James Thew - Fotolia
Processeurs : des failles d’une portée considérable
Ce n’est finalement pas une unique vulnérabilité qui affecte les processeurs Intel, mais bien plusieurs et certaines touchent aussi un large éventail de puces x86 comme ARM et certainement au-delà.
Ce sont donc en fait trois vulnérabilités, référencées CVE-2017-5753, CVE-2017-5715, et CVE-2017-5724, qui ont été découvertes dans un vaste éventail de processeurs. Elles conduisent à deux types d’attaques : Spectre, pour les deux premières, et Meltdown pour la troisième. Aucune des deux n’est anodine, loin s’en faut.
L’attaque Meltdown concerne les systèmes Intel depuis au moins 2010 et peut permettre d’accéder au contenu de la mémoire affectée au noyau du système d’exploitation depuis un processus s’exécutant dans le mode utilisateur. Sa validité sur d’autres processeurs n’a pas été confirmée, mais les chercheurs à l’origine de ces découvertes restent prudents et n’excluent pas cette possibilité. Le correctif logiciel Kaiser/KPTI protège contre Meltdown. Mais il est inopérant contre Spectre. Cette seconde technique d’attaque concerne les processeurs AMD, ARM, et Intel. Elle ne permet pas d’accéder à la mémoire du noyau, mais ouvre toutefois grand les portes de celle des processus des autres utilisateurs d’un même système.
Des risques très importants
Et la menace est là loin d’être négligeable. Dans leur rapport d’étude, les chercheurs présentent une démonstration d’exploitation de Spectre dans le navigateurs… en JavaScript.
There's a JavaScript POC for #Spectre. Ads frequently include JavaScript. If you're not using an ad blocker in your browser, start. Also, enable site isolation in Chrome. For the first time ever, I'm considering whether preventing all JavaScript on unknown sites is the best move.
— Jake Williams (@MalwareJake) January 4, 2018
Mozilla le confirme d’ailleurs : « nos expérimentations internes confirment qu’il est possible d’utiliser des techniques similaires à partir de contenu Web pour lire des informations privées de différentes origines ». La fondation explique que « l’étendue complète de cette classe d’attaque fait encore l’objet d’investigation ». La version 57 de son navigateur Firefox embarque de premières mesures de protection. Microsoft propose un correctif pour Edge et IE 11. La version 64 de Google Chrome, attendue pour le 23 janvier, doit également intégrer des mesures de protection spécifiques. Mais déjà pour Chrome 63, Google recommande d’activer l’isolation de sites dans des processus distincts.
Un éventail impressionnant de systèmes affectés
Mais les risques s’étendent au-delà. Face à ces vulnérabilités, les fournisseurs Cloud vont devoir appliquer des correctifs à leurs serveurs, avant de redémarrer massivement leurs infrastructures, comme OVH, notamment le prévoit ce week-end.
Les environnements de conteneurs ne sont pas épargnés : comme le relèvent les chercheurs, « exécuter Meltdown dans un conteneur permet de récupérer de l’information non seulement du noyau sous-jacent, mais également de tous les autres conteneurs s’exécutant sur le même hôte physique ».
Mais il faut aussi compter avec de nombreux systèmes et environnements pour lesquels les correctifs ne sont pas encore disponibles ou l’impact reste encore à l’état d’étude…
Chez Qubes, Joanna Rutkowska indiquait ainsi la nuit dernière ne pas encore savoir dans quelle mesure son système d’exploitation est concerné, tout en soulignant l’absence correctif pour Xen, à ce jour – seule une alerte de sécurité a été publiée. Et Simon Crosby, de Bromium, le reconnaît bien volontiers, dans un échange avec la rédaction : « la manière dont l’hyperviseur gère la mémoire est affectée, donc l’hyperviseur doit être mis à jour ». Red Hat n’a pas encore non plus proposé de mise à jour pour Qemu-KVM ou Libvirt. Mais VMware propose des correctifs pour Fusion, Workstation, et ESXi. Les utilisateurs d’instances Linux AMI d’Amazon EC2 vont devoir manuellement déployer la mise à jour.
Les utilisateurs de systèmes de stockage en réseau de Synology sont également concernés et doivent attendre les correctifs. Ceux de certains systèmes F5 sont dans la même situation.
Dans ce contexte, la réaction officielle d’Intel n’a pas manqué d’être accueillie avec une fraicheur certaine. Ainsi, pour Linux Torvalds, « quelqu’un chez Intel doit vraiment poser un long regard sérieux sur leurs CPU et admettre qu’ils ont des problèmes » au lieu de publier du vent « qui dit que tout fonctionne comme prévu ».