Des failles de sécurité majeures existent sur les processeurs Intel, AMD et ARM - AvisExpert.net

Bonne année! Trois failles de sécurité massives dans Intel, AMD, ARM et d'autres processeurs ont été divulguées mercredi (3 janvier). Microsoft a publié un correctif d'urgence pour toutes les versions prises en charge de Windows, y compris Windows 7, Windows 8.1 et Windows 10, mais a ajouté que les utilisateurs doivent également appliquer les mises à jour du micrologiciel lorsqu'elles sont disponibles auprès des fabricants d'appareils. Google a corrigé la faille dans Android avec la mise à jour de janvier 2022-2023, publiée mardi 2 janvier, bien que seuls les appareils gérés par Google l'aient pour le moment. Les correctifs pour macOS, iOS et Linux peuvent ne pas encore être entièrement disponibles.

Deux attaques de preuve de concept, baptisées "Meltdown" et "Spectre", exploitent ces trois failles, qui concernent la façon dont les processeurs informatiques modernes gèrent la mémoire en cours d'exécution des applications et le système central, ou noyau, sur les systèmes d'exploitation actuels.

"Meltdown et Spectre fonctionnent sur les ordinateurs personnels, les appareils mobiles et dans le cloud", disent les sites Web consacrés à chaque faille, qui ont un contenu identique. « Selon l'infrastructure du fournisseur de cloud, il peut être possible de voler des données à d'autres clients. »

Un article de blog de Google a expliqué que les failles ont permis qu'"une partie non autorisée puisse lire des informations sensibles dans la mémoire du système telles que des mots de passe, des clés de cryptage ou des informations sensibles ouvertes dans des applications".

Meltdown efface les frontières entre les processus du noyau et les processus utilisateurs et semble se limiter aux puces Intel. Spectre vole les données des applications en cours d'exécution et fonctionne également sur les puces AMD et ARM. Les sites Web Spectre et Meltdown n'ont pas détaillé comment les différents chipsets utilisés sur les appareils mobiles ont été affectés.

AMD, cependant, a nié avoir été affecté par l'un des défauts.

"AMD n'est pas sensible aux trois variantes", a déclaré la société à CNBC. "En raison des différences dans l'architecture d'AMD, nous pensons qu'il existe actuellement un risque quasi nul pour les processeurs AMD."

Que faire

Si vous utilisez Windows 7, 8.1 ou 10, vous devez appliquer la mise à jour de sécurité Windows publiée aujourd'hui. Les premières versions des correctifs ont été envoyées aux utilisateurs de Windows Insider en novembre et décembre.

"Nous sommes en train de déployer des atténuations sur les services cloud et publions aujourd'hui des mises à jour de sécurité pour protéger les clients Windows contre les vulnérabilités affectant les puces matérielles prises en charge par AMD, ARM et Intel", a déclaré en partie une déclaration de Microsoft. "Nous n'avons reçu aucune information indiquant que ces vulnérabilités avaient été utilisées pour attaquer nos clients."

Cependant, il y a quelques captures. Tout d'abord, à moins que vous n'utilisiez un ordinateur portable ou une tablette fourni par Microsoft, comme une Surface, une Surface Pro ou une Surface Book, vous devrez également appliquer une mise à jour du micrologiciel du fabricant de votre ordinateur.

"Les clients qui n'installent que les mises à jour de sécurité Windows de janvier 2022-2023 ne bénéficieront pas de toutes les protections connues contre les vulnérabilités", a déclaré un document de support Microsoft publié en ligne. "En plus d'installer les mises à jour de sécurité de janvier, une mise à jour du microcode ou du micrologiciel du processeur est requise. Cela devrait être disponible auprès du fabricant de votre appareil. Les clients Surface recevront une mise à jour du microcode via la mise à jour Windows."

Deuxièmement, Microsoft insiste pour que les clients s'assurent d'avoir un logiciel antivirus « pris en charge » en cours d'exécution avant d'appliquer le correctif. Dans un document séparé expliquant le nouveau correctif de sécurité, Microsoft indique que seules les machines exécutant un tel logiciel obtiendront automatiquement le correctif.

On ne sait pas exactement ce que Microsoft entend par logiciel antivirus « pris en charge », ou pourquoi Microsoft insiste sur le fait qu'un tel logiciel doit être installé sur la machine avant l'application du correctif. Il y a un lien vers un document qui est censé expliquer tout cela, mais au moment de la rédaction de cet article mercredi soir, le lien n'allait nulle part.

Enfin, Microsoft admet qu'il existe des "impacts potentiels sur les performances" associés aux correctifs. En d'autres termes, après avoir appliqué les correctifs, votre machine peut fonctionner plus lentement.

"Pour la plupart des appareils grand public, l'impact peut ne pas être perceptible", indique l'avis. "Cependant, l'impact spécifique varie selon la génération de matériel et la mise en œuvre par le fabricant de puces."

Pour exécuter manuellement Windows Update, cliquez sur le bouton Démarrer, cliquez sur l'icône d'engrenage Paramètres, cliquez sur Mises à jour et sécurité et cliquez sur Rechercher les mises à jour.

Les utilisateurs Apple doivent installer les futures mises à jour en cliquant sur l'icône Apple, en sélectionnant App Store, en cliquant sur Mises à jour et en cliquant sur Mettre à jour à côté de tout élément d'Apple. Il y avait un rapport non confirmé sur Twitter selon lequel Apple avait déjà corrigé les failles avec macOS 10.13.2 début décembre, mais les numéros d'identification de vulnérabilité (CVE) couverts dans les correctifs Apple de décembre ne correspondent pas à ceux attribués à Meltdown et Spectre.

Les machines Linux auront également besoin de correctifs, et il semble que quelque chose soit presque prêt. Comme mentionné ci-dessus, le correctif de sécurité Android de janvier 2022-2023 corrige la faille, bien que seul un petit pourcentage d'appareils Android le reçoivent pour le moment. (On ne sait pas combien d'appareils Android sont susceptibles.)

Comment fonctionnent les attaques

L'attaque Meltdown, qui, à la connaissance des chercheurs, n'affecte que les puces Intel développées depuis 1995 (à l'exception de la gamme Itanium et de la gamme Atom antérieure à 2013), permet aux programmes réguliers d'accéder aux informations système censées être protégées. Ces informations sont stockées dans le noyau, le centre profondément en retrait du système que les opérations des utilisateurs ne sont jamais censées approcher.

"Meltdown brise l'isolement le plus fondamental entre les applications utilisateur et le système d'exploitation", ont expliqué les sites Web Meltdown et Spectre. "Cette attaque permet à un programme d'accéder à la mémoire, et donc aussi aux secrets, d'autres programmes et du système d'exploitation."

"Si votre ordinateur est doté d'un processeur vulnérable et exécute un système d'exploitation non corrigé, il n'est pas sûr de travailler avec des informations sensibles sans risque de fuite d'informations."

Meltdown a été nommé ainsi car il "fait fondre les limites de sécurité qui sont normalement appliquées par le matériel".

Pour corriger la faille associée, la mémoire du noyau devrait être encore plus isolée des processus utilisateur, mais il y a un hic. Il semble que la faille existe en partie parce que le partage de la mémoire entre le noyau et les processus utilisateur permet aux systèmes de fonctionner plus rapidement, et l'arrêt de ce partage pourrait réduire les performances du processeur.

Certains rapports ont indiqué que les correctifs pourraient ralentir les systèmes jusqu'à 30%. Nos collègues de Tom's Hardware pensent que l'impact sur les performances du système serait bien moindre.

Spectre, d'autre part, est universel et "brise l'isolement entre les différentes applications", ont déclaré les sites Web. "Cela permet à un attaquant de tromper des programmes sans erreur, qui suivent les meilleures pratiques, en leur faisant divulguer leurs secrets. En fait, les contrôles de sécurité desdites meilleures pratiques augmentent en fait la surface d'attaque et peuvent rendre les applications plus sensibles à Spectre."

"Tous les processeurs modernes capables de garder de nombreuses instructions en vol sont potentiellement vulnérables" pour Spectre. "En particulier, nous avons vérifié Spectre sur les processeurs Intel, AMD et ARM."

Les sites expliquent ensuite que la détection de telles attaques serait presque impossible et qu'un logiciel antivirus ne pouvait détecter que les logiciels malveillants entrés dans le système avant de lancer les attaques. Ils disent que Spectre est plus difficile à réaliser que Meltdown, mais qu'il n'y avait aucune preuve que des attaques similaires aient été lancées "dans la nature".

Cependant, ils ont déclaré que Spectre, ainsi appelé parce qu'il abuse de l'exécution spéculative, un processus de jeu de puces courant, "nous hantera pendant un certain temps".

L'art perdu de garder un secret

Intel, AMD et ARM ont été informés par Google de ces failles en juin 2022-2023, et toutes les parties impliquées ont essayé de garder le silence jusqu'à ce que les correctifs soient prêts la semaine prochaine. Mais les experts en sécurité de l'information qui n'étaient pas au courant du secret pouvaient dire que quelque chose de grand allait arriver.

Les discussions dans les forums de développement Linux concernaient des refontes radicales de la gestion de la mémoire du noyau par le système d'exploitation, mais aucun détail n'a été divulgué. Des personnes possédant des adresses e-mail Microsoft, Amazon et Google étaient mystérieusement impliquées. Exceptionnellement, les révisions devaient être rétroportées sur plusieurs versions antérieures de Linux, indiquant qu'un problème de sécurité majeur était en cours de résolution.

Cela a déclenché quelques jours de théories du complot sur Reddit et 4chan. Lundi 1er janvier, un blogueur se faisant appeler Python Sweetness "a relié les points invisibles" dans un long article détaillant plusieurs développements parallèles parmi les développeurs Windows et Linux concernant la gestion de la mémoire du noyau.

Tard mardi (2 janvier). Le Registre a regroupé de nombreuses informations similaires. Il a également noté qu'Amazon Web Services effectuerait la maintenance et redémarrerait ses serveurs cloud ce vendredi soir (5 janvier). et que Azure Cloud de Microsoft avait quelque chose de similaire prévu pour le 10 janvier.

Le barrage s'est rompu mercredi lorsqu'un chercheur en sécurité néerlandais a tweeté qu'il avait créé un bogue de preuve de concept qui semblait exploiter au moins l'une des failles.

À 15 heures. Mercredi EST, Intel, qui avait vu son action chuter d'environ 10 pour cent dans les échanges de ce jour-là, a publié un communiqué de presse minimisant les défauts, et son action a donc regagné du terrain. Mais la société a admis que les failles pouvaient être utilisées pour voler des données, et qu'elle et d'autres fabricants de puces travaillaient pour résoudre le problème.

"Intel et d'autres fournisseurs avaient prévu de divulguer ce problème la semaine prochaine lorsque davantage de mises à jour de logiciels et de micrologiciels seront disponibles", indique le communiqué. "Cependant, Intel fait cette déclaration aujourd'hui en raison des reportages inexacts des médias actuels."

À 17 heures, Daniel Gruss, étudiant post-doctorant en sécurité de l'information à l'Université technique de Graz en Autriche, s'est présenté pour annoncer Meltdown et Spectre. Il a déclaré à Zack Whittaker de ZDNet que "presque tous les systèmes" basés sur des puces Intel depuis 1995 étaient affectés par les défauts. Il s'est avéré que le problème était encore pire.

Gruss était l'un des sept chercheurs de Graz qui, en octobre 2022-2023, ont publié un article technique détaillant les défauts théoriques dans la façon dont Linux gérait la mémoire du noyau et a proposé un correctif. Python Sweetness, le blogueur pseudonyme mentionné au début de cette histoire, avait apparemment raison de supposer que cet article était au cœur de la faille Intel sur laquelle on travaille actuellement.

À 18 heures. EST, les sites Spectre et Meltdown ont été mis en ligne, ainsi qu'un article de blog Google détaillant les propres recherches de cette entreprise. Il s'est avéré que deux équipes avaient découvert Meltdown indépendamment et que trois équipes différentes avaient simultanément trouvé Spectre. Le Project Zero de Google et l'équipe de Gruss à Graz ont joué un rôle dans les deux.

Crédit image : Natascha Eidl/Domaine public

12 erreurs de sécurité informatique que vous faites probablement
Meilleure protection antivirus pour PC, Mac et Android
La sécurité de votre routeur pue : voici comment y remédier

Des failles de sécurité majeures existent sur les processeurs Intel, AMD et ARM - AvisExpert.net

Table des matières:

Que faire

Comment fonctionnent les attaques

L'art perdu de garder un secret

Killer Deal : 250 $ de réduction sur chaque ardoise Google Pixel - AvisExpert.net

Killer Deal: le nouveau Dell XPS 15 OLED maintenant 377 $ de rabais - AvisExpert.net

Comment utiliser votre Chromebook : conseils et procédures - AvisExpert.net

Agissez vite : MacBook 12 pouces maintenant à 300 $ de réduction - AvisExpert.net

Les MacBooks 5G devraient arriver en 2022-2023 - AvisExpert.net

Offre anticipée du Black Friday : 200 $ de réduction sur le nouveau MacBook Air - AvisExpert.net

Si vous allez dépenser 180 $ pour un sac à dos, faites-en celui-ci - AvisExpert.net

Call of Duty Modern Warfare vous coûtera 175 Go de stockage - AvisExpert.net

Microsoft Surface Laptop 3 contre MacBook Pro : quel ordinateur portable Premium gagne ? - AvisExpert.net

Examen de Microsoft Surface Pro 7 - Benchmarks et spécifications - AvisExpert.net

Le nouveau moniteur Prestige 5K de 34 pouces de MSI est le meilleur type d'overkill - AvisExpert.net

L'ordinateur portable pliable de Lenovo volera-t-il ou s'effondrera-t-il ? - AvisExpert.net

Killer Deal: Lenovo IdeaPad 330s maintenant à seulement 399 $ - AvisExpert.net

Killer Deal: MacBook Pros maintenant jusqu'à 300 $ de réduction - AvisExpert.net

Gigabyte Aero 15 Classic vs Razer Blade 15 : quel ordinateur portable de jeu RTX est le meilleur ? - AvisExpert.net