Spectre et Meltdown: les patchs sont-ils vraiment indispensables?
Le sous-titre de cet article pourrait être: Spectre et Meltdown un an plus tard. Selon Google, les vulnérabilités des microprocesseurs telles que celles découvertes tout au long de 2018 continueront de nous «marteler» pendant des années.
Il y a un peu plus d’un an, le bubon a éclaté Spectre et fusion, vulnérabilités inhérentes aux microprocesseurs donc présentes au niveau matériel. Les deux noms ont été choisis par les chercheurs impliqués dans la découverte: ils étaient déjà conscients des problèmes dans les CPU depuis mi-2017 mais n’en ont parlé publiquement qu’à partir de janvier 2018.
Spectre exploite le soi-disant exécution spéculative, une technique utilisée par les processeurs pour réduire le «coût» des opérations de saut conditionnel. Lorsqu’une instruction de saut conditionnel est détectée, le processeur tente de prédire quel itinéraire est susceptible d’être parcouru (prédiction de branchement). Si l’estimation se révèle par la suite incorrecte, tous les calculs effectués à partir du saut conditionnel sont automatiquement rejetés.
En « jouant » la gestion imparfaite des tâches d’exécution spéculatives, Spectre vous permet d’accéder au contenu de la mémoire en accédant à la pile CPU ou à d’autres emplacements.
Plusieurs variantes de Spectre ont alors été découvertes, parmi lesquelles SpectreNG, SpectreRSB est Spectre Prime.
Meltdown « construit » sur Spectre et permet à un attaquant ou à un processus malveillant s’exécutant sur le système d’accéder à des zones de mémoire protégées. Il existe également des variantes connues de Meltdown telles que Meltdown Prime est Fusion totale, découvert à des dates ultérieures.
Un immense battage médiatique s’est développé autour de la découverte de Spectre et Meltdown avec tous les fabricants de matériel et de logiciels prenant des mesures pour trouver des solutions à chaque vulnérabilité identifiée au niveau du processeur.
Nous avons parlé « chaudement » de Spectre et de Meltdown dans notre étude approfondie Vérifiez si votre processeur est vulnérable à Meltdown et Spectre et par la suite, nous avons pris en compte les nouvelles lacunes de sécurité progressivement découvertes.
Spectre et Meltdown ont découvert la boîte classique de Pandore: des experts du monde entier ont immédiatement compris à quel point les vulnérabilités apportées par l’équipe de Google Project Zero, Cyberus Technology et l’Université technique de Graz n’étaient que la pointe de l’iceberg.
En 2018, des fuites d’accessoires telles que celles baptisées ont été découvertes Annoncer (Intel découvre de nouvelles vulnérabilités dans ses processeurs: voici Foreshadow), BranchScope (BranchScope, une nouvelle attaque exploite les lacunes des processeurs modernes), TLBleed (TBLeed, une attaque vise l’hyperthreading des processeurs Intel), PortSmash (PortSmash, une nouvelle vulnérabilité dans les processeurs exploite l’Hyper Threading) e NetSpectre (NetSpectre: l’attaque devient possible depuis le réseau mais heureusement ce n’est que théorique).
Une discussion des différentes failles de sécurité est également disponible sur GitHub, à cette adresse.
Il faut dire que la plupart des vulnérabilités évoquées nécessitent une étude du système à attaquer afin de réussir l’attaque. Pour cette raison, aucune attaque n’a été vue à ce jour exploitant Spectre, Meltdown et les différentes variantes: les cybercriminels continuent de préférer l’utilisation d’autres bogues de sécurité (par exemple les lacunes d’Office, l’insertion de macros et le phishing par e-mail) pour exécuter du code malveillant sur les systèmes des utilisateurs.
Pour résoudre ou en tout cas atténuer les effets des vulnérabilités découvertes dans les processeurs, les interventions possibles sont la mise à jour du BIOS / UEFI de la carte mère (voir Mettre à jour le BIOS: comment le faire, à quoi il sert et quand il doit être fait des mises à jour développées pour chaque système d’exploitation (Microsoft, par exemple, les distribue via Windows Update).
Il faut dire que tous les correctifs visant à modifier le comportement du processeur pour éviter les tentatives d’attaques de tiers, ont un certain impact sur les performances: surtout avec certaines charges de travail, le CPU a tendance à devenir plus lent.
Les évaluations des baisses de performances varient d’une vulnérabilité à l’autre: Microsoft note actuellement que les propriétaires de PC plus récents équipés de processeurs ne subiront aucune baisse de performances après l’installation des correctifs anti-Spectre et Meltdown. Seuls ceux qui utilisent des processeurs basés sur l’architecture Intel Haswell et les versions antérieures pourraient remarquer des différences, a expliqué Microsoft.
Terry Myerson a ajouté que les baisses de performances seraient plus visibles sous Windows 7 et Windows 8.1 car ces systèmes d’exploitation utilisent des fonctionnalités au niveau du noyau (telles que le rendu des polices) directement affectées par l’application des correctifs anti-Spectre et Meltdown. Windows 10.
Vaut-il la peine d’installer les correctifs contre Spectre et Meltdown?
Si, comme mentionné ci-dessus, les mises à jour qui protègent le système contre les attaques exploitant les failles Spectre et Meltdown ainsi que les différentes variantes ont tendance à provoquer un ralentissement de la machine, est-il vraiment approprié de les installer?
La réponse est: cela dépend du contexte. Sur les PC et les postes de travail des utilisateurs finaux, les risques sont minimes: à moins que, par exemple, les failles de sécurité du navigateur Web ne soient exploitées (Spectre, le bogue des microprocesseurs peut être exploité à l’aide de code JavaScript) – et les différents fabricants ont déjà évitez l’utilisation de code capable d’exploiter les vulnérabilités – il n’y a aucun moyen pour le code malveillant de s’exécuter à distance.
L’utilitaire gratuit InSpectre développé et mis à jour périodiquement par Steve Gibson et son équipe, il vous permet de vérifier – en un coup d’œil – si le système utilisé est protégé contre diverses vulnérabilités ou s’il n’utilise pas les mises à jour du microcode dans le matériel ou le logiciel.
Les logiciels InSpecre il vous permet également de désactiver les correctifs de sécurité et de vérifier les performances du système avant et après leur application.
Début 2018, les révélations publiées sur Spectre et Meltdown ont été présentées comme une menace imminente, un problème capable de paniquer toute l’industrie. Bien que la découverte de attaque par canal latéral (tentatives d’agression qui tirent parti de la mise en place d’un système et de l’exploitation des informations gérées lors de son fonctionnement normal et correct) est quasiment à l’ordre du jour pour ce qui concerne les microprocesseurs, il n’y a jamais eu de nouvelles d’attaques utilisant, dans la pratique, les vulnérabilités en question.
Plus que les utilisateurs finaux un peu plus à risque, voire rien, ce sont les fournisseurs de services cloud: essayez d’analyser les vulnérabilités que nous avons présentées au début; certains d’entre eux pourraient être exploités, du moins en théorie, pour dépasser les limites d’une machine virtuelle et lire dans des zones du système où les processus normaux ne devraient pas avoir de liberté d’action (pensez aux enclaves SGX d’Intel).
Systèmes cloud, donc serveurs et systèmes régis par hyperviseur partagés entre plusieurs utilisateurs, ils seront vraisemblablement les plus ciblés à l’avenir. Sur les postes de travail individuels et les PC des utilisateurs finaux, les cybercriminels continueront de privilégier d’autres tactiques efficaces et beaucoup moins coûteuses.
D’autre part même les techniciens de Google ont confirmé que la résolution de vulnérabilités telles que Spectre via un logiciel est une bataille perdue. En lisant cette étude intéressante, vous apprenez qu’il n’existe pas de solution universelle aux failles de sécurité comme Spectre.
Les différentes vulnérabilités, affirment encore les experts de Google, continueront de nous accompagner pendant de nombreuses années et les seules solutions valables restent les interventions dans le matériel puisque l’abandon de l’exécution spéculative n’est certainement pas en cause.
La clé, le cas échéant, est toujours la séparation des processus et l’utilisation de mécanismes de sandboxing efficaces (c’est l’approche utilisée par les navigateurs Web modernes), en s’assurant qu’ils ne souffrent pas eux-mêmes de vulnérabilités qui peuvent leur permettre de surmonter leurs défenses.
Le comportement de Chrome, par exemple, a été modifié et amélioré de manière à ne pas permettre le chargement de contenu à partir de plusieurs domaines au sein d’un même processus. Évidemment, cette mesure de sécurité ne protège pas le sandbox spécifique d’une attaque mais empêche toute agression chargée par exemple sous forme de code JavaScript d’impacter le contenu d’autres domaines et qui leur sont liés.
Découvrez aussi plus d’articles dans nos catégories Internet, productivité et encore Ordinateurs et internet.
Merci pour votre visite on espère que notre article Spectre et Meltdown: les patchs sont-ils vraiment indispensables?
vous aide, pensez à partager l’article sur Facebook, instagram et whatsapp avec les hashtag ☑️ #Spectre #Meltdown #les #patchs #sontils #vraiment #indispensables ☑️!