Pour gérer vos consentements :
Categories: CloudSécurité

Meltdown et Spectre : deux failles processeurs qui agitent le bocal de la sécurité IT

Comment se retrouver entre les failles Meltdown et Spectre qui affectent la famille des processeurs et qui constituent autant de risques d’exploitation par des pirates ?

Pour la première vulnérabilité, le leader mondial des puces Intel est affecté en particulier. Mais, dans le cas de la seconde, ses homologues AMD ou ARM doivent aussi se montrer vigilants.

Au-delà du cercle des fournisseurs de puces, des écosystèmes de composants ou services logicielles (systèmes d’exploitation, plateformes Cloud…) et une vaste gamme de terminaux (du PC au smartphone) sont concernés.

Les premières alertes qui ont remonté en début de semaine ne montraient qu’une vue partiale des problèmes rencontrés. Et certains acteurs commencent à prendre des mesures de manière isolée pour contrer la menace, sans véritable synchronisation.

Sur son site Internet, Daniel Miessler, spécialiste américain des questions de sécurité et de technologie, a résumé de manière efficace les différentes perspectives entre Meltdown et Spectre.

Un tableau synthétique réunissant des indicateurs comme les architectures processeurs concernés, les méthodes potentielles d’exploitation, l’impact et les actions de protection esquissées.

Meltdown a été découvert par un collectif de chercheurs issus d’universités (Graz, Pennsylvanie, Maryland…) ou de sociétés technologiques (Cyberus, Rambus) et par Jann Horn de Google Zero Project (télécharger la note en version PDF ici).

La faille Meltdown concerne Intel uniquement. Elle tend à élever les privilèges d’accès, permettant à un utilisateur « d’exécuter du code pour lire et accéder à la mémoire au niveau du kernel, exposant ainsi les informations critiques qui y seraient stockées, comme les mots de passe système », évoque Chris Morales, Head of Security Analytics de Vectra Networks (fournisseur américain de solution  de détections d’attaques), dans un commentaire envoyé à la presse.

Il sera difficile dans ses conditions de conserver ses secrets dans un ordinateur, même dans le noyau d’un processeur.

Intel a réagi en assurant qu’il collabore avec ses concurrents AMD ou ARM pour « développer une approche à un niveau industriel et résoudre ce problème de manière prompte et constructive ».

Le groupe technologique américain préconise aussi une certaine vigilance associée aux prochaines réactualisations des éditeurs (hardware, software, firmware), en particulier ceux associés aux systèmes d’exploitation et leurs dispositifs d’isolation de processus de mémoire. Une répartition nette qui doit être au cœur de la sécurité informatique.

L’ombre du Spectre plus étendu

L’impact de Spectre est plus large : Outre les processeurs Intel, la faille concerne les puces AMD et celles sous microarchitecture ARM. Elle permet d’exécuter des instructions illégitimes, en donnant accès à des informations sensibles dans l’espace mémoire d’autres applications.

La sphère des services d’exploitation de machines virtuelles et/ou Cloud doit se montrer vigilante car les plus grands risques de détournement d’information portent sur les systèmes multi-utilisateurs (multi-instances) qui se partagent un CPU unique, estime Daniel Miessler.

Comme pour le cas de Meltdown, l’expert américain met un lien sur les travaux technologiques du collectif qui a travaillé sur les attaques Spectre. La liste des chercheurs contributeurs est quasiment la même (télécharger la note en version PDF ici).

Des services leaders comme Amazon Web Services, Microsoft et Google (incluant Android) vont réaliser chacun de leur côté des mises à jour de sécurité et de maintenance de leurs services, machines virtuelles et plateformes cloud.

(Photo by ueddy.com on VisualHunt / CC BY-NC-SA)

Recent Posts

Quand le candidat IT idéal n’est pas celui que vous croyez

L'usage de "deepfakes" et d'informations d'identification personnelle volées progresse chez les candidats et usurpateurs patentés…

3 heures ago

Roaming : le menu dans l’Union européenne jusqu’en 2032

La nouvelle régulation sur l'itinérance mobile dans l'UE est entrée en application. Quelles en sont…

3 heures ago

Vers une régulation européenne des cryptoactifs : quelles bases technologiques ?

Les colégislateurs de l'UE ont trouvé un accord provisoire sur trois propositions de règlements touchant…

6 heures ago

Google Cloud ouvre sa région France

Google Cloud dispose d'une région France lancée commercialement fin juin. Une étape indispensable pour lutter…

9 heures ago

Pourquoi FedEx bascule des grands systèmes au cloud

Le transporteur américain FedEx va fermer les 20% restants de ses mainframes dans les deux…

9 heures ago

Cloud de confiance : quelle feuille de route pour S3NS, la coentreprise Google-Thales ?

Sous l'ombrelle S3NS, Google et Thales esquissent une première offre en attendant celle qui visera…

1 jour ago