Retour

Impact des failles de sécurité Meltdown et Spectre

L'environnement de travail numérique 22/01/2018 Frédéric Lenquette

Failles de sécurité des processeurs modernes (Meltdown et Spectre) : quels impacts pour les infrastructures Cloud ?

Pour cette nouvelle année 2018 une vulnérabilité massive va toucher des centaines de millions d’utilisateurs Windows, Linux et Mac dans le monde entier.

Comme l’a révélé le projet Goole Zero [3] les vulnérabilités impactent potentiellement tous les processeurs incluant INTEL, AMD et ARM et ceci depuis 1995.

Ces vulnérabilités ont été catégorisées autour de deux failles nommées : Meltdown [1] et Spectre [2]. Ce sont donc deux failles de sécurité qui exploitent des vulnérabilités critiques des processeurs actuellement présents dans nos ordinateurs, serveurs et smartphones.

Quels sont les nouveaux risques ?

Nous sommes en présence de bugs matériels pouvant permettre à des programmes de récupérer des données qui sont traitées en parallèle par d’autres programmes sur le même ordinateur ou le même serveur.

Bien que les programmes ne soient généralement pas autorisés à lire les données d’autres programmes, un programme malveillant pourrait exploiter Meltdown et Spectre pour obtenir des secrets stockés dans la mémoire d’autres programmes en cours d’exécution.

Cela peut inclure les mots de passe stockés dans un gestionnaire de mots de passe ou dans le navigateur, les photos personnelles, des courriels, des messages instantanés type Skype et même les documents vitaux de l’entreprise.

Meltdown et Spectre impactent les serveurs, les ordinateurs personnels, les appareils mobiles et surtout le cloud. Ainsi selon l’architecture de l’infrastructure du fournisseur Cloud, il peut être possible de voler des données à d’autres clients. On perd ainsi la notion de cloisonnement des environnements.

Meltdown en quelques mots :

Le principe de Meltdown est de briser l’isolement le plus fondamental entre les applications utilisateur et le système d’exploitation. Cette attaque permet à un programme d’accéder à la mémoire, et donc aussi aux secrets des autres programmes et du système d’exploitation.

Si un serveur fonctionne avec un processeur vulnérable et utilise un système d’exploitation non patché, il y a un risque qu’un programme tiers puisse exploiter cette vulnérabilité et provoquer une fuite d’informations sensibles. Cela s’applique aussi bien aux ordinateurs personnels qu’aux infrastructures Cloud.

D’un point de vue plus technique, Meltdown peut permettre à un attaquant de lire non seulement la mémoire du Kernel du système d’exploitation mais aussi de toute la mémoire physique de la machine cible et donc tous les secrets des autres programmes et du système d’exploitation.

Spectre en quelques mots :

L’attaque Spectre rompt l’isolement entre les différentes applications, permettant au programme contrôlé par l’attaquant de tromper les programmes sans erreur pour qu’ils divulguent leurs secrets en les forçant à accéder à des parties arbitraires de sa mémoire.

La faille Spectre sera difficile à corriger car elle nécessite un changement de l’architecture du microprocesseur afin de l’atténuer complètement. Elle risque donc de hanter encore pendant un moment les spécialistes de la Cybersécurité.

Réponses aux principales questions que vous vous posez :

Est-ce que je suis affecté par les vulnérabilités ?
Dans la plupart des cas oui, vous êtes affecté pat les vulnérabilités, puisque la grande majorité des microprocesseurs sont impactés.

Est-il possible de détecter si un programme malveillant a exploité ces vulnérabilités ?
Probablement non, l’exploitation de la vulnérabilité ne laisse pas de traces dans les logs.

Est-ce qu’un anti-virus peut détecter et bloquer l’attaque ?
Bien que cela puisse être possible en théorie, c’est fortement improbable en pratique car, à la différence des malwares classiques, Meltdown et Spectre sont difficiles à distinguer d’applications bénignes. Pour le moment aucun malware utilisant cette attaque n’est connu, il n’y a donc aucune signature dans les bases d’antivirus pouvant référencer ce type de menace. De plus, comme la menace franchie la barrière du cloisonnement des machines Virtuelles, l’antivirus est, quant à lui, limité dans sa recherche de malwares par le cloisonnement.

Est-ce que Meltdown et Spectre ont déjà été exploités ?
Pour le moment cette information n’est pas connue, mais cela risque d’évoluer dans les semaines à venir.

Quels sont les systèmes impactés par Meltdown ?
Les ordinateurs personnels, ordinateurs portables et infrastructures Cloud peuvent être impactés. D’une façon plus technique tous les processeurs Intel manufacturés depuis 1995 (excepté les processeurs Intel Itanium et Atom produits avant 2013). Au moment présent il n’est pas établi si les processeurs AMD et ARM sont touchés par Meltdown.

Quels sont les systèmes impactés par Spectre ?
Presque tous les systèmes sont affectés par la vulnérabilité Spectre : Desktop, Laptop, serveurs, infrastructures Cloud et les smartphones.

Y-a-t-il des patchs correctifs qui peuvent être déployés ?
Il y a des patchs pour Meltdown pour Linux, Windows et OS X.
Le patch KAISER [4] a été largement utilisé pour atténuer l’attaque de Meltdown, mais il ne protège pas contre la vulnérabilité Spectre.

J’ai entendu dire que les patchs allaient impacter la performance de mes services qu’en est-il ?
D’après les premiers tests, l’installation de la mise à jour des patchs pourrait impacter négativement la vitesse des systèmes et ainsi réduire les performances des processeurs de 5% à 30%, selon la tâche et le modèle de processeur.

Etats des correctifs par systèmes d’exploitation :

Windows – Microsoft a publié une mise à jour de patch hors bande pour Windows 10, tandis que d’autres versions de Windows seront patchées sur le traditionnel Patch mardi, le 9 janvier 2018.

MacOS – Apple avait déjà corrigé la plupart de ces failles de sécurité dans MacOS High Sierra 10.13.2 le mois dernier, mais MacOS 10.13.3 va améliorer ou compléter ces mesures d’atténuation.

Les développeurs de noyau Linux ont publié des correctifs en implémentant l’isolation de la table de pages du noyau (KPTI) pour déplacer le noyau dans un espace adresse entièrement séparé.

Android – Google a publié des correctifs de sécurité pour les utilisateurs Pixel/Nexus dans le cadre de la mise à jour Android Janvier patch de sécurité. D’autres utilisateurs doivent attendre que les fabricants d’appareils lancent une mise à jour de sécurité compatible.

L’impacts sur les hébergeurs Cloud

Face à l’importance de la faille, OVH s’est pleinement mobilisé. Une équipe dédiée d’experts a été mise en place afin de piloter la mise en place de correctifs et d’être en contact étroit avec les principaux acteurs concernés. Des patchs commencent donc à être annoncés et diffusés par les différents éditeurs et communautés.

Les correctifs apportant des modifications lourdes dans la conception du kernel, les risques d’instabilité ne seront pas négligeables sur les systèmes. Néanmoins, il est encore tôt pour évaluer l’impact des correctifs sur la stabilité et les performances des systèmes.

Pour le moment aucune exploitation des failles n’a pu être démontrées mais cela ne devrait pas tarder…

Frédéric Lenquette, Consultant Cybersécurité

Références des vulnérabilités :
Meltdown : CVE-2017-5754
Spectre : CVE-2017-5753 et CVE-2017-5715

Références techniques :
[1] https://meltdownattack.com/meltdown.pdf
[2] https://spectreattack.com/spectre.pdf
[3] https://googleprojectzero.blogspot.fr/2018/01/reading-privileged-memory-with-side.html
[4] https://lwn.net/Articles/738975/

Avatar auteur
Écrit par ,
Consultant Cybersécurité
Ça vous a plu ? Faites tourner !

À lire aussi

say hello !

un projet ? des infos ? un devis ?

on est partout.

Amiens
Scala Amiens

7 rue de l’Ile Mystérieuse

80440 Boves Amiens
Lyon
Scala Lyon

Parc du Crecy, 12 rue Claude Chappe

69370 Saint Didier au Mont d’Or Lyon
Marseille - Siège social
Scala Marseille

11 avenue André Roussin
Immeuble Grand Ecran

13 016 Marseille
+33 (0)4 91 46 84 60
Paris
Scala Paris

8 Rue Euler

75 008 Paris
+33 (0)1 56 68 77 80
Tunis – Tunisie
Scala Tunisie

Rue du Lac Biwa, Immeuble Fraj
3ème étage, Lac 1,
Les Berges du Lac

1053 Tunis – Tunisie
+216 71 657 451
Et même Londres, Bruxelles, NY, Montréal et Casablanca.Voir carte.

on recrute !

Venez voir toutes nos offres ici.

contact
le blog