Spectre et Meltdown, 2 Bugs mondiaux créant des failles de sécurité majeures : faire fondre les protections - casser l'isolation entre applications
Publié le 5 Janvier 2018
Qui sont Spectre et Meltdown, les failles de sécurité qui font trembler le monde de l'informatique ?
Ces deux bugs affectent les processeurs, au cœur des ordinateurs, des smartphones et des serveurs utilisés dans des services de cloud. Leurs conséquences pourraient être très graves.
Ils s'appellent Spectre et Meltdown, et pourraient devenir le pire cauchemar des professionnels de l'informatique.
Mercredi soir, une équipe de chercheurs a dévoilé l'existence de deux failles de sécurité majeures, qui concernent presque l'intégralité des ordinateurs dans le monde. Le Figaro fait le point.
Qu'est-ce que Spectre et Meltdown?
Spectre et Meltdown sont les surnoms donnés à deux failles majeures de sécurité. Ces bugs concernent plus particulièrement les processeurs des ordinateurs. En informatique, ces puces servent à traiter des données et à exécuter des instructions. Elles sont dotées d'une mémoire, qui permet à l'ordinateur d'exploiter des informations en temps réel, notamment par le biais de logiciels. Cette mémoire est protégée.
Or, Spectre et Meltdown permettent à un logiciel malveillant d'y accéder.
Il peut s'agir d'identifiants de connexion (un pseudo associé à votre mot de passe) que vous auriez enregistrés dans votre navigateur Web, le contenu de certains emails ou documents, etc. Ces failles concernent aussi les smartphones ou des services hébergés dans le «cloud», c'est-à-dire de manière dématérialisée, qui exploitent eux aussi des serveurs équipés de processeurs.
Spectre et Meltdown affectent tous les deux les processeurs d'ordinateurs et d'autres appareils. Mais leurs conséquences sont différentes, et ils ne touchent pas les mêmes fabricants de puces.
Quels sont les risques concrets?
En quelque sorte, Meltdown fait «fondre» les protections entre les applications et le système d'exploitation.
Spectre va, lui, plus loin, en cassant l'isolation entre différentes applications. Il est ainsi possible pour un pirate informatique de passer de l'une à l'autre pour récupérer des données.
Dans les deux cas, le risque est qu'un logiciel malveillant accède à la mémoire de l'appareil et de ses données sensibles. Toutes les informations brassées par la machine peuvent, en théorie, être accessibles. D'après les chercheurs, Meltdown est plus facilement exploitable que Spectre.
Les risques sont a priori plus grands pour les services de cloud que pour les ordinateurs personnels. Généralement, un serveur sert à héberger les données de nombreux clients. Si l'un d'entre eux est un pirate, il peut potentiellement exploiter ce bug pour siphonner les informations des autres. Dans le cas des particuliers, un pirate doit d'abord installer un logiciel malveillant sur une machine pour pouvoir exploiter le bug. C'est possible, au travers de l'envoi d'un email d'hameçonnage ou du téléchargement d'une application vérolée par un particulier. On craint aussi que ce bug puisse aussi être exploité au travers des navigateurs Web, comme l'a noté Mozilla dans une note de blog publiée mercredi soir.
Est-ce que mon ordinateur est concerné?
Probablement. Meltdown concerne tous les processeurs Intel qui équipent les ordinateurs et les serveurs, notamment utilisés pour les services de cloud, et ce depuis 1995. Des millions de machines sont ainsi concernées. Les chercheurs précisent qu'ils ignorent pour le moment si d'autres marques de processeurs, notamment ceux dessinés par le Britannique ARM ou produits par AMD, sont également concernées. Spectre, de son côté, concerne presque tous les ordinateurs de bureau, ordinateurs portables, les serveurs et les smartphones qui utilisent des architectures de processeurs ARM.
Comment se protéger?
Les entreprises dont les activités sont concernées par le bug Meltdown travaillent à sa correction depuis plusieurs mois. La plupart vont publier ce qu'on appelle un «patch», un peu comme une rustine logicielle, pour régler ou au moins limiter le problème, notamment dans le cas de Meltdown.
Microsoft a déjà annoncé la publication d'un correctif pour son système d'exploitation Windows 10, qui sera disponible dans la journée. Pour les versions antérieures (Windows 7 et 8), il faudra attendre la semaine prochaine. Apple a déjà apporté des modifications sur macOS, le système d'exploitation des Macs. Un correctif pour Linux, un système d'exploitation libre qui équipe des ordinateurs et surtout de nombreux serveurs utilisés par des sociétés de cloud, est déjà disponible. Plusieurs entreprises du secteur, comme la société française OVH ou Amazon Web Services et Azure (le service cloud de Microsoft) ont déjà annoncé le déploiement de ce patch. Android, le système d'exploitation mobile développé par Google, recevra une mise à jour de sécurité d'ici vendredi. C'est également le cas des navigateurs Web Google Chrome et Firefox.
Il n'existe en revanche pour le moment aucun correctif logiciel total pour Spectre, car le bug est inhérent à la manière dont sont conçues ces puces.
Et maintenant?
Il reste de nombreuses zones d'ombre quant à l'exploitation de ces bugs, et l'avenir de l'informatique en général. On ignore par exemple si ces failles ont déjà été exploitées à des fins malveillantes. Les patchs proposés par Microsoft, Apple ou autres ne suffiront par ailleurs pas à régler complètement le problème. Dans le cas de Spectre, c'est toute la manière dont sont aujourd'hui construits les processeurs, et donc les ordinateurs, qui doit être repensée. Il n'existe pas de solution simple ou sur le court terme. Et celles proposées aujourd'hui, sous forme de patch logiciel, pourraient affecter la performance de certains ordinateurs, notamment ceux qui sont équipés de processeurs anciens
Meltdown in Action: Dumping memory
Who reported Meltdown?
Meltdown was independently discovered and reported by three teams:
Who reported Spectre?
Spectre was independently discovered and reported by two people:
- Jann Horn (Google Project Zero) and
- Paul Kocher in collaboration with, in alphabetical order, Daniel Genkin (University of Pennsylvania and University of Maryland), Mike Hamburg (Rambus), Moritz Lipp (Graz University of Technology), and Yuval Yarom (University of Adelaide and Data61)
Meltdown & Spectre - The Worst CPU Bug Ever?
Ookawa-Corp blown by B'Digital, powered by B'Leader, spread by B'Sociable, amplified by B'Press, illustrated by B'360, energized by New3S, hosted by 3DWC.biz
Oups ! Un mouchard serait intégré à Shazam (et d'autres apps) pour "écouter" votre TV Le New-York Times revele que SHAZAM vous espionne ! Un espion qui ecoute et enregistre ce que vous ecoutez ...
Le New-York Times revele que SHAZAM vous espionne ! Un espion qui ecoute et enregistre ce que vous ecoutez ... - OOKAWA Corp.
Google's Self-Driving Car Has A Few Bugs - OOKAWA Corp.
Google's Self-Driving Car Has A Few Bugs
http://ookawa-corp.over-blog.com/2014/06/google-s-self-driving-car-has-a-few-bugs.html
Google's Self-Driving Car Has A Few Bugs - OOKAWA Corp.
New robot bee may soon be a spy's secret weapon - OOKAWA Corp.
New robot bee may soon be a spy's secret weapon People fear robots are becoming too human, but, in reality, robots are becoming a little more bug-like every day. A team of Harvard University ...
http://ookawa-corp.over-blog.com/2016/05/new-robot-bee-may-soon-be-a-spy-s-secret-weapon.html
New robot bee may soon be a spy's secret weapon - OOKAWA Corp.
Un ransomware bloque les caméras de surveillance de Washington - OOKAWA Corp.
Les ransomware se multiplient comme le précisent les derniers rapports des principales firmes spécialisées dans la sécurité informatique : l'attaque qu'a subie Washington en est une nouvelle p...
1 sur 5 Un ransomware bloque les caméras de surveillance de Washington - OOKAWA Corp.
Drones ou UAV : Présentation des outils militaires permettant de tuer à distance - OOKAWA Corp.
Si plus des 70 États, qui disposent de cette technologie, l'utilisaient à des fins militaires, le monde entier deviendrait alors un vrai champ de bataille Drone signifie " faux-bourdon " en anglais
Drones ou UAV : Présentation des outils militaires permettant de tuer à distance - OOKAWA Corp.