Meltdown and Spectre: Chip hack obtient un nom, un correctif d'urgence et une déclaration officielle de Microsoft
3 minute. lis
Mis à jour le
Partagez cet article
Améliorer ce guide
Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus
L'histoire concernant la vulnérabilité massive de presque tous les PC et apparemment aussi des téléphones au cours des 20 dernières années se déroule rapidement aujourd'hui et plus de détails ont maintenant été révélés par deux chercheurs en sécurité au centre de la découverte.
Surnommée "Meltdown" et "Spectre", et dans "presque tous les systèmes", la vulnérabilité est apparemment présente depuis 1995 et permet aux pirates d'accéder aux données depuis n'importe quel emplacement de la mémoire physique d'un système.
"Un attaquant pourrait être en mesure de voler n'importe quelle donnée sur le système", a déclaré Daniel Gruss, chercheur en sécurité.
L'équipe a confirmé que non seulement les puces Intel sont affectées avec certaines mais pas toutes les puces AMD également vulnérables. AMD, cependant, a déclaré : "En raison des différences dans l'architecture d'AMD, nous pensons qu'il n'y a actuellement aucun risque pour les processeurs AMD."
ARM a ajouté que certains de ses processeurs, y compris ses puces Cortex-A, sont concernés. Les cœurs Cortex-A sont également utilisés dans la populaire série Snapdragon de Qualcomm.
En utilisant le hack Meltdown, une application non privilégiée telle que le code Javascript pourrait potentiellement lire vos mots de passe à partir de la mémoire et les exporter n'importe où sur Internet. Mozilla a confirmé que une attaque basée sur Javascript est possible et corrigent Firefox pour atténuer cela. Intel a déclaré que les attaquants ne pourront cependant pas modifier la RAM d'un PC ou d'un téléphone, limitant quelque peu les dégâts. Spectre peut cependant inciter les applications à révéler des informations.
À l'heure actuelle, le National Cyber Security Center du Royaume-Uni a déclaré qu'il n'y avait aucune preuve d'exploits malveillants dans la nature, mais compte tenu de l'étendue de la vulnérabilité, nous supposons que les pirates se précipitent pour produire du code d'exploit, avec un code de preuve de concept déjà publié sur Twitter par chercheur en sécurité Erik Bosman.
Tous les détails de la vulnérabilité sont maintenant publiés ici.
Microsoft a publié un correctif de sécurité hors bande pour résoudre le problème, déclarant dans un communiqué :
Nous sommes conscients de ce problème à l'échelle de l'industrie et avons travaillé en étroite collaboration avec les fabricants de puces pour développer et tester des mesures d'atténuation afin de protéger nos clients. Nous sommes en train de déployer des atténuations pour les services cloud et avons également publié des mises à jour de sécurité pour protéger les clients Windows contre les vulnérabilités affectant les puces matérielles prises en charge par Intel, ARM et AMD. Nous n'avons reçu aucune information indiquant que ces vulnérabilités avaient été utilisées pour attaquer nos clients.
Apple aurait corrigé la faille dans macOS 10.13.2 et des correctifs pour les systèmes Linux sont également disponibles et de nouveaux processeurs devraient être repensés pour résoudre davantage le problème.
Le correctif Windows 10 sera automatiquement appliqué à 5 h HE / 2 h PT aujourd'hui, tandis que les correctifs pour les anciennes versions de Windows seront déployés le mardi du correctif. Microsoft n'a pas précisé s'il appliquerait des correctifs à Windows XP.
Le correctif a le potentiel de ralentir les PC, mais les processeurs plus récents tels que Skylake sont moins affectés, et toutes les tâches ne sont pas également affectées, avec des tâches telles que l'accès à de nombreux petits fichiers plus affectés que la simple navigation par exemple.
Bien que la vulnérabilité ait été initialement vendue comme un problème Intel, les PC sont beaucoup plus faciles à réparer que la vaste gamme de téléphones Android qui ne reçoivent plus de mises à jour, ce qui suggère qu'en fin de compte, cela pourrait devenir un problème de téléphone pour longtemps dans le futur.
Daniel Gruss, notant à quel point les attaques Spectre sont difficiles à atténuer, a déclaré que leur problème "va nous hanter pendant des années".
