Meltdown et Spectre : l'ANSSI et OVH vigilants en France

Pour éviter les éventuels débordements, les failles Meltdown et Spectre liées à la sécurité des processeurs sont scrutées par l’ANSSI et OVH.

En France aussi, on s’inquiète logiquement des conséquences associées à l’exploitation des failles de sécurité Spectre et Meltdown portant sur les processeurs.

En guise de sensibilisation, l’ANSSI propose une courte actualité sur les vulnérabilités qui ont provoqué du bruit sur les défauts de conception des familles de processeurs.

La semaine dernière, les failles de sécurité Spectre et Meltdown ont été placées sous les feux des projecteurs des médias.

Au centre du tourbillon en raison de son influence sur le marché des processeurs (ordinateurs personnels et serveurs), Intel a dû se mobiliser pour expliquer les tenants et les aboutissants des risques d’attaques. Mais son rival direct AMD et ARM dans la conception des puces pour terminaux mobiles sont aussi préoccupés.

L’agence nationale en charge de la sécurité informatique précise le contexte en guise d’information générale, sans explorer les recoins techniques.

En l’état actuel, il s’agit d’une alerte sur ce « défaut de conception, qui rend vulnérable tout système d’exploitation utilisant ces processeurs ».

Une fois exploitées, les failles Spectre et Meltdown pourraient accorder un accès non autorisé à de l’information protégée (mot de passe, identifiants…) mais elles ne permettent pas de modifier les éléments.

« Aucune exploitation malveillante de ces vulnérabilités n’a été à ce jour avérée », selon l’ANSSI, qui recommande dans son bulletin « d’appliquer l’ensemble des mises à jour proposées ».

Lire aussi : PC reconditionnés : les recommandations de l’ANSSI

L’ensemble des fournisseurs de produits hardware et software doivent se montrer vigilants à propos de cette alerte importante de sécurité IT d’un niveau mondial et des risques d’attaques par canaux auxiliaires.

OVH : « situation sous contrôle »

En France, un hébergeur Cloud comme OVH est concerné. Ce type de prestataires héberge régulièrement sur un seul serveur physique, utilisant un processeur, les données de plusieurs clients, illustre l’ANSSI. En exploitant la faille, un pirate pourrait accéder à l’intégralité des données en mémoire.

Pour informer ses clients, OVH a mis en place un tableau complet des réactualisations disponibles pour ses produits disponibles par OS (Linux, Windows et BSD) et pour ses services cloud.

« OVH a été informé des failles de sécurité consécutives à la découverte par des chercheurs de vulnérabilités hardware sur les processeurs x86-64 », précise le groupe de services IT français pour le compte des entreprises.

« Ces vulnérabilités permettent la réalisation à large échelle d’un type d’attaques jusque-là peu répandues (side-channel attacks) en raison de leur complexité de mise en œuvre. »

Dans une contribution blog réactualisée le 7 janvier, OVH précise que « les équipes d’OVH ont été à pied d’œuvre toute la semaine, y compris ce week-end ». Tout en poursuivant : « Nous avons déjà protégé certains services, via le déploiement des correctifs disponibles à ce jour. Pour d’autres services la sécurisation est en cours ou à venir (…)Globalement, la situation est sous contrôle. »

(Photo by LoKan Sardari on Visualhunt / CC BY-NC-SA : processeur AMD)

Lire aussi : Vers une qualification PRIS à deux niveaux : ce qu’envisage l’ANSSI