[MIS À JOUR Lundi 8 janvier avec les correctifs Apple contre Spectre, compatibilité antivirus.]
Les trois gros bogues dans les puces Intel, AMD et ARM divulgués mercredi dernier (3 janvier) sont assez effrayants, car ils pourraient laisser des logiciels malveillants ou d'autres intrus voler des données du cœur du système d'exploitation (pour les systèmes basés sur Intel) ou d'autres applications (pour tous les appareils). Vous pouvez prendre quelques mesures pour résoudre ou atténuer ces problèmes, mais vous devez également savoir certaines choses.
1) Aucune de ces vulnérabilités n'a encore été exploitée dans la nature, alors ne paniquez pas. Au moment d'écrire ces lignes, aucun logiciel malveillant ne les utilise activement pour attaquer des ordinateurs ou des smartphones. Les attaques « Spectre » et « Meltdown » dont vous entendez parler sont des exercices académiques pour prouver que les vulnérabilités existent et que la manière dont ces attaques fonctionnent n'a pas été entièrement divulguée.
2) Avant de patcher votre système, assurez-vous que votre ordinateur ou smartphone exécute un logiciel antivirus, si possible (désolé, utilisateurs d'iPhone) et que vos navigateurs Web sont entièrement à jour, avec les plugins Java et Flash désactivés.
L'attaque Meltdown basée sur l'une des failles ne peut fonctionner que localement - c'est-à-dire que l'attaque doit provenir de la machine ciblée. Cela signifie qu'il doit d'abord accéder à la machine, et le meilleur moyen d'y accéder consiste à utiliser des formes régulières de logiciels malveillants sur Internet, que le logiciel antivirus bloquera. (Il existe des problèmes de compatibilité avec certains types de logiciels antivirus Windows. Voir ci-dessous.)
Les attaques Spectre peuvent fonctionner à la fois localement et via un JavaScript malveillant dans un navigateur Web, qui est techniquement local mais offre une surface d'attaque beaucoup plus grande. Un logiciel antivirus peut bloquer les charges utiles de certaines attaques basées sur JavaScript, mais l'implémentation de JavaScript dans les navigateurs modernes devra être mise à jour pour empêcher toutes les attaques Spectre. (Les navigateurs Edge et Internet Explorer 11 de Microsoft devraient pouvoir être utilisés en toute sécurité après avoir appliqué la mise à jour Windows de cette semaine, et la version actuelle de Firefox se mettra automatiquement à jour.)
PLUS : Comment protéger votre identité, vos données personnelles et vos biens
3) Sur les trois failles, la première n'affecte que les puces Intel, les puces mobiles Apple et au moins une puce ARM. Malheureusement, cela inclut tous les processeurs Intel fabriqués depuis 1995, à l'exception des puces Atom avant 2013 et des puces Itanium.
Meltdown affecte également la gamme A7-à-A11 ("Bionic") d'Apple de systèmes mobiles sur puce utilisés sur les iPhones, iPads et iPod Touches ces dernières années. Le chipset ARM Cortex-A75 est également concerné, qui sera utilisé dans le prochain système sur puce Qualcomm Snapdragon 845 pour les téléphones phares Android de la prochaine génération.
L'attaque Meltdown qui exploite cette faille permet aux applications basées sur l'utilisateur de lire la mémoire du noyau, et donc tout processus protégé sur la machine. Vos secrets - mots de passe, numéros de carte de crédit, documents sensibles - ne sont plus en sécurité.
Les deux autres failles sont liées et permettent aux applications basées sur l'utilisateur de lire la mémoire de l'autre. Encore une fois, vos secrets ne sont plus en sécurité, mais l'attaque Spectre liée à ces défauts est plus difficile à réaliser que l'attaque Meltdown. Malheureusement, ces défauts sont également plus difficiles à corriger et peuvent forcer la refonte des puces à l'avenir. Les failles affectent certaines puces AMD et de nombreuses puces ARM ainsi que la plupart des puces Intel.
4) Il a été rapporté que l'application de ces correctifs ralentirait considérablement votre machine. C'est surtout infondé. Les processus qui se produisent principalement dans les applications ou s'appuient fortement sur les cartes graphiques - comme les jeux - ne seront pas affectés. Ce qui ralentira, ce sont les processus qui s'appuient fortement sur le noyau, comme les tests de performances artificiels.
5) Il a été rapporté que l'application de la mise à jour Windows pouvait bloquer les ordinateurs avec des processeurs AMD Athlon II plus anciens. Si vous disposez d'un tel processeur, n'appliquez pas les mises à jour et désactivez les "Mises à jour automatiques" dans vos paramètres Windows.
6) Il a été rapporté que le correctif Meltdown était appelé dans les cercles de développeurs "Démapper avec force le noyau complet avec des trampolines d'interruption", ou F *** WIT. Nous pouvons confirmer que cela est vrai.
Maintenant que c'est terminé, la chose la plus importante que vous puissiez faire pour vous protéger contre les attaques Meltdown et Spectre est d'appliquer des correctifs logiciels et micrologiciels, qui sont toujours en cours de déploiement. Voici ce qui est disponible jusqu'à présent :
Microsoft : Les correctifs pour Windows 7, Windows 8.1 et Windows 10 ont été publiés mercredi soir dernier.
Mais tiens bon ! Il s'avère que les correctifs sont incompatibles avec de nombreux produits antivirus. Les interactions négatives peuvent provoquer une erreur « stop », c'est-à-dire un écran bleu de la mort. Microsoft a demandé aux fabricants d'antivirus d'inclure une modification du registre Windows avec leurs mises à jour pour certifier que le logiciel est compatible. Sans cette clé de registre, la mise à jour ne sera même pas téléchargée.
Dans son infinie sagesse, Microsoft n'a pas précisé quels produits audiovisuels sont compatibles et non compatibles. Si Windows Update ne récupère pas les mises à jour pour votre machine, vous êtes censé supposer que votre logiciel AV peut être incompatible.
Nous devons remercier le chercheur en sécurité Kevin Beaumont pour avoir créé une feuille de calcul en ligne constamment mise à jour répertoriant les compatibilités des logiciels AV avec les correctifs Windows.
Lundi, Beaumont a déclaré que la plupart des fabricants d'antivirus grand public avaient mis à jour leur logiciel pour être à la fois compatible avec les mises à jour et effectuer la mise à jour du registre requise pour que tout se passe bien. La plupart des fabricants d'antivirus pour terminaux d'entreprise avaient également rendu leur logiciel compatible, mais laissaient le soin au personnel informatique d'effectuer les réglages du registre.
Si vous êtes à la fois impatient et vraiment confiant dans vos compétences techniques, vous pouvez mettre à jour manuellement votre registre pour faire fonctionner un logiciel compatible qui ne met pas à jour le registre. (Nous vous recommandons d'attendre.)
Il y a un autre problème : la mise à jour de Windows ne met pas à jour le micrologiciel de votre processeur, qui a également besoin d'un correctif pour résoudre complètement ces problèmes. Vous devrez attendre que Lenovo, Dell, HP ou quiconque a fabriqué votre ordinateur portable ou votre PC pour publier un correctif de micrologiciel. Les utilisateurs de Microsoft Surface, Surface Pro et Surface Book reçoivent maintenant cette mise à jour du micrologiciel.
Android: Le correctif de sécurité de janvier que Google a diffusé sur ses propres appareils Android le mardi 2 janvier corrige les failles des appareils concernés. Les propriétaires d'appareils autres que Google devront attendre un certain temps avant que les correctifs n'apparaissent sur leurs téléphones ou tablettes, et certains appareils Android n'obtiendront jamais les correctifs. Assurez-vous que vous exécutez des applications antivirus Android et désactivez « Sources inconnues » dans vos paramètres de sécurité.
macOS : Après 24 heures de silence radio, Apple a confirmé jeudi que les Mac avaient été corrigés contre Meltdown en décembre avec la mise à jour macOS High Sierra 10.13.2 et les correctifs correspondants pour Sierra et El Capitan. Si vous n'avez pas encore appliqué cette mise à jour, cliquez sur l'icône Apple dans le coin supérieur gauche, sélectionnez App Store, cliquez sur Mises à jour et sélectionnez la mise à jour macOS.
En ce qui concerne Spectre, Apple a livré une mise à jour pour macOS High Sierra le lundi 8 janvier.
iOS : Comme prévu, Apple a confirmé que les iPhones et iPads étaient vulnérables aux attaques Spectre. La surprise était qu'ils étaient également vulnérables à Meltdown. (Cela peut être dû au fait que la puce A7 et ses descendants sont en partie basés sur des puces Intel.) Comme pour les Mac, le problème Meltdown a été corrigé en décembre, dans ce cas avec iOS 11.2, qui peut être installé en ouvrant Paramètres, en appuyant sur Général et en appuyant sur Mise à jour logicielle.
Quant à Spectre, qui peut être déclenché par du JavaScript malveillant dans un navigateur Web, Apple a publié des mises à jour pour iOS le lundi 8 janvier.
Linux : Les développeurs Linux travaillent sur ces correctifs depuis des mois et de nombreuses distributions ont déjà des correctifs disponibles. Comme d'habitude, les mises à jour dépendent de votre distribution. Les PC Linux devront probablement également mettre à jour le micrologiciel du processeur; consultez le site Web de celui qui a fabriqué la carte mère de votre système.
Chrome OS : Cela a été corrigé avec Chrome OS version 63 le 15 décembre.
Navigateur Google Chrome : Cela sera corrigé sur toutes les plates-formes avec Chrome 64 le 23 janvier. Si vous êtes inquiet, vous pouvez activer une fonctionnalité facultative sur les navigateurs de bureau et Android Chrome appelée Isolation de site, ce qui peut augmenter l'utilisation de la mémoire. (L'isolation du site est activée par défaut dans ChromeOS.)
Navigateur Mozilla Firefox : Le nouveau navigateur Firefox "Quantum" a été mis à jour vers 57.0.4 pour empêcher les attaques Spectre. Les mises à jour devraient se produire automatiquement. Firefox 52, une version à support étendu du navigateur précédent qui est compatible avec les anciens modules complémentaires et extensions de Firefox, est déjà partiellement protégé contre Spectre.
Navigateurs Microsoft Internet Explorer 11 et Microsoft Edge : Patché avec les mises à jour Microsoft mentionnées ci-dessus.
Navigateur Apple Safari : Apple a corrigé les versions iOS et macOS de Safari avec les mises à jour du 8 janvier mentionnées ci-dessus, et Safari sur macOS Sierra et OS X El Capitan le même jour.
Intel : Encore une fois, toutes les puces Intel fabriquées depuis 1995, à l'exception des puces Itanium et Atom antérieures à 2013, sont vulnérables. Intel élabore un micrologiciel qui sera transmis aux fabricants d'appareils, puis aux utilisateurs finaux.
DMLA : AMD a d'abord déclaré mercredi qu'il n'était pas affecté, mais a ensuite fait marche arrière après que Google a montré que certaines puces étaient vulnérables aux attaques Spectre. Dans une déclaration publiée, AMD indique que le problème sera "résolu par les mises à jour du logiciel/du système d'exploitation qui seront mises à disposition par les fournisseurs et les fabricants de systèmes".
BRAS: Les puces Cortex-A75, pas encore disponibles publiquement, sont vulnérables aux attaques Spectre et Meltdown. Les autres puces Cortex répertoriées dans cette publication ARM ne sont vulnérables qu'aux attaques Spectre. (Encore une fois, attendez la mise à jour de Windows sur les processeurs Athlon II jusqu'à ce que Microsoft découvre ce qui bloque certaines de ces machines.)
Nvidia : La société a publié une déclaration : « Nous pensons que notre matériel GPU est à l'abri du problème de sécurité signalé et mettons à jour nos pilotes GPU pour aider à atténuer le problème de sécurité du processeur. Quant à nos SoC avec processeurs ARM, nous les avons analysés pour déterminer lesquels sont affectés. et préparent des mesures d'atténuation appropriées."
Crédit image: Shutterstock
- Guide d'achat de logiciels antivirus
- Protégez votre ordinateur avec cette astuce simple
- Comment mettre à jour le micrologiciel de votre routeur