Alerte mondiale de sécurité : 2 vulnérabilités majeures reprérées dans les microprocesseurs INTEL, AMD ET ARM

ALERTE MONDIALE DE SECURITE

DEUX VULNERABILITES MAJEURES DANS LES MICROPROCESSEURS INTEL, AMD ET ARM IMPACTENT QUASIMENT TOUS LES ORDINATEURS

COMMENT SE PROTEGER DE « MELTDOWN » ET « SPECTRE » ?

 par JF Goglin - Conseiller national SIS FEHAP

 

L’existence de plusieurs vulnérabilités sur des processeurs couramment utilisés a été rendue publique voici quelques jours. Il n’y a pas à ce jour d’exploitation décelée et avérée de ces failles de sécurité appelées Meltdown et Spectre.

Pour autant, le CERT-FR[1] recommande d'appliquer l’ensemble des mises à jour proposées. Voici quelques clés de compréhension.

 

 

 1d2db05d8bd2631d3759a788a1bd7ddbf3fe5983

 

Source : AFP-Symantec

 

QU’EST-CE QU’UN PROCESSEUR ?

Un processeur est un composant indispensable au fonctionnement des ordinateurs, smartphones, tablettes (etc.) et des programmes qui y sont installés. Ces processeurs sont construits par plusieurs industriels, notamment INTEL, AMD et ARM et couvrent à eux seuls la grande majorité de nos outils électroniques quotidiens. La couche intermédiaire entre les logiciels et le processeur s’appelle le système d’exploitation (par exemple : Windows, MacOS, iOS, Android, etc.).

 

L’Attaque possible

Liées à des défauts de conception de ces processeurs, les failles de sécurité Spectre et Meltdown pourraient, une fois exploitées, accorder un accès non autorisé à de l’information protégée (mot de passe, identifiants…).

  • Ce défaut de conception rend vulnérable tout système d’exploitation utilisant ces processeurs.
    Ces failles ne permettent cependant pas de modifier les informations et aucune exploitation malveillante de ces vulnérabilités n’a été à ce jour avérée.
  • Les hébergeurs d’informatique en nuage (cloud).
    Ces prestataires hébergent régulièrement sur un seul serveur physique, utilisant un processeur, les données de plusieurs clients.
    En exploitant la faille, un attaquant peut donc avoir accès à l’intégralité des données en mémoire.

 

COMMENT SE PROTEGER ?

Il est indispensable d’appliquer l’ensemble des mises à jour proposées, en tout premier lieux les navigateurs et les systèmes d’exploitation (Windows, Macos, iOS, Android si possible). 

Rappelons qu’il est indispensable de disposer d’un antivirus à jour, compatible avec les mises à jour proposées.

 

LES CORRECTIFS SONT LES SUIVANTS

Plusieurs éditeurs ont publié des correctifs partiels pour les vulnérabilités Meltdown et Spectre. Le CERT-FR recommande l'application des correctifs disponibles dès que possible.

 

APPLE

Apple indique dans une communication du 4 janvier 2017 que les systèmes iOS 11.2, macOS 10.13.2 et tvOS 11.2 profitent de correctifs contre la vulnérabilité Meltdown.

 

MOZILLA

Mozilla a publié une communication annonçant que la version 57.0.4 de Firefox intègre deux correctifs de sécurité liés aux vulnérabilités décrites dans cette alerte.

 

MICROSOFT

Microsoft a annoncé dans un communiqué que ses navigateurs Internet Explorer et Edge avaient bénéficié d'un correctif contre la vulnérabilité Spectre sur les systèmes Windows 10 et Windows Server 2016. Les correctifs de sécurité fournis par Microsoft sont néanmoins dépendants des logiciels anti-virus installés sur le système. Pour tous détails sur l'application de ces correctifs le CERT-FR recommande de se reporter au site de l'éditeur. Pour les systèmes 32 bits des versions antérieures à Windows 10 et Windows Server 2016, un correctif sera déployé à l'occasion de la mise à jour mensuelle, le 9 janvier 2018. Pour Windows Server, une simple mise à jour ne suffit pas pour se prémunir du problème. Microsoft a publié une série de mesures à mettre en oeuvre pour se protéger. Dans tous les cas, Microsoft conseille de mettre à jour le micrologiciel de son processeur lorsque des correctifs seront disponibles.

 

SUSE

Des correctifs pour les vulnérabilités Spectre et Meltdown ont été distribués par SUSE.

 

RED HAT

Des correctifs pour les vulnérabilités Spectre et Meltdown ont été distribués par Red Hat.

 

UBUNTU

Des correctifs sont prévus pour systèmes 64 bits pour le mardi 9 janvier 2018.

 

VMWARE

Des correctifs contre la vulnérabilité Spectre ont été apportés par VMware pour leurs produits ESXi, Workstation et Fusion sous OS X. Il est à noter que les plateformes ESXi en version 5.5 reçoivent un correctif seulement pour la variante CVE-2017-5715 de Spectre.

 

ANDROID

Dans leur bulletin de sécurité pour les correctifs du mois de janvier 2018 Android annonce ne pas détenir d'informations sur une reproduction des vulnérabilités Spectre et Meltdown sur leurs appareils. Cependant, les correctifs disponibles pour ce mois de janvier 2018 intègrent des mesures permettant de limiter le risque de tels attaques.

 

GOOGL*E

Dans un communiqué sur l'état de ses produits face aux vulnérabilités Meltdown et Spectre, Google annonce que Chrome OS sous Intel profite de la fonctionnalité KPTI (correctif limitant les effets de la vulnérabilité Meltdown) pour les noyaux en versions 3.18 et 4.4 à partir de la version 63 du système d'exploitation.

 

CITRIX

Dans un avis de sécurité daté du 4 janvier 2018 Citrix annonce apporter un correctif de sécurité pour les produits Citrix XenServer 7.1 LTSR CU1.

 

AMAZON AWS

Dans un communiqué du 4 janvier 2018, Amazon indique que les instances disposant d'une configuration par défaut (Amazon Linux AMI) vont bénéficier d'une mise à jour du noyau Linux pour adresser les effets de la vulnérabilité CVE-2017-5754 (Meltdown).

 

Pour tout renseignement complémentaire, veuillez prendre contact avec votre conseiller SIS :

Jean-François GOGLIN

Jeanfrancois.goglin@fehap.fr

Tel : 06 62 79 27 81

 



[1] Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques