Meltdown & Spectre

En ce début d’année 2018, deux importantes vulnérabilités matérielles ont été découvertes :
– « Meltdown » (référence CVE-2017-5754)
– « Spectre » (références CVE-2017-5753 et CVE-201705715)

Ces deux vulnérabilités sont liés aux processeurs et SoCs de plusieurs constructeurs (Intel, AMD, ARM) et ce depuis plus de 10 ans. Elles permettent à un processus d’accéder à des espaces mémoire réservés à d’autres. Cela rentrait possible la fuite de données, voire la prise de contrôle d’une application ou un système d’exploitation.
Cela représente un danger particulièrement important dans les environnements de Public Cloud ou de nombreuses applications différentes cohabitent. Sur un poste de travail, la vulnérabilité Spectre permet théoriquement de contourner la segmentation (sandbox) mise en place par les navigateurs.
La complexité des exploitations possibles rend tout aussi complexe la détection et le blocage de telles attaques ; il est fort probable que la vulnérabilité ne puisse être totalement éradiquée qu’en changeant de matériel.

Des POCs démontrent aujourd’hui que les exploitations sont possibles, mais aucune attaque n’est pour le moment recensée.

Plusieurs navigateurs proposent des correctifs, ainsi que les éditeurs de sécurité.
Microsoft a mis à disposition un correctif pour Windows (uniquement les versions suivantes : Windows 10 fall creator update 1709, Windows 7, Windows Server 2016, Windows Server 2012 R2, Windows Server 2008 R2), cependant celui-ci peut occasionner des dysfonctionnements sur la machine hôte si une solution antivirus tiers est en place. Certains éditeurs de sécurité contournent ce problème mais pas tous : il est préférable de nous contacter pour en savoir plus, en cette période les correctifs sont très fréquents.
Plusieurs éditeurs évoquent également des latences causées par les correctifs ; il faut rester vigilant sur ce point même s’il reste fortement recommandé de les appliquer.

Comme toujours, les bonnes pratiques :
– Conserver un système d’exploitation et des solutions de protections mis à jour
– Etre vigilant dans son utilisation des outils informatiques (navigation Internet, emails, …)