James Steidl - Fotolia
Spectre et Meltdown : des menaces appelées à durer
Des correctifs sont déjà disponibles pour ces deux types d’attaques mettant à profit des vulnérabilités dans de nombreux processeurs. Mais la correction de Spectre risque d’être longue et douloureuse. Et rien ne dit que l’exploitation n’a pas déjà commencé.
Les premiers correctifs sont déjà disponibles, pour macOS, Linux – y compris sur ARM – et Windows. Mais encore faudra-t-il les déployer. Et ce n’est pas forcément sans conséquence. Ainsi, Microsoft recommande de vérifier que le poste de travail exécute un antivirus « supporté » avant de procéder à la moindre mise à jour.
The question on everyone's minds: Does MacOS fix the Intel #KPTI Issue? Why yes, yes it does. Say hello to the "Double Map" since 10.13.2 -- and with some surprises in 10.13.3 (under Developer NDA so can't talk/show you). cc @i0n1c @s1guza @patrickwardle pic.twitter.com/S1YJ9tMS63
— Alex Ionescu (@aionescu) January 3, 2018
Et cela ne vaut pas pour tous. Ainsi, comme le relève Kevin Beaumont, Microsoft souligne que ses mises à jour de sécurité pour Meltdown et Spectre ne seront proposées qu’aux machines sur lesquelles certaines clés de registre ont été définies par l’antivirus. La raison en simple : « certains antivirus provoquent un écran bleu lorsque le correctif de Meltdown est installé ».
Some anti-virus products blue screen with the Meltdown patch installed, so on Windows clients and Windows Server the patch is disabled unless the AV provider does an update and adds their own compatibility key (!!!!!)
— Kevin Beaumont (@GossiTheDog) January 4, 2018
Alors, si les grands opérateurs d’infrastructures Cloud ont commencé activement à corriger leurs systèmes – voire ont fini –, il s’interroge : « combien d’années faudra-t-il pour les organisations privées appliquent les correctifs, obtiennent un antivirus compatible, et activent les clés de registre nécessaires sur chaque serveur ? »
Et dans certains cas, ce ne sera pas simple. Octave Klaba, fondateur d’OVH, souligne ainsi que pour l’une des variantes des attaques, il faut non seulement mettre à jour le noyau du système d’exploitation, mais également le microcode « pour chaque modèle de CPU ». Et pour les plus anciens, la mise à jour attendra « deux à trois semaines ».
Variant 1,3 are easy to fix: just the kernel upgrade.
— Octave Klaba (@olesovhcom) January 4, 2018
Variant 2: it’s the kernel upgrade + the firmware upgrade for CPU, the microcode for each model of the CPU. Microcode for new CPU is already developped, but it will take 2-3 weeks to have the firmware for the old CPU.
Un risque déjà concret ?
Hélas, pour Jake Williams, de Rendition Infosec, il est probable que l’exploitation de Meltdown et de Spectre ait déjà commencé.
I think it's reasonable to assume that most nation states had #Spectre and #Meltdown before public announcement. If by some miracle they weren't already using these, they will be now. The difference between them and everyone else is that they had months to weaponize and test 1/n
— Jake Williams (@MalwareJake) January 4, 2018
Alors que le travail de recherche et de développement de correctifs dure au mois depuis mai 2017, il estime que « tout programme d’exploitation informatique d’état-nation compétent savait pour cela depuis des mois ». Alors pour Jake Williams, affirmer « que l’on n’a pas observé d’indication d’exploitation avant divulgation ne prouve pas qu’il n’y en pas eu ».
De son côté, James Lyne, directeur de recherche et développement au sein de l’institut Sans, souligne que « Spectre est vraiment difficile à contenir et va nécessiter beaucoup de travail spécifique sur les programmes individuels. Cela signifie une longue suite de changements, ou la désactivation d’une fonction qui va affecter durement les performances des appareils modernes ».
Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)
-
![]()
Google dévoile les attaques « Downfall », basées sur une vulnérabilité dans les puces Intel
Par: Rob Wright
-
![]()
NAS : DeadBolt allonge la liste des menaces sur les systèmes QNAP
Par: Valéry Rieß-Marchive
-
![]()
Authentification multifacteur : une approche parfois pesante mais tellement bénéfique
Par: Valéry Rieß-Marchive
-
![]()
Alerte malware : Emotet se réveille
Par: Valéry Rieß-Marchive
