Sécurité informatique : Meltdown et Spectre

Depuis le 4 janvier 2018 la plupart des opérateurs, manufacturiers et acteurs de matériel informatique ont sonné l'alarme concernant de nouvelles vulnérabilités matérielles touchant l'ensemble du parc informatique mondial. Pourtant, l'alerte a été donnée bien avant, en novembre par le manufacturier Intel lui-même !

Meltdown + Spectre

D'importantes failles de sécurité font l'objet de communications sur les réseaux et les médias professionnels.

Ces failles impactent les processeurs des marques Intel, AMD et ARM autant sur les postes utilisateurs, que les serveurs. Elles permettent à un attaquant de lire l'intégralité de la mémoire vive d'une machine ouvrant la voie à des vols de données sensibles (mots de passe, clés de chiffrage, données personnelles, bancaires...).

Pour Intel, cela concerne le Management Engine System. Il s'agit d'un système d'exploitation Minix complet (bien que très compact en taille).
8 vulnérabilités critiques ont été découvertes depuis les annonces d'Intel et des évènements de type BlackHat Europe 2017 (4,5,6,7 Décembre 2017 à Londres), parmi lequel une présentation a été faite sur "How to Hack a Turned-Off Computer or Running Unsigned Code in Intel Management Engine"

Le document complet est disponible au format PDF ici [EN] : https://www.blackhat.com/docs/eu-17/materials/eu-17-Goryachy-How-To-Hack-A-Turned-Off-Computer-Or-Running-Unsigned-Code-In-Intel-Management-Engine.pdf

Au vu de la criticité de ces vulnérabilités, il est crucial de procéder à l'application de correctifs en masse sur les infrastructures.

Ces correctifs constituant un contournement logiciel à un problème matériel, ils auront un impact non négligeable sur la charge processeur des systèmes informatiques.

Parmi lesquels :

différents hyperviseurs :

  • VmWare,
  • HyperV,
  • Xen,
  • OVM

et différents OS serveur :

  • Windows,
  • Debian,
  • Redhat,
  • etc

À ce jour, tous les éditeurs (hyperviseur et OS) n'ont pas encore communiqué leur correctif ou les dates de leurs mises à disposition.

Pour plus d'information sur ces vulnérabilités :
Meltdown and Spectre
https://meltdownattack.com/
Reading privileged memory with a side-channel
https://googleprojectzero.blogspot.ca/2018/01/reading-privileged-memory-with-side.html
 
Cela affecte la majorité des appareils des dernières 20 années (ordinateurs, serveurs,
mobiles..). Près de 90% de l'Internet est affecté!

Ordibug vous recommande fortement de vous renseigner régulièrement sur le niveau de mise à jour de vos applicatifs, mis en place par vos équipes de développement et/ou vos partenaires.

Comment tester si son ordinateur comporte un processeur à risque ?

Le fabricant Intel a mis à disposition un outil à télécharger et à exécuter. Ce petit fichier exécutable vous livre alors les résultats de son diagnostic. Ci-dessous : une bonne nouvelle : le PC ne présente pas de risque pour les vulnérabilités Spectre et Meltdown !

Based on the analysis performed by this tool: This system is not vulnerable. It has already been patched.

For more information refer to the INTEL-SA-00086 Detection Tool Guide or the

  Intel Security Advisory Intel-SA-00086 at the following link:

  https://www.intel.com/sa-00086-support

Lien (FR) :
https://www.intel.fr/content/www/fr/fr/support/articles/000025619/software.html

Communiqué officiel :

https://www.ssi.gouv.fr/actualite/alerte-multiples-vulnerabilites-dans-des-processeurs-comprendre-meltdown-et-spectre-et-leur-impact/

Comment les hébergeurs internet réagissent et se saisissent du problème ?

Malheureusement, près de deux mois après les premières annonces, les temps de réaction sont très variables... Quelques hébergeurs web ont pris le problème à cœur, parmi lesquels OVH et Gandi :

https://www.ovh.com/fr/blog/vulnerabilites-meltdown-spectre-cpu-x86-64-ovh-pleinement-mobilise/

https://news.gandi.net/fr/2018/01/vulnerabilites-meltdown-et-spectre/

Espérons que les autres vont suivre ! Si vous trouvez des informations sur les processus et correctifs mis en place, merci de les ajouter dans les commentaires ci-après :-)

Guide Windows 7 et Facebook

Ce véritable manuel d'utilisation pèse 21,9 MB et se télécharge depuis la page protuts.net/ebook-windows-7-guide-ultime-optimisation-personnalisation-securite-reseau/

Cet ebook ne se destine pas spécialement aux geeks et aux seuls experts en informatique. Il explique très simplement, avec de nombreuses copies d'écran, les opération simples à effectuer pour obtenir le résultat voulu. Alors que de nombreux passages concernent la personnalisation de l'apparence graphique (désactiver les ombres portées, grossir la taille des polices du texte, remettre le menu classique windows, etc), Ordi Bug a trouvé son bonheur dans les tutoriels permettant de gagner du temps, comme le montre cet extrait du guide PDF :

ebook PROTUTS.NET

Légende : Restaurer les dernières fenêtres ouvertes de l'explorateur Windows à l'ouverture de session. Copyright Protuts.net

De nombreuses autres ressources sont également proposées sur le site Protuts, à l'instar de packs pour windows vista, windows seven, wallpapers et thèmes graphiques...

Gageons que ce site de tutoriels pour PC Windows, Mac OS X Lion et Linux Ubuntu deviendra vite un de vos bookmarks favori ;-)

Ordi Bug remercie vivement Benjamin Denis pour le travail effectué.

Lire la suite

Que faire de son vieux PC ?

Quel professionnel de l'informatique ou d'internet ne dispose pas d'un arsenal antique de supercalculateurs électroniques, appelés aussi ordinateurs ou micro-ordinateurs ? Certains débutent ainsi une belle collection, d'autres les stockent parce qu'ils le peuvent (et ainsi repousser aux calendes grecques l'échéance du nettoyage par le vide via la déchetterie - ceux-là doivent composer avec leur procrastination [1]), d'autres enfin s'en débarrassent comme ils peuvent (amis, famille, trottoir...), et les derniers entretiennent l'espoir que ce matériel obsolète puisse "servir un jour". [1] Voir à ce sujet des articles sur des professionnels de l'accompagnement de la gestion du temps et de l'organisation.

 

Lire la suite

Haut de page