Meltdown et Spectre faille ce qu’il faut savoir

Meltdown et Spectre, voila deux jolis petits noms donnés aux deux plus grosses failles de l’histoire de l’informatique… En effet ces failles touchants le matériel, on parle ici du processeurs, il s’agit d’un problème vraiment très impactant car la quasi totalité des machines fonctionnant avec des processeurs dans le monde sont touchés! En gros que ce soit Intel, Amd ou encore Arm les processeurs sont vulnérables… Et ça dure depuis plus d’une dizaine d’années. Je vois déjà les conspirateurs dire que la NSA le savait depuis avant Jésus-Christ 🙂

Concrètement qu’est-ce qu’il se passe?

C’est l’équipe de chercheurs en sécurité de Google, Google’s Project Zero qui ont découvert les failles en question. Il s’agit en fait d’une erreur dans le design au sein de la mémoire des processeurs fabriqués par Intel depuis une dizaine d’année. Ainsi, il serait possible, par différents procédés à priori plutôt complexes à mettre en oeuvre, d’accéder à la mémoire tampon du processeur afin de voir les données provenant des applications en clair.

Meltdown va alors péter l’isolation entre la mémoire utilisé par les applications de l’utilisateur et celle utilisé par le système d’exploitation ( que ce soit Windows ou Linux). Ainsi il serait possible d’accéder à un grand nombre de données secrètes tel que les mots de passe, clés de cryptage, clé VPN, Infos perso… qui sont stocké dans la mémoire et en théorie inaccessible. Ouaaa c’est chaud vous allez me dire, oui c’est chaud mais c’est la moins pire des deux failles! En effet celle-ci va pouvoir être patchée au niveau du système d’exploitation et de la manière dont ce dernier utilise la mémoire tampon du processeur. Vous l’aurez compris CVE-2017-5754 nom de Code Meltdown agit donc plutôt au niveau du système d’exploitation en cassant l’isolation entre ce dernier et les apli de l’utilisateur révélant donc des données pouvant être ultra sensibles.

Spectre quant à lui est beaucoup plus problématique, il permet de casser l’isolation entre les applications elles mêmes et agit donc à un plus bas niveau. En revanche il semblerait qu’il soit beaucoup plus difficile à mettre en oeuvre, mais le truc c’est qu’il va permettre de tromper n’importe quel programme (y compris votre antivirus) afin de lui soutirer ses informations secrètes stockées en mémoire. On peut donc imaginer qu’il soit possible de récupérer votre clé VPN, vos interaction avec un site tel que les mots de passe, numéros de CB etc…

Il va alors falloir agir et patcher au niveau des OS (Windows, Linux, Apple), des applications (Chrome, firefox, client Vpn etc…), mais aussi au niveau des micro-logiciel de votre matériel comme les bios par exemple.  Rapprocher vous de votre constructeur pour avoir des informations.

Le Hic dans tout cela c’est que tous ces patchs vont ralentir vos machines et à priori pas qu’un peu. On parle de baisses de performances de 5 à 30% ! ! Si l’on réfléchit c’est assez logique car pour patcher on va modifier la manière dont la mémoire est adressée par le système d’exploitation, par ses périphériques et ses applications. Vu que l’on va être obligé d’isoler le kernel de l’OS sur une adresse mémoire autre que celle utilisée par le matériel on va forcer le processeur à vider le cache beaucoup plus souvent afin de séparer les jeux d’instruction relatif au matériel et ceux relatif à l’OS.

Qui est touché?

Pour faire simple, tout le monde! Votre ordi perso, votre téléphone (hé oui ARM inside), votre ordi de bureau, les serveurs d’entreprises etc etc… oui c’est un gros bordel…

De nouveaux Cas:

Beaucoup de nouveaux exemples sont ressortis concernant le patch de sécurité de la faille Meltdown.

CVE-2017-5753 et CVE-2017-5715 (Spectre) et CVE-2017-5754 (Meltdown) Il s’avère que sont vulnérable à la fois le client VPN PulseSecure et Sandboxie, le programme d’isolation basé sur le bac à sable développé par Sophos.

PulseSecure a mis au point une solution de contournement pour les plates-formes affectées, qui incluent Windows 10 et Windows 8.1 mais pas Windows 7.

Sandboxie a publié un client mis à jour pour résoudre les problèmes de compatibilité avec un correctif d’urgence de Microsoft, comme expliqué ici. Nous avons demandé à Sophos son avis.

Avant de Patcher Windows:

Il semblerait que l’ensemble de correctifs de Microsoft paru mercredi dernier (le 3 janvier), bloque certains PC avec des puces AMD.

Ce genre de problèmes laisse les administrateurs de systèmes (et dans une moindre mesure les consommateurs) le cul entre deux chaises. Les vulnérabilités critiques de Meltdown et de Spectre récemment trouvées dans Intel et d’autres CPU représentent un risque de sécurité important. Parce que les défauts sont dans l’architecture sous-jacente du système, ils auront une durée de vie exceptionnellement longue. En effet avant que la totalité du parc mondial soit patché il va se passer beaucoup de temps et cela va demander d’énormes effort. Car en plus de cela les patchs actuellement diffusés dans l’urgence provoque comme nous voyons de le voir des problèmes de freeze de certaine machine mais aussi des pertes de performances allant de 5 à 30% selon les systèmes!

Ainsi le « patchage » de tout ce bordel est nécessaire mais compliqué car les anti-virus, par exemple, doivent être ajustés avant que les correctifs de Microsoft ne puissent être appliqués, voir ici.

Il faut que la clé de registre de compatibilité antivirus soit définie et à jour, pour que Windows Update puisse délivrer les mises à jour de janvier ou les futures mises à jour de sécurité. Les logiciels Antivirus nécessitent un accès de bas niveau à la machine sur laquelle ils tournent, du coup des ajustements doivent être faits pour prendre en compte les changements dans la gestion de la mémoire qui accompagnent les correctifs Meltdown et Spectre sinon c’est le plantage assuré, a averti Microsoft.

Un article du support de Redmond précise que « les clients ne recevront pas les mises à jour de sécurité de janvier 2018 (ou toute mise à jour de sécurité) et ne seront pas protégés contre les vulnérabilités de sécurité à moins que leur fournisseur de logiciels antivirus n’établisse une clé de registre particulière. Oui vous avez bien lu (désolé)….

Bon la on se dit que c’est vraiment chaud tendu mais vous en fait pas c’est tout de mémé bien documenté! Kevin Beaumont, gestionnaire de vulnérabilités en cybersécurité, a mis au point une feuille de calcul sur la compatibilité des correctifs d’antivirus Windows. ® Donc pour savoir si vous pouvez patcher Windows et savoir si tout d’abord votre anti-virus à patché également vous pourrez trouver ici la liste des éditeurs d’antivirus qui ont déjà modifié leur clé de registre pour le patch Windows CVE-2017-5753 and CVE-2017-5715 (Spectre) and CVE-2017-5754 (Meltdown).

EDIT 10 Janvier 2018:

Pour compléter cet article voici un tableau des patchs en fonction de votre OS source OVH https://docs.ovh.com/fr/dedicated/information-about-meltdown-spectre-vulnerability-fixes/?utm_content=buffer19764&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

Ensuite voici aussi le lien de CERT-FR, le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques: https://www.cert.ssi.gouv.fr/alerte/CERTFR-2018-ALE-001/ On peut y voir le POC du Cert-Fr avec le code de Meltdown… prouvant ainsi que le script existe et qu’il fonctionne…

Laisser un commentaire