2018-01-05

Vulnérabilités Meltdown et Specre

Il y a quelques jours, des chercheurs indépendants ont découvert 2 importantes vulnérabilités dans quasiment tous les processeurs, surtout ceux fabriqués par Intel, AMD et ARM.

Meltdown

La première vulnérabilité, Meltdown, a été découverte par Jann Horn (Google Project Zero), Thomas Prescher et Werner Haas (Cyberus Technology) et Daniel Gruss, Moritz Lipp, Stefan Mangard et Michael Schwarz (Université de technologie de Graz).

Elle consiste en une faille au sein de la couche d’isolation Kernel-Applications du système, dans laquelle un maliciel quelconque pourrait obtenir toutes les informations des autres applications ainsi que du système d’exploitation, plus particulièrement les informations stockées dans la mémoire: ID de session, clé de déchiffrage, et plein d’autres données qui pourraient être confidentielles.

 

Elle serait présente à travers toutes les machines, comme les ordinateurs personnels ou les serveurs Cloud. Fort heureusement, cette faille peut être réparée par la présence de mises à jour pour presque toutes les machines. Microsoft a lancé une mise à jour dans son journal CVE-2017-5754 dont laquelle Windows 10 a pu recevoir la mise à jour KB4056892, Apple est en train d’y travailler là-dessus (une réparation partielle avait déjà été déployée en Décembre 2017), Linux a déjà reçu les mises à jour. Quant aux logiciels, Mozilla a appliqué une réparation partielle dès le 4 décembre avec Firefox Quantum 57.0.4, Google appliquera la mise à jour vers la fin Janvier pour Chrome et Chrome OS.

Cependant, le plus gros hic de cette mise à jour serait le ralentissement colossal causé par ces mises à jour malgré leur nécessité cruciale et vitale (surtout dans le commerce): dans les évaluations, un système serait ralenti de 30%, un gros problème pour ceux qui sont habitués à la rapidité. Par exemple, les performances de PostgreSQL seraient réduites d’environ 20%. La performance de Linux serait réduite de 19% (taux de variation).

Malgré tout il est nécessaire que vous la fassiez. Quoi? Vous seriez prêts à ce que l’on vous vole tout (cartes de crédit transmises lors d’achats en ligne, clé privée du déchiffrage d’un disque…)? Pour moi c’est hors de question donc je la ferai moi, c’est certain.

Spectre

Spectre est une vulnérabilité commune à toutes les machines sans exception, dans la mesure où un maliciel pourrait s’ingérer dans n’importe quel autre logiciel en train de s’exécuter pour diverses raisons comme subtiliser des informations (comme Meltdown, sauf que Spectre est quasi-impossible à défier à cause de la conception de nos processeurs)…

Elle a été découverte par Jann Horn (Google Project Zero), Paul Kocher (Cryptography Research), Daniel Genkin (Université de Pennsylvanie, Université du Maryland), Mike Hamburg (Rambus), Moritz Lipp (Université de la technologie de Graz) et Yuval Yarom (Université d’Adelaide, Data61 projet du Commonwealth Scientific and Industrial Research Organisation).

Il est encore impossible de défier cette faille. Nous attendons les prochains développements. Il serait probable que les manufacturiers et géants de la technologie issuent des mises à jour pour chacun des cas de figure pour Spectre, jusqu’à la prochaine génération de processeurs… Ceci n’est qu’une question de temps, mais on espère que les dommages collatéraux ne soient pas trop grands.

Conclusion

Tout ce qu’il faut continuer à faire, c’est de toujours mettre à jour ses appareils.