Meltdown et Spectre

Meltdown et Spectre : failles qui réchauffent l’hiver

Vous avez entendu parler de Meltdown et Spectre, deux failles qui font trembler le monde informatique ? Pas de panique ! Si vous êtes un particulier ou une entreprise, il est déjà trop tard. L’une des vulnérabilités à plus de 15 ans.

Meltdown et Spectre, kesako ? S’il fallait simple, ces deux failles visent les microprocesseurs, les composants physiques de votre ordinateur, votre smartphone, votre console. Meltdown et Spectre permettraient, pour celui qui connait la technique, d’infiltrer n’importe quel machine sous Intel. Le pirate, capable de lire les données qui transitent par les puces de votre machine. Cela vise aussi bien les machines sous Windows, Linux ou les OS d’Apple. Les processeurs AMD et ARM sont aussi concernés.

Meltdown, est une variante de Spectre qui ne touche que les puces Intel, confirme le Projet Zero, le groupe d’experts en sécurité informatique de Google.

Spectre vise l’ensemble des puces AMD et ARM. La vulnérabilité peut tromper les applications vulnérables et faire fuiter le contenu de leur mémoire. Si le premier « bug » possède un correctif, Spectre n’a pour le moment aucun correctif de disponible. Celui-ci peut être exploité via JavaScript et WebAssembly ce qui le rend encore plus critique.

Patcher, corriger… prier ?

Il est recommandé d’appliquer certaines contre-mesures comme, sous Chrome, l’isolation du site. Mozilla Firefox déploie un correctif pour atténuer le problème tout en travaillant sur une solution à long terme. Microsoft fait des choses similaires pour Edge et Internet Explorer.

Le problème principal provient donc d’un défaut de conception qui peut permettre à des attaquants de vider le contenu de la mémoire de n’importe quel périphérique (Ordinateur personnel, smartphone, serveur cloud, etc.) en exposant les mots de passe et autres données sensibles.

Deux vulnérabilités critiques

Deux vulnérabilités critiques donc, pouvant permettre à des cyber attaquants de voler des informations sensibles depuis les applications en accédant à la mémoire centrale. Les applications installées sur un appareil fonctionnent habituellement sur un « mode utilisateur », à l’écart des parties les plus sensibles du système d’exploitation. Si une application requiert l’accès à une zone sensible, par exemple le disque sous-jacent, le réseau ou l’unité de traitement, elle doit demander l’autorisation de passer en « mode protégé ».

Dans le cas de Meltdown, un attaquant pourrait accéder au « mode protégé » et à la mémoire centrale sans avoir besoin d’autorisation, supprimant ainsi cette barrière. Il pourrait alors potentiellement dérober des données mémoire d’applications actives, telles que des données provenant de gestionnaires de mots de passe, de moteurs de recherche, mails, ainsi que les photos et documents personnels.

Depuis hier, c’est peut-être déjà trop tard !

« Comme il s’agit de problèmes matériels, les réparer représente un travail important. Des Patches contre Meltdown ont été diffusés pour Linux, Windows et OS X et le travail est en cours de réalisation pour renforcer les logiciels contre les futures exploitations de Spectre. souligne Ido Naor et Jornt van der Wiel de chez Kaspersky.

Bref, il est très important que les utilisateurs installent tous les patchs disponibles sans délai. Alors que les attaquant auront besoin de temps pour trouver comment exploiter les vulnérabilités, les patchs ouvriront une petite mais fondamentale fenêtre de protection.

Je m’inquiète plus pour les nombreux ordinateurs, en stock dans les magasins, les entrepôts, mis en vente et qui ne seront pas corrigés rapidement et resteront donc porteur d’un problème évidement. A noter que l’exploitation de deux failles ne laisse aucune trace dans les fichiers journaux traditionnels.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. san-claudio Reply

    Sous une Linux Debian testing la dernière mise à jour de Firefox 57.0.4 a un bug.
    Analyse des informations Trouvé/Corrigé… Fait
    bogues de gravité grave sur firefox (57.0.3 -> 57.0.4)
    b1 – #885920 – [firefox] Firefox window doesn’t show under wayland
    Résumé :
    firefox(1 bogue)

  2. astralis Reply

    cyber attaque ou simplement backdoor pour les services spéciaux?

  3. Cyril Reply

    Bon article. Mais si vous n’aviez pas envisagé de changer d’ordi… Par exemple je suis sous Mac OS et Apple nous informe que seul son OS High Sierra sera corrigé. C’est dingue ! Encore un moyen pour faire casquer le consommateur en somme. Ce que nous aimerions savoir c’est à qui profite le crime ? Nul n’est dupe je pense…

  4. Barca Reply

    Toutes les versions de win 7, 8 et 10 ont un patch sauf la 1511 pro et home, les versions 1511 entreprise et education elles l’ont. Pas de réponse de Microsoft. Le support ne sait même pas de quoi il est question!!!

  5. christophe Reply

    Bonjour Damien,
    qu’en est-il de cette affaire?
    Voici ce que titre RT: https://www.rt.com/news/416712-intel-bug-fix-problems/
    Bizarre quand même…
    Cdlt

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.