machines sont sous Windows 7 ou Server 2008 et n’ont pas d’antivirus : il faut soit créer manuellement la clé dans la base de registre, soit installer un antivirus pour que les patchs Microsoft s’installent.
- Votre antivirus n’est pas compatible ou ne sait pas créer de clé dans la base de registre : il faut consulter la page de l’éditeur antivirus pour connaitre la marche à suivre.
Pour plus d’informations, voir :
https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software .
Voici une courte liste des principaux éditeurs antivirus:
- Microsoft Defender : rien à faire, les mises à jour vont s’installer
- Mc Afee : il faut créer la clé manuellement, voir :
https://kc.mcafee.com/corporate/index?page=content&id=KB90167 - Eset : rien à faire, les mises à jour vont s’installer
- Kaspersky : rien à faire, les mises à jour vont s’installer
- Sophos : rien à faire, les mises à jour vont s’installer
- Symantec : rien à faire, les mises à jour vont s’installer
- Fortinet : dans le cas d’utilisation du FortiClient en tant qu’antivirus, il faut créer la clé manuellement, voir : http://kb.fortinet.com/kb/documentLink.do?externalID=FD40946
Plus d’informations / FAQ sur Meltdown et Spectre
- Il est indiqué que le patch fait perdre des performances ?
Oui, des pertes de 5% à 40% de performances ont été constatées et peuvent se faire sentir selon l’utilisation de la machine. Si un serveur est surchargé, il est important de tester l’installation de ce patch sur un environnement de test.
- Faut-il patcher ?
Oui, il est critique de patcher cette vulnérabilité, même au prix d’une perte de performances.
- Est-ce que la faille est exploitée en ce moment ?
Aucune information n’a été publiée prouvant que la faille est utilisée par des pirates. Toutefois de nombreux PoC (Proof Of Concept) commencent à se développer et permettent de faire fuiter des mots de passe, de reconstruire des images ou de lire des données auxquelles un attaquant ne devrait pas avoir accès. Des attaquants pourraient s’en inspirer pour créer de véritables attaques et vous impacter si vos systèmes ne sont pas à jour.
- Seul Intel serait touché?
Non, la plupart des constructeurs de processeurs sont impactés. Pour être précis, la faille Meltdown ne touche pas que les processeurs Intel. La faille Spectre touche tous les processeurs du marché à de très rares exceptions (quelques sous-familles de processeurs). Consultez les sites des vendeurs pour plus de précisions :
ARM : https://developer.arm.com/support/security-update
Intel : https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
AMD : https://www.amd.com/en/corporate/speculative-execution
- Vous pouvez consulter ce lien pour des informations plus précises concernant l’impact su les performances :