Spectre et Meltdown : les explications pour les nuls sur ces deux failles de sécurité qui touchent tous les processeurs

Ça fait deux jours que tout le monde en parle, mais vous n’avez toujours rien compris ? C’est qui ce Spectre qui fait un meltdown ? Et pourquoi c’est grave ? On va tenter de vous résumer tout ça et histoire de vous motiver pour activer vos neurones, je vais simplifier la situation avec une phrase pleine de tact : oui, c’est vraiment la merde.
meltdown-spectre-banner

Commençons par le commencement : ces deux failles de sécurité ne sont pas des bugs. Des chercheurs ont découvert que les optimisations réalisées depuis des années sur nos processeurs pour aller toujours plus vite pouvaient être exploitées pour aller lire des informations censées être protégées. Ils exploitent des faiblesses de conception qui touchent tous les CPU du marché, à différents degrés. Ces faiblesses sont liées au fonctionnement même des processeurs. Il est impossible de changer quoi que ce soit comme tout se passe au niveau hardware. Les mesures de sécurité se font à base de pansements appliqués côté logiciels. Windows, macOS, Linux, etc. sont ou vont être patchés pour limiter les fuites d’information possibles. Vos navigateurs également, ainsi que tous les logiciels sensibles dans les semaines à venir. Malheureusement, ces correctifs entraînent une baisse des performances. C’est lié au fait qu’il faut vérifier et ralentir certaines actions pour s’assurer que chaque programme n’accède qu’à ce qu’il est censé pouvoir lire.

Intel n’a pas été très malin dans cette histoire et pour cause : leurs produits sont les plus touchés.

Concrètement, sans protection, il serait possible de lire un mot de passe pendant que vous le tapez et accéder à tout type de ressources (images, sons, etc.) au moment où elles sont utilisées. Bref, on peut accéder à tout ce qui se passe sur votre machine. Non, quand je disais “c’est vraiment la merde”, ce n’était pas impoli gratuitement…

Les coupables

Meltdown fait “fondre” la protection entre Kernel (le coeur de votre système d’exploitation) et applications. Spectre agit en cassant l’isolation entre les applications. Vous trouverez en bas de cette news les liens vers les papiers officiels qui présentent en détail ces deux nouveaux cancers du monde informatique…

Meltdown-Spectre

Tableau perfectible, mais ça donne de bonnes bases. Source

Meltdown a été découvert par trois groupes de chercheurs appartenant à l’Université technique de Graz (Autriche), la société allemande de sécurité Cerberus Security et l’équipe de Project Zero chez Google. Spectre a été découvert par la team de Project Zero et le chercheur indépendant Paul Kocher.

S’il est possible de contrer Meltdown (c’est le rôle des patchs déployés actuellement), Spectre reste intouchable. Il faudra attendre des années avant de s’en débarrasser totalement, car il va déjà falloir attendre que les prochains processeurs ne souffrent pas du problème et ensuite patienter, le temps que tout le monde se rééquipe avec ces nouveaux modèles. On parle ici d’un processus qui va prendre des années et coûter des milliards… Mais qui va aussi forcer nos fabricants adorés – Intel en tête – à remettre la sécurité au centre de leurs recherches.

Mais alors ? James Bond a perdu ?

Spectre

« Tout se passe comme prévu… »

Pas totalement, mais il va avoir une série de films mouvementés… Il est possible de colmater les failles connues basées sur Spectre. Mais ça veut dire que 2018 est la date du départ d’une énorme guerre entre spécialistes de la sécurité informatique et hackers malveillants qui vont chercher à tirer profit de ces faiblesses. Je vous laisse imaginer les projets diaboliques que certains caresseurs de chats vont imaginer avec ces failles de sécurité…

Le mot d’ordre ? PATCHEZ ! Que ce soit vos systèmes d’exploitation, d’iOS à Linux, ou vos applications, appliquez tous les correctifs qui passent. Il fallait le faire avant, mais ça devient maintenant totalement indispensable. Évidemment, monsieur tout le monde n’est pas la cible privilégiée pour ce genre d’attaque, mais ne sous-estimez pas le pouvoir de nuisance des outils qui vont se retrouver dans la nature suite à ces révélations.

WIndows 10 : le patch est déjà disponible, faites un tour dans Windows Update

macOS : passez en 10.13.2 (High Sierra) si ce n’est pas déjà fait. La version 10.13.3 apportera encore d’autres protections.

Linux : Les différentes distributions sont normalement déjà patchées, pensez à mettre à jour vos machines.

Pour vivre heureux, vivez patché… La maxime de 2018 à 2028 ? Vous avez de la lecture plus bas pour creuser le sujet, mais la version TL;DR est : tout le monde est touché, à des degrés divers, depuis votre smartphone à votre serveur “in ze cloud” en passant par votre ordinateur personnel. Bonne année !

Sources :

 

Vous devriez également aimer…

Commentaires
  1. Si j’ai bien compris, tout cpu avec exécution spéculative et virtualisation de la mémoire , j’ai vu que mon 2600k était dedans, et je vois qu’un antique core 2 duo aussi.
    Va falloir ressortir l’amiga mon Caf :stuck_out_tongue:

  2. Sur certaines applications ca me fout ptet la merde chez moi… vais me retrouver a devoir utiliser quelques centaines de serveurs de plus je crois vu les I/O intensives etc… On va faire des benchs on va bien voir.

  3. Apres avoir lu plein de trucs sur le sujet, après avoir écouté le podcast de vulgarisation meltdownSpectrienne Torrefaction #33 (:blush: ) , personne ne réagit sur le fait que, bien que ultra grave, cette faille de sécurité reste locale. Et encore heureux! :roll_eyes:

    C’est ultra important et ça veut dire qu’un serveur physique (pour les machines virtuelles, c’est différent), non patché, traînant sur Internet, ne risque pas grand chose a partir du moment ou il n’y a pas un administrateur qui fait une connerie - lancer un logiciel exploitant une des failles spectre ou meltdown. Bon ok, le serveur se fera peut être POWNZ un jour ou l’autre, mais ça sera pas via cette faille: Il faut une faille de sécurité remote (exploitable à distance, donc) pour tenter d’exploiter une faille spectre/meltdown. Un mot de passe de merde sur un utilisateur lambda suffit hein, donc faites gaffes a vos mots de passe, mais il faut quand même un accès local pour exploiter ces failles.

    Ca veut dire quoi?

    A. Pour les utilisateurs
    Les risques de se chopper une merde sont fondamentalement les mêmes qu’avant, c’est juste que la merde est beaucoup plus dévastatrice en terme de vol de données.
    Les vecteurs d’infections sont les mêmes, donc:

    1. EMails (et surtout les attachements)
    2. Web, via pubs de merde et/ou scripts de merde
    3. Téléchargements, légaux ou pas.
      Mais au tout début de l’alerte, le vulgum pecus est pas du tout rentable, il faut plutôt viser les grosses boites (parce que le momentum de mise a jour est super lent) et les PME (parce que pas de sysadmin, ou débordés, donc mise à jour plus tard)
      J’ajouterais que les BOX internet, bien que souvent basés sur ARM, ne risque pas grand chose non plus, voir le point B.1. :wink:

    B. Pour les administrateurs

    1. Un serveur physique est beaucoup moins vulnérable qu’un serveur virtuel (cf plus bas) et, pour un admin qui connait son taf, il n’y a que deux vecteurs possibles à mon sens:
      Remote exploit (cf sysadmin debordé, pas le temps d’update, blabla - ou alors 0day, et c’est pas d’bol)
      Téléchargement d’un soft (légal ou pas) et le site et/ou le téléchargement contient une charge virale (normalement, un admin ne devrait pas télécharger sur un serveur mais…)

    2. Pour la virtualisation, il faut distinguer deux cas. En effet, l’un des gros intérêts de la virtualisation est de mettre en place des services informatique avec une isolation très fortes entre les services , puisque c’est deux machines “virtuelles” différentes. Si on a un serveur de mails et un serveur de fichiers, et que le serveur de fichier se fait POWNZ par un virus, normalement le serveur de mails est safe, puisque sur une machine virtuelle différente. Ben plus maintenant. Avec Meldown et Spectre, il suffit de POWNZ une machine virtuelle pour avoir (théoriquement) accès à l’intégralité des machines virtuelles hébergée par la machine physique.
      Ca amène donc a deux cas de figures:
      C’est toi qui gère ton serveur physique de virtualisation: On en revient aux mêmes risques que pour le point 1 du serveur physique, donc remote exploit ou boulette XXL, avec un 2eme effet kisskool: 1 serveur virtuel tombe, il emporte avec lui tous les autres.
      C’est pas toi qui gère ton serveur physique de virtualisation, donc cloud, SaaS, whatever: Ben la, t’es dans la merde. Genre XXL ++ over 9000. Parce que si toi, tu as les bonnes pratiques (mises a jour, pas de conneries, etc), c’est pas le cas de tout le monde et la moindre machine virtuelle compromise emporte toutes les autres, la tienne comprise.
      Alors attention, on est pas dans la compromission généralisé, a savoir une machine virtuelle compromise infecte toutes les autres, c’est juste que le “virus” de la machine compromise peut lire ce qui se passe sur toutes les autres machines virtuelles mais ne peut pas se repliquer sur les autres machines virtuelles (pour l’instant… J’espère que ça n’évoluera pas dans ce sens… :roll_eyes: )

    Bilan des courses
    Pour les administrateurs, c’est TRÈS grave, parce que l’état de l’art recommande massivement l’utilisation de la virtualisation (pour plein de raisons, et pas que celle que j’ai evoqué). L’impact est mitigé pour ceux qui gèrent eux même leurs serveurs de virtualisation mais il suffit d’une connerie bénigne pour tout péter.

    Pour les utilisateurs, c’est finalement peu impactant pour les gens ayant les bonnes pratiques, comme les geekzoniens (mises a jour, ne pas traîner sur des sites de streaming cheloud… oh, wait :stuck_out_tongue: ), beaucoup plus embêtant pour les gens qui font nawak sur le net. Mais ces derniers étaient déjà a risques avant, ils augmentent juste les chances de se faire POWNZ, et ce de manière plus dramatique. Le truc, c’est que avant, c’était rarement très grave, et c’était corrigeable, mais désormais, ca peut être grave (ca peut tout récupérer ce qui est en mémoire, donc ton compte des impôts si tu fais tes impôts, ton compte ameli si tu gères tes remboursement secu, que tu utilises un fichier .txt ou 1Password pour tes mots de passe…) et surtout, c’est pas corrigeable de manière définitive (pour Spectre tout au moins), sauf a changer de CPU (qui n’est pas encore en vente)

    @Cafeine & @Faskil parlait de l’importance des mises a jour dans le podcast, c’est toujours vrai, mais on ne peut plus se reposer sur les correctifs de sécurité: il faudra apprendre à faire attention a ce qu’on fait sur Internet. Comme avant, mais version ++.

    Désormais, vous êtes à poil sur Internet: Faites attention ou vous marchez, vous risquez de vous pincer très fort!!

  4. C’est beau, c’est ça le diesel propre :slight_smile:

89 autre(s) commentaires