2017 a été une mauvaise année pour la sécurité en ligne. La montée des rançongiciels a dominé le début de l'année, tandis que les violations de données (y compris le tristement célèbre piratage d'Equifax) se sont poursuivies sans relâche.
Vers la fin de l'année, des rumeurs ont commencé à se répandre sur une énorme faille de sécurité avec les processeurs Intel. Alors que le soleil se levait en 2018, les chercheurs ont dévoilé un flot d'informations sur deux nouveaux exploits :Meltdown et Spectre. Les deux affectent le CPU.
Meltdown affecte principalement les processeurs Intel et est (relativement) facile à corriger. Pour ajouter de l'huile sur le feu, la réponse d'Intel à la faille a suscité de vives critiques de la part de l'industrie de la sécurité. Spectre a le potentiel d'affecter presque tous les processeurs modernes de tous les fabricants et sera le plus difficile des deux exploits à long terme. Cependant, pour avoir une idée de la gravité de ces deux défauts et de la manière dont ils vous affectent, nous devons d'abord examiner le fonctionnement d'un processeur.
L'unité centrale de traitement (CPU) est l'une des parties les plus critiques de votre ordinateur et est souvent appelée le cerveau de l'opération. Le processeur prend les instructions de votre RAM, les décode, puis exécute finalement l'action demandée. C'est ce qu'on appelle le cycle Fetch-Decode-Execute, et c'est l'épine dorsale de tous les processeurs.
En théorie, cette opération est toujours prévisible, la RAM transmettant toutes les instructions en séquence au CPU pour exécution. Cependant, les processeurs du monde réel sont plus complexes que cela, traitant souvent plusieurs instructions simultanément. Comme les processeurs sont devenus plus rapides, le principal goulot d'étranglement est la vitesse de transfert de données entre la RAM et le processeur.
Afin d'améliorer les performances, de nombreux processeurs effectueront une exécution dans le désordre lorsqu'une instruction n'a pas encore été chargée à partir de la RAM. Si le code se branche cependant, le processeur doit faire une meilleure estimation de la branche à suivre, ce qui est connu sous le nom de prédiction de branche. Le processeur peut alors aller plus loin et commencer à exécuter de manière spéculative le code prédit.
Une fois les instructions manquantes chargées, le processeur peut dérouler toute action prédictive ou spéculative comme si elle ne s'était jamais produite. Cependant, Meltdown et Spectre utilisent ces mécanismes pour exposer des données sensibles.
Meltdown est actuellement le plus controversé des deux exploits et n'affecte que les processeurs Intel (bien que certains rapports suggèrent que les processeurs AMD pourraient également être vulnérables). Le noyau est le cœur du système d'exploitation de votre ordinateur et a un contrôle total sur le système. Comme il dispose d'un contrôle aussi complet, l'accès au noyau de votre système est limité.
Cependant, l'implémentation d'Intel de l'exécution spéculative permet un accès préemptif au noyau, avant d'effectuer une vérification d'accès. Une fois la vérification terminée, l'accès spéculatif est bloqué, mais cette brève période est suffisante pour révéler les données cartographiées dans le noyau. Ces données peuvent aller des données d'application aux mots de passe et aux clés de chiffrement. L'exploit est applicable à presque tous les processeurs Intel sur presque tous les systèmes d'exploitation, y compris Linux, macOS, Windows, les environnements de virtualisation comme VMware et même les serveurs de cloud computing comme Windows Azure et Amazon Web Services (AWS).
L'exploit a été initialement découvert par Project Zero de Google à la mi-2017 et signalé indépendamment par deux autres groupes de recherche. Tous avaient divulgué la vulnérabilité aux développeurs et fabricants de matériel concernés, avant sa publication. Cela signifiait qu'au moment où l'exploit a été rendu public, AWS, Windows, macOS et Linux avaient tous reçu des mises à jour pour empêcher cette attaque.
La prévention consiste à implémenter "l'isolation de la table des pages du noyau" qui rend plus difficile l'accès au noyau. Cependant, cela signifie également que les opérations seront plus lentes et les premiers rapports suggèrent qu'il pourrait y avoir une baisse des performances de 5 à 30 % après les mises à jour.
La majeure partie de l'attention des médias s'est concentrée sur les impacts sur les performances résultant de la correction de Meltdown. Cependant, Spectre est sans doute le plus dommageable des deux exploits.
Spectre n'affecte pas seulement les processeurs Intel - il affecte presque tous les processeurs d'Intel, AMD et ARM dans tous les types d'appareils. Là où Meltdown nécessite une application malveillante pour lire la mémoire du noyau, Spectre abuse de l'exécution spéculative pour forcer d'autres applications à divulguer leurs données protégées. Les chercheurs ont pu effectuer l'attaque à la fois avec du code natif et Javascript. L'approche Javascript signifie que le sandboxing du navigateur peut être contourné, permettant à Spectre d'être lancé directement depuis votre navigateur.
Cette attaque est plus difficile à réussir, mais il est également plus difficile de se protéger contre. Les chercheurs ont même nommé l'exploit Spectre "car il n'est pas facile à réparer, [et] il nous hantera pendant un certain temps". Les correctifs logiciels pourront atténuer certaines variations de Spectre, mais il s'agit principalement d'un problème lié au matériel. La division CERT du Software Engineering Institute (SEI) basée aux États-Unis a même publié une note de vulnérabilité, indiquant que la solution consiste à "remplacer le matériel CPU vulnérable".
Il se passe à peine un jour sans qu'une nouvelle faille de sécurité, un bogue ou une violation de données ne soit découvert. Certains sont sans aucun doute plus critiques que d'autres, et Meltdown et Spectre entrent dans cette catégorie. L'impact de ces exploits est généralisé, mais la probabilité de subir l'une de ces attaques est assez faible. Cela est d'autant plus vrai que personne n'a été en mesure de trouver la preuve qu'ils ont été utilisés auparavant.
Ce qui a rendu ces deux exploits si largement rapportés, c'est la réponse du fournisseur, Intel en particulier. Alors que Microsoft, Amazon et la communauté Linux créaient frénétiquement des correctifs pour atténuer les exploits, Intel est passé sur la défensive.
Leur déclaration initiale en réponse à Meltdown et Spectre a minimisé leur gravité et a tenté d'absoudre l'entreprise de toute responsabilité. À la colère de beaucoup, ils ont déclaré que "les exploits n'ont pas le potentiel de corrompre, modifier ou supprimer des données" comme si la capacité de lire des données sensibles n'avait aucune importance. Après leur importante violation de données, Equifax a adopté une position similaire de défense de l'image. Cela les a finalement amenés à comparaître devant le Congrès.
Intel a également été puni pour son approche, son action ayant chuté de 3,5 %. Le directeur général d'Intel, Brian Krzanich, a peut-être également pris une autre feuille du livre d'Equifax. Il aurait vendu pour 25 millions de dollars d'actions Intel après avoir appris les exploits en novembre 2017.
L'essentiel de l'attention s'est porté sur Intel, mais d'autres fabricants de puces ont également fait connaître leur position. AMD affirme que ses processeurs ne sont affectés par aucun des exploits. Pendant ce temps, ARM a adopté une approche mixte, suggérant que la plupart de ses processeurs n'étaient pas affectés, mais fournissant une liste détaillée de ceux qui le sont.
S'il s'avérait que ces exploits étaient utilisés par des parties malveillantes, les dommages seraient graves. Heureusement, tout comme Heartbleed auparavant, ces attaques potentiellement dangereuses n'ont pas été vues dans la nature. Ils nécessitent également l'installation d'un logiciel malveillant sur votre ordinateur afin d'exécuter les attaques. Donc, à moins que vous n'ayez un ensemble de circonstances très spécifiques, en tant qu'utilisateur à domicile, il est peu probable que vous soyez affecté. Cependant, cela ne vaut pas la peine de prendre le risque.
Au fur et à mesure que les fournisseurs, les fabricants et les développeurs proposent des mises à jour pour atténuer les exploits, vous devez les installer. Cela ne ferait pas de mal non plus de maintenir une bonne cyber-hygiène.
Les fournisseurs de cloud sont les plus vulnérables aux attaques, car le gain potentiel est bien plus important. Avec autant de données stockées sur le cloud, les attaquants sont incités à tenter ces exploits sur les serveurs cloud. C'est un signe positif que certains des principaux fournisseurs aient déjà publié des correctifs.
Cependant, cela vous amène à vous demander à quel point le cloud computing est vraiment sécurisé. Alors que la réponse d'Intel aux exploits est décevante, la complexité des correctifs et la vitesse à laquelle ils ont été déployés par plusieurs fournisseurs sont louables et rassurantes.
Êtes-vous préoccupé par Meltdown et Spectre ? Pensez-vous que le compromis entre rapidité et sécurité est acceptable ? Qui pensez-vous est responsable des correctifs? Faites-le nous savoir dans les commentaires !
