L’année 2018 démarre en trombe en matière de cybersécurité ! Un défaut de conception touchant des milliards de puces micro-processeur Intel cause la découverte de failles critiques qui pourraient mettre en danger nos ordinateurs et smartphones.
Face aux vulnérabilités Meltown et Spectre touchant les processeurs, les éditeurs de systèmes d’exploitation Windows et Linux ont commencé à se pencher sur le déploiement d’un patch correctif. Mais problème, cela affecterait les performances. Les failles seraient dues à un rare défaut de conception au sein même des puces micro-processeur Intel. D’après plusieurs experts en cybersécurité, cela pourraient néanmoins permettre à des pirates de prendre le contrôle des machines équipés des puces incriminées (on parle ici de milliards d’appareils) et de s’emparer des données sensibles présentes sur ces dernières (mots de passe, données bancaires, clés de chiffrement, etc). Cependant, l’altération et la destruction de données seraient impossibles.
Intel a officialisé l’information et affirme avoir découvert “de graves failles de sécurité” au sein de ces produits, affectant le noyau du système d’exploitation ainsi que sa gestion de la mémoire. Les marques Intel, AMD et ARM seraient touchées. Le titre d’Intel a enregistré une chute de 3,40% en bourse à l’annonce du soucis.
Google (via Project Zero) aurait informé les trois entreprises le 1er juin 2017. Aujourd’hui, les 3 marques concernées affirment travailler de concert afin de trouver une solution. Il n’existe aucune preuve à ce jour de l’exploitation de ces failles par les cybercriminels, surtout que les exploits nécessaires sont particulièrement complexes à mettre en oeuvre. Les inquiétudes pourraient être exagérées…
Apple, Microsoft et Google ont annoncé être en train de déployer des mises à jour de leurs systèmes d’exploitation afin de corriger la faille matérielle. Mais selon The Register, ces modifications pourraient impacter les performances des machines concernées de l’ordre de 5 à 30 %. Intel n’est pas d’accord avec cette affirmation cependant… affaire à suivre donc !
MaJ : Les chercheurs en cybersécurité de Kaspersky Lab Ido Naor et Jornt van der Wiel s’intéressent de plus près sur l’origine de ces vulnérabilités et la façon de s’en protéger :
“Deux vulnérabilités critiques ont été découvertes dans les puces Intel, les deux pouvant permettre à des cyber-attaquants de voler des informations sensibles depuis les applications en accédant à la mémoire centrale. La première vulnérabilité, Meltdown, peut supprimer la barrière entre les applications utilisateur et les parties critiques du système d’exploitation. La deuxième vulnérabilité, Spectre, également présente dans les puces AMD et ARM, peut tromper les applications vulnérables et faire fuiter le contenu de leur mémoire.”
“Les applications installées sur un appareil fonctionnent habituellement sur un « mode utilisateur », à l’écart des parties les plus sensibles du système d’exploitation. Si une application requiert l’accès à une zone sensible, par exemple le disque sous-jacent, le réseau ou l’unité de traitement, elle doit demander l’autorisation de passer en « mode protégé ». Dans le cas de Meltdown, un attaquant pourrait accéder au « mode protégé » et à la mémoire centrale sans avoir besoin d’autorisation, supprimant ainsi cette barrière. Il pourrait alors potentiellement dérober des données mémoire d’applications actives, telles que des données provenant de gestionnaires de mots de passe, de moteurs de recherche, d’emails, ainsi que les photos et documents personnels.”
“Comme il s’agit de problèmes matériels, les réparer représente un travail important. Des patchs contre Meltdown ont été diffusés pour Linux, Windows et OS X et le travail est en cours de réalisation pour renforcer les logiciels contre les futures exploitations de Spectre. Google a publié des informations complémentaires sur ce lien. Il est très important que les utilisateurs installent tous les patchs disponibles sans délai. Alors que les attaquants auront besoin de temps pour trouver comment exploiter les vulnérabilités, les patchs ouvriront une petite mais fondamentale fenêtre de protection.”
Ryan Kalember, Senior Vice-Président Cybersecurité Stratégie, spécialiste Proofpoint revient quant à lui sur la gravité de ses failles qui restent à nuancer :
« Comme beaucoup d’autres acteurs, les fabricants de processeurs ont longtemps privilégié la vitesse à la sécurité. Le résultat est aujourd’hui sans appel : des volumes considérables de données sensibles se retrouvent exposés à un risque de piratage massif via les failles Meltdown et Spectre. Mais alors que la majorité des appareils informatiques dans le monde est concernée par ces failles de sécurité, la gravité de la situation peut se nuancer. Pour exploiter ces deux failles, un cybercriminel doit en effet être capable d’exécuter leur code directement sur le terminal visé. Dans ces conditions, le consommateur lambda a plus de “chance” d’être touché par une attaque de phishing que par une attaque exploitant Meltdown ou Spectre. Cependant, ces deux vulnérabilités mettant largement en péril les systèmes fondamentaux de protection des données, les fournisseurs cloud doivent agir rapidement pour éviter que des accès frauduleux, souvent difficiles à détecter, ne se produisent.
S’il y a une bonne nouvelle dans cette affaire, c’est que ces failles ont heureusement été découvertes et révélées de manière responsable par des chercheurs reconnus, au lieu d’être exploitées dans une virulente attaque à très grande échelle. Toutes les organisations dans le monde doivent immédiatement appliquer le patch Kaiser pour contrer la faille Meltdown, et nous félicitons les acteurs tels qu’Amazon, Google et Microsoft pour avoir rapidement agi dans ce sens. Même si la faille Spectre n’a quant à elle pas encore de correctif immédiat, nous espérons que les fournisseurs de processeurs tirent déjà des enseignements de ces vulnérabilités et mesureront les implications en termes de sécurité pour leurs futurs produits. »
Jérôme Segura, Lead Malware Analyst, livre ici son point de vue sur leurs conséquences potentielles :
Le problème principal provient d’un défaut de conception qui peut permettre à des attaquants de vider le contenu de la mémoire de n’importe quel périphérique (Ordinateur personnel, smartphone, serveur cloud, etc.) en exposant les mots de passe et autres données sensibles.
A la différence d’autres problèmes qui se sont vus révélés suite à des attaques, Meltdown et Spectre ont été identifiées par des chercheurs et l’on ne sait pas si ces bogues ont été ou sont actuellement exploités par des pirates.
L’exploitation ne laisse aucune trace dans les fichiers journaux traditionnels.
L’architecture informatique moderne isole normalement les applications de l’utilisateur et le système d’exploitation. De cette manière, on évite la lecture ou l’écriture non autorisée dans la mémoire du système. Cette conception empêche également aux programmes d’accéder à la mémoire utilisée par d’autres programmes.
Meltdown et Spectre contournent ces mesures de sécurité, et ouvrent de nombreuses opportunités pour divers types d’exploitation. Des fournisseurs de Cloud ont déjà envoyé des notifications d’urgence à leurs clients pour les prévenir d’indisponibilités à venir afin d’éviter qu’un code hyperviseur ne fuite d’une machine virtuelle, par exemple.
Alors que Meltdown n’affecte que les CPU Intel, Spectre touche la plupart des CPU produits au cours des 15 dernières années par Intel, AMD,ARM et IBM. Une très grande majorité des machines actuelles est donc concerné.
Correctifs
Un correctif pour Meltdown existe pour Linux, Mac OS et Windows 10 Insider Edition.
Malheureusement, on note un impact significatif sur la performance des machines même si les estimations puissent varier considérablement.
Microsoft recommande à ses utilisateurs de maintenir leurs systèmes à jour et d’installer les mises à jour des micrologiciels fournies par les fabricants de périphériques OEM. Apple n’a, pour le moment, publié aucune recommandation.
En ce qui concerne Spectre, aucun correctif n’est disponible pour le moment. Celui-ci peut être exploité via JavaScript et WebAssemblyce qui le rend encore plus critique. Il est donc recommandé d’appliquer certaines contre-mesures comme l’isolation du site en chrome. Mozilla Firefox déploie un correctif pour atténuer le problème tout en travaillant sur une solution à long terme. Microsoft fait des choses similaires pour Edge et Internet Explorer.