agsandrew - stock.adobe.com

Meltdown/Spectre : de nouveaux correctifs en attendant de nouveaux processeurs

Des correctifs supplémentaires, pour systèmes 32 bits, sont désormais disponibles. Intel promet une future génération de processeurs immunisée.

Microsoft distribue des correctifs pour plus de 70 vulnérabilités, dont des correctifs pour Meltdown et Spectre destinés à ses systèmes d’exploitation 32 bits encore supportés, côté client avec Windows 7 et 8.1, et serveur, avec Windows Server 2008 et 2012.

Mais l’urgence apparaît dépassée, même si les maliciels semblent approcher. Ainsi, pour Jimmy Graham, responsable produits chez Qualys, « les systèmes ne sont pas pleinement protégés, mais ils le sont suffisamment pour qu’une attaque ne soit pas réellement faisable ». En l’état, le vecteur d’exploitation de Spectre le plus probable est le navigateur Web. Mais la plupart d’entre eux intègre des correctifs réduisant le risque. Dès lors, les administrateurs peuvent prendre le temps de tester pleinement les nouvelles rustines avant de les déployer. Et ce n’est pas un luxe, compte tenu des difficultés rencontrées avec les premières, courant janvier. Il aura fallu attendre début février pour qu’Intel produise de premiers correctifs fonctionnels pour endiguer Spectre.

Des mises à jour appliquées laborieusement

Outre des instabilités, il fallait compter avec l’exigence du positionnement d’une clé de registre spécifique pour permettre l’installation des correctifs. Avec certains outils de protection du poste de travail, cette opération devait être assurée par les administrateurs. S’il est désormais possible d’en parler au passé, c’est parce que Microsoft vient de lever cette contrainte pour les utilisateurs de Windows 10, alors que s’allonge la liste des processeurs pouvant profiter d’une mise à jour de microcode. Mais l’exigence reste en vigueur pour les utilisateurs de Windows 7, 8, et 8.1.

Cet assouplissement n’est pas un luxe : selon Barkly, deux semaines et demi après le début de la diffusion des premiers correctifs par Microsoft, 20 % des entreprises ignoraient encore tout de cette contrainte de clé de registre.

Reste

Mais pour beaucoup, Spectre et Meltdown constituent des menaces appelées à durer. Toujours selon Barkly, après un mois, près de 45 % des entreprises n’avaient appliqué les premiers correctifs pour Windows qu’à moins de 50 % de leur parc. Et après trois semaines, plus de 30 % n’avaient pas du tout déployé de correctif de microcode. Seuls 10 % l’avait fait pour toutes les machines supportées.

De nouveaux processeurs immunisés

De son côté, Intel souligne proposer désormais des mises à jour pour l’ensemble de ses puces lancées depuis 5 ans. Pour l’avenir, le fondeur explique que la variante 1 de Spectre continuera d’être traitée de manière logicielle. Mais il entend répondre à sa seconde variante et à Meltdown de manière matérielle.

Ainsi, la prochaine génération de processeurs Core et Xeon, attendu au second semestre, sera dotée de mécanismes de « partitionnement », tels des « murs de protection entre applications et niveaux de privilèges ».

Cet effort sera probablement bien accueilli. Car s’il est possible de protéger efficacement contre l’exploitation de Meltdown de manière logicielle, cela ne va pas sans un impact parfois significatif sur les performances.

Pour approfondir sur Protection du terminal et EDR