Un Besoin ? Un projet ? Contactez-nous !
tél. : 01 85 45 00 08 ou contact@itnco.fr

Failles Meltdown et Spectre : Quels risques pour mon entreprise ?

La semaine dernière, des chercheurs en sécurité de Google ont rendu publiques deux vulnérabilités présentes sur la quasi-totalité des processeurs modernes livrés depuis 1995, qui pourraient permettre aux attaquants de dérober des mots de passe, des clés de chiffrement et d’autres informations sensibles.

Les techniques d’exploitation, baptisées Meltdown et Spectre, tirent toutes deux parti de « l’exécution spéculative » afin d’accéder à la mémoire privilégiée – y compris la mémoire du kernel – à partir d’un processus moins privilégié (tel qu’une application malveillante). Un exploit réussi de l’une ou l’autre des techniques garantirait aux attaquants l’accès à des informations privées telles que des mots de passe et des clés de chiffrement.

L’exécution spéculative

Afin de mieux comprendre comment pourrait se dérouler une attaque potentielle, il faut d’abord comprendre ce qu’est « l’exécution spéculative ». Il s’agit d’une fonctionnalité (et non d’un bug, comme le veut un notoire trait d’esprit informatique) qui a été employée dans les processeurs pendant des dizaines d’années en vue d’améliorer la vitesse, en lançant simultanément de multiples instructions sur la base de « suppositions ».

Avec pour objectif d’améliorer les performances, le processeur a été conçu pour prédire quel chemin d’une branche est le plus susceptible d’être suivi, et l’exécution spéculative se poursuivra sur ce chemin, de manière spéculative, même avant que la branche soit terminée. Si la supposition est erronée, l’exécution est interrompue et rejetée. Si la supposition est exacte, l’exécution tire parti de l’avance ainsi acquise et continue sur ce chemin. Le processus dans son ensemble est censé être invisible pour le logiciel. Toutefois, comme l’ont prouvé les chercheurs de Google, ce n’est pas tout à fait le cas.

Exploitation de Meltdown et de Spectre

Des deux attaques, celle exploitant la technique Meltdown a le plus de chances de réussir. Elle permet d’autoriser un processus utilisateur, choisi par le pirate, à lire la mémoire du kernel et à exfiltrer des mots de passe, des clés de chiffrement et d’autres données privées. Pour autant, Spectre n’est pas non plus inoffensive.

Comme Meltdown, une attaque exploitant la méthode Spectre peut rendre disponibles des éléments de la mémoire du kernel à des processus utilisateurs en profitant d’une latence causée par un contrôle de validité lors d’un appel d’accès à la mémoire.

Toutefois, contrairement à Meltdown – qui nécessiterait qu’un malware soit exécuté sur l’appareil pour être exploitée – Spectre pourrait être exploitée en JavaScript dans un navigateur Internet.

Comment se protéger contre les attaques potentielles

Depuis la découverte de ces vulnérabilités, les géants de la technologie Intel, Microsoft, Apple et Google, ainsi que les développeurs de Linux, se sont empressés de déployer des correctifs – ou, au moins, de publier des articles dans leur base de connaissance comportant des instructions visant à atténuer les risques et à se tenir au courant des mises à jour.

Les versions 4.14.11, 4.9.74, 4.4.109, 3.16.52, 3.18.91 et 3.2.97 du kernel Linux peuvent être corrigées grâce à une courte visite sur le site Kernel.org.

Les utilisateurs d’Apple doivent savoir qu’iOS 11.2, macOS 10.13.2, tvOS 11.2 et watchOS ne requièrent pas de mesures d’atténuation pour Meltdown. En revanche, la technique Spectre affecte tous les produits Mac et iOS et nécessitera des correctifs. L’entreprise, basée à Cupertino, promet de « les publier dans les mises à jour à venir d’iOS, de macOS, de tvOS et de watchOS ».

Le populaire navigateur Internet Firefox a déjà bénéficié de correctifs contre Spectre et Meltdown. La version 57.0.4 de Mozilla Firefox inclut des mesures d’atténuation pour les deux vulnérabilités.

Google a promis un correctif pour les utilisateurs de Chrome plus tard dans le mois, dans le cadre du déploiement prévu de Chrome 64.

En ce qui concerne l’écosystème Microsoft Windows, les choses sont un peu plus compliquées, en effet Intel a indiqué que les mises à jour pour la gestion de ses processeurs permettant de les mettre à l’abri des vulnérabilités Spectre et Meltodown provoquent des redémarrages intempestifs. Pire : des baisses de performance affectant les systèmes pour datacenters allant jusqu’à 25% ont été constatées.

De nouvelles versions de ces patchs devraient être disponibles prochainement, mêmes si certains spécialistes annoncent qu’il faudra des années avant de pouvoir colmater totalement ces failles.