Meltdown & Spectre

Meltdown et Spectre : les risques pour les entreprises

/

Les techniques d’exploitation, baptisées Meltdown et Spectre, tirent toutes deux parti de « l’exécution spéculative » afin d’accéder à la mémoire privilégiée – y compris la mémoire du kernel – à partir d’un processus moins privilégié (tel qu’une application malveillante). Un exploit réussi de l’une ou l’autre des techniques garantirait aux attaquants l’accès à des informations privées telles que des mots de passe et des clés de chiffrement.

 

L’exécution spéculative

Afin de mieux comprendre comment pourrait se dérouler une attaque potentielle, il faut d’abord comprendre ce qu’est « l’exécution spéculative ». Il s’agit d’une fonctionnalité (et non d’un bug, comme le veut un notoire trait d’esprit informatique) qui a été employée dans les processeurs pendant des dizaines d’années en vue d’améliorer la vitesse, en lançant simultanément de multiples instructions sur la base de « suppositions ».

 

Avec pour objectif d’améliorer les performances, le processeur a été conçu pour prédire quel chemin d’une branche est le plus susceptible d’être suivi, et l’exécution spéculative se poursuivra sur ce chemin, de manière spéculative, même avant que la branche soit terminée. Si la supposition est erronée, l’exécution est interrompue et rejetée. Si la supposition est exacte, l’exécution tire parti de l’avance ainsi acquise et continue sur ce chemin. Le processus dans son ensemble est censé être invisible pour le logiciel. Toutefois, comme l’ont prouvé les chercheurs de Google, ce n’est pas tout à fait le cas.

 

Exploitation de Meltdown et de Spectre

Des deux attaques, celle exploitant la technique Meltdown a le plus de chances de réussir. Elle permet d’autoriser un processus utilisateur, choisi par le pirate, à lire la mémoire du kernel et à exfiltrer des mots de passe, des clés de chiffrement et d’autres données privées. Pour autant, Spectre n’est pas non plus inoffensive.

 

Comme Meltdown, une attaque exploitant la méthode Spectre peut rendre disponibles des éléments de la mémoire du kernel à des processus utilisateurs en profitant d’une latence causée par un contrôle de validité lors d’un appel d’accès à la mémoire.

 

Toutefois, contrairement à Meltdown – qui nécessiterait qu’un malware soit exécuté sur l’appareil pour être exploitée – Spectre pourrait être exploitée en JavaScript dans un navigateur Internet.

 

Comment se protéger contre les attaques potentielles

Depuis la découverte de ces vulnérabilités, les géants de la technologie Intel, Microsoft, Apple et Google, ainsi que les développeurs de Linux, se sont empressés de déployer des correctifs – ou, au moins, de publier des articles dans leur base de connaissance comportant des instructions visant à atténuer les risques et à se tenir au courant des mises à jour.

 

Les versions 4.14.11, 4.9.74, 4.4.109, 3.16.52, 3.18.91 et 3.2.97 du kernel Linux peuvent être corrigées grâce à une courte visite sur le site Kernel.org.

 

Les utilisateurs d’Apple doivent savoir qu’iOS 11.2, macOS 10.13.2, tvOS 11.2 et watchOS ne requièrent pas de mesures d’atténuation pour Meltdown. En revanche, la technique Spectre affecte tous les produits Mac et iOS et nécessitera des correctifs. L’entreprise, basée à Cupertino, promet de « les publier dans les mises à jour à venir d’iOS, de macOS, de tvOS et de watchOS ».

 

Le populaire navigateur Internet Firefox a déjà bénéficié de correctifs contre Spectre et Meltdown. La version 57.0.4 de Mozilla Firefox inclut des mesures d’atténuation pour les deux vulnérabilités.

 

Google a promis un correctif pour les utilisateurs de Chrome plus tard dans le mois, dans le cadre du déploiement prévu de Chrome 64.

 

En ce qui concerne l’écosystème Microsoft / Windows, les choses sont un peu plus compliquées – en particulier si les utilisateurs utilisent un produit antivirus.

 

Des mises à jour système en attente d’une validation de la compatibilité

Les correctifs pour cette vulnérabilité publiés par les mainteneurs de systèmes d’exploitation apportent des changements fondamentaux à la manière dont fonctionne le kernel du système d’exploitation. En raison de la nature des correctifs d’urgence décrits dans Advisory ADV180002 et des changements mis en œuvre, les éditeurs de produits antimalware (qui interagissent avec le système d’exploitation à un niveau extrêmement complexe et imbriqué) n’ont pas eu le temps de valider la compatibilité de leurs solutions de sécurité avec la nouvelle mise à jour lors de la prépublication.

 

Par conséquent, Microsoft a ajouté un mécanisme de report de mise à jour qui permet aux éditeurs de produits antimalware de prendre le contrôle du processus de mise à jour. Afin que la mise à jour soit téléchargée et déployée, la solution antivirus doit créer une clé de registre spécifique après que sa compatibilité avec la mise à jour a été certifiée.

 

Bitdefender déploie d’importants efforts de validation technique sur l’ensemble des plateformes mises à jour avant de publier la mise à jour finale qui permettra l’installation du correctif. Nous avons également créé deux entrées dans notre base de connaissance pour les produits professionnels et grand public qui seront actualisées avec les dates de publication et les versions des produits Bitdefender à mesure que leur compatibilité sera validée.