Les révélations massives de Spectre/Meltdown l'ouverture de 2018 ont secoué le monde de l'informatique. Bien que les vulnérabilités soient désormais fermement exclues du cycle principal de l'actualité, cela est sur le point de changer. Les chercheurs en sécurité ont découvert huit nouvelles vulnérabilités de type Spectre affectant les processeurs Intel, propulsant Spectre à nouveau sous les projecteurs de la sécurité.
Jetons un coup d'œil aux nouvelles vulnérabilités de Spectre, en quoi elles diffèrent des problèmes existants et ce que vous pouvez faire, le cas échéant.
La publication allemande Heise rapporte que des chercheurs en sécurité ont découvert huit nouvelles vulnérabilités dans les processeurs Intel. Les nouvelles vulnérabilités, baptisées "Spectre Next Generation" (ou Spectre-NG) confirment les failles fondamentales de tous les processeurs modernes. Heise affirme qu'Intel a classé quatre des nouvelles vulnérabilités comme "à haut risque", tandis que les quatre autres sont classées comme "moyennes".
À l'heure actuelle, on pense que les vulnérabilités Spectre-NG présentent un risque et une chance d'attaque similaires à ceux du Spectre d'origine. Il y a cependant une exception à cela.
L'un des nouveaux exploits de Spectre-NG simplifie un vecteur d'attaque "à tel point que nous estimons que le potentiel de menace est nettement plus élevé qu'avec Spectre". Un attaquant peut lancer un code d'exploitation dans une machine virtuelle et attaquer directement la machine hôte depuis la VM. L'exemple donné est un serveur d'hébergement cloud. La machine virtuelle pourrait être utilisée pour attaquer les machines virtuelles d'autres clients dans la recherche de mots de passe et d'autres informations d'identification sensibles.
Tout comme Spectre/Meltdown, Project Zero de Google a d'abord découvert Spectre-NG. Project Zero est la tentative de Google de trouver et de divulguer de manière responsable les vulnérabilités du jour zéro devant des individus malveillants. Le fait qu'ils aient trouvé au moins l'une des nouvelles failles de Spectre-NG signifie qu'il pourrait bien y avoir des correctifs de sécurité dans un proche avenir, car l'équipe de Project Zero est réputée pour respecter le délai de divulgation de 90 jours. (Le délai de 90 jours est destiné à donner à une entreprise suffisamment de temps pour résoudre les problèmes.)
Mais après cette date, l'équipe de Project Zero publiera les détails de la vulnérabilité, même sans correctif fonctionnel.
Malheureusement, il n'y a pas de calendrier précis pour savoir quand votre système recevra un correctif de sécurité pour Spectre-NG. Étant donné que cette vulnérabilité est a) complètement nouvelle et b) difficile à exploiter, les ingénieurs prendront un certain temps pour s'assurer que les correctifs résolvent le problème.
En fait, Intel aurait demandé aux chercheurs une préparation supplémentaire de 14 jours avant de divulguer les failles. Cependant, l'équipe de recherche a poursuivi son calendrier de divulgation. Intel devait publier un correctif le 7 ème Mai. Cependant, la période supplémentaire de 14 jours, amenant le patch au 21 er May semble également sur le point de tomber au bord du chemin. Mais compte tenu de leur demande de délai supplémentaire, les clients d'Intel devraient s'attendre à un correctif sous peu.
La portée de Spectre-NG (et de Spectre/Meltdown avant cela) rend difficile la correction de la vulnérabilité.
La précédente série de correctifs pour Spectre n'a pas rencontré les éloges universels. Lorsque les correctifs Spectre ont commencé à être déployés, les utilisateurs ont remarqué des problèmes avec leurs systèmes. Des problèmes, des bogues nouvellement créés, des vitesses d'horloge CPU plus lentes et plus encore ont tous été signalés. Ainsi, certaines entreprises ont retiré leurs correctifs jusqu'à ce qu'ils puissent être optimisés. Mais avec un si grand nombre de processeurs vulnérables, fournir un seul pansement était hautement improbable. Surtout à la première tentative.
D'autres entreprises ont adopté une approche différente. Par exemple, Microsoft offre désormais jusqu'à 250 000 $ dans son programme de primes de bogues pour les failles de Spectre.
L'une des grâces salvatrices de la première série de vulnérabilités Spectre était l'extrême difficulté d'utiliser avec succès l'un des exploits contre une cible. L'attaquant moyen ne serait pas en mesure d'utiliser Spectre (ou Meltdown) en raison de la quantité écrasante de connaissances requises. Malheureusement, cet exploit particulier de Spectre-NG semble plus facile à mettre en œuvre --- même si ce n'est toujours pas une tâche facile, par un effort d'imagination.
Le simple fait est qu'il existe d'autres voies exploitables beaucoup plus faciles à la disposition d'un attaquant. Ou du moins le type d'attaque en ligne que la majorité d'entre nous rencontreraient au quotidien.
Pourtant, cela ne doit pas diminuer du fait que la grande majorité des processeurs dans le monde ont une forme de vulnérabilité Spectre/Meltdown ou Spectre-NG. La première série de plaques est la pointe d'un iceberg d'une profondeur insondable. Des patchs sont évidemment nécessaires. Mais un flot incessant de patchs aux résultats parfois imprévisibles ? Cela ne suffira pas.
L'outil InSpectre:Check Spectre and Meltdown Protection est un moyen rapide de savoir si votre système est vulnérable. Suivez le lien ci-dessus et téléchargez l'outil. Ensuite, exécutez l'outil et vérifiez votre niveau de protection. Comme vous pouvez le voir ci-dessous, mon ordinateur portable dispose d'une protection Meltdown mais est vulnérable à Spectre.
Vous pouvez faire défiler vers le bas pour en savoir plus sur la situation de sécurité de votre PC et ce que Spectre/Meltdown signifie.
Au moment de la rédaction de cet article, d'autres recherches sur les processeurs AMD sont en cours. Il n'y a pas de réponse définitive. La conjecture générale semble pencher pour que les processeurs AMD ne soient pas affectés par cet ensemble particulier de vulnérabilités. Mais encore une fois, ce n'est pas une réponse définitive.
On pensait que la précédente série de vulnérabilités était passée par AMD, seulement pour que le fabricant du processeur réalise plus tard que le contraire est vrai. Alors, maintenant; bien sûr, tu vas bien. Mais dans une semaine, après des tests plus conséquents ? Vous pourriez également découvrir que votre système AMD est vulnérable.
L'ensemble de vulnérabilités Spectre-NG s'ajoute à la liste des vulnérabilités inquiétantes au niveau du processeur. Intel a-t-il besoin de les réparer ? Bien sûr, sans aucun doute. Intel peut-il les réparer sans repenser l'architecture de son processeur ? C'est la question la plus difficile à répondre. Le consensus est que non, Intel ne peut pas complètement éradiquer la vulnérabilité Spectre sans modifier de manière significative la conception de son processeur.
Après tout, ce n'est pas comme si Intel pouvait rappeler et réparer manuellement les milliards de processeurs en circulation. En cela, Spectre continuera à occuper une place importante, même s'il est difficile à exploiter.