Les deux défauts de conception matériels, Meltdown et Spectre, sont en mesure de provoquer des fuites d’informations présentes en mémoire. Le plus coriace, Spectre, frappe la plupart des microprocesseurs présents dans plusieurs millions de smartphones, tablettes, PC et serveurs, y compris ceux d’AMD, ARM et IBM.
La révélation récente des vulnérabilités Spectre et Meltdown (effondrement) provoque des réactions contrastées chez les professionnels de la sécurité, tantôt Cassandre tantôt aide-soignants.
« Les utilisateurs n’ont aucun moyen d’atténuer cette menace. la responsabilité de le faire incombe finalement aux fournisseurs (tels qu’Apple pour Mac OS, Microsoft pour Windows Server) qui ont publié plusieurs correctifs pour atténuer Meltdown », explique Trend Micro.
Les clouds perméables aux fraudes
On notera que le système linux a été l’un des premiers à se défendre contre Meltdown sous la forme d’une isolation de table des pages au niveau du kernel (KPTI), avec déjà plus de 50 patchs associés.
« Les fabricants de processeurs ont longtemps privilégié la vitesse à la sécurité. Le résultat est aujourd’hui sans appel : des volumes considérables de données sensibles se retrouvent exposés à un risque de piratage massif via les failles Meltdown et Spectre. Les fournisseurs cloud doivent agir rapidement pour éviter que des accès frauduleux, souvent difficiles à détecter, ne se produisent », prévient Ryan Kalember, Senior Vice-Président Stratégie Cybersecurité de Proofpoint.
L’ANSSI désarmorce la panique
L’Agence nationale de la sécurité des systèmes d’information note « l’existence de plusieurs vulnérabilités sur des processeurs couramment utilisés ». L’agence aiguille à nouveau vers 42 règles d’hygiène informatique tout en soulignant qu’« il n’y a pas à ce jour d’exploitation avérée de ces failles de sécurité« .
Pour autant, le CERT-FR recommande d’appliquer l’ensemble des mises à jour proposées par les fabricants et éditeurs de systèmes d’exploitation. Hélas, selon les premiers tests effectués, les correctifs fournis pour Meltdown réduiraient sensiblement les performances de calculs.
Intel contre-attaque sur les plans techniques et juridiques. Car les recours collectifs se multiplient à son encontre, depuis plusieurs Etats américains, dont la Californie et le Tennessee. Steven Garcia et Anthony Stachowiak réclament ainsi des dommages et intérêts pour violation de la garantie et des lois sur la protection des consommateurs. lls prétendent que « la vente de processeurs informatiques par Intel avec cette faille de sécurité fatale les a induit en erreur sur la performance et la fiabilité des ordinateurs ».
Intel dilue sa responsabilité
Le fondeur Californien minimise les conséquences des défauts de sécurité et dilue sa responsabilité dans l’affaire. Dans un communiqué du 3 janvier, il réfute le terme de « bug » ou d’imperfection touchant exclusivement ses composants : « De nombreux processeurs actuels sont vulnérables aux méthodes d’analyse de logiciels détournées de leur but par des développeurs de codes malveillants. »
AMD, ARM et IBM l’ont confirmé depuis. Ils travaillent ensemble à contourner l’exploitation indésirable de prédiction de branches et s’apprêtent à fournir des mises à jour sous forme de patchs et/ou de nouveaux firmwares.
Pour en savoir plus et trouver les premiers correctifs systèmes disponibles, on pourra se tourner vers :
- Le site dédié Spectre/Meltdown
- La stratégie d’isolation KPTI pour linux
- Les correctifs de XenServer (Citrix) face à Meltdown
- Les correctifs de l’environnement VMware ESX face à Meltdown
- Les correctifs de Microsoft pour Windows Server
- Les correctifs d’Apple pour Mac OS face à Meltdown