Multiples vulnérabilités de fuite d’informations dans des processeurs – CERT-FR

RÉSUMÉ

• Le 4 janvier 2018 deux sites internet relatifs à des vulnérabilités dans plusieurs processeurs pouvant conduire à des fuites d’informations étaient rendus disponibles [1][2]. Intitulées Meltdown et Spectre ces failles regroupent trois vulnérabilités identifiées comme CVE-2017-5754 pour Meltdown et CVE-2017-5753 ainsi que CVE-2017-5715 pour Spectre.

VULNÉRABILITÉ MELTDOWN

• Les processeurs modernes intègrent plusieurs fonctionnalités visant à améliorer leurs performances. Parmi celles-ci, l’exécution dites out-of-order permet d’exécuter les instructions d’un programme en fonction de la disponibilité des ressources de calculs et plus nécessairement de façons séquentielles. Une faiblesse de ce mécanisme peut cependant conduire à l’exécution d’une instruction sans que le niveau de privilèges requis ne soit correctement vérifié au préalable. Bien que le résultat de l’exécution d’une telle instruction ne soit pas validé par la suite il peut être possible de récupérer l’information en découlant en utilisant une attaque à canaux cachés.
• La vulnérabilité CVE-2017-5754 permet d’exploiter une fonctionnalité présente dans plusieurs architectures de processeurs modernes afin d’accéder en lecture à des zones mémoires d’un système autrement non accessibles sans des privilèges élevés. En particulier, l’exploitation de cette vulnérabilité permet d’accéder depuis un programme s’exécutant en mode utilisateur à la mémoire du système en mode noyau. Cela peut conduire à des fuites de données sensibles présentes en mémoire et peut inclure des informations d’autres programmes ou encore clés de chiffrement. Cette fuite d’informations peut aussi être mise en œuvre pour faciliter la compromission d’un système.

VULNÉRABILITÉ SPECTRE

• L’exécution spéculative est une seconde technique d’optimisation utilisée par les processeurs modernes.
  Lorsqu’un processeur est en attente d’une information de la part de la mémoire centrale, il peut continuer à exécuter des instructions de manière probabiliste afin de ne pas gâcher des cycles. Quand cette information arrive, le processeur vérifie la cohérence de son résultat anticipé. Dans le meilleur cas, il a gagné du temps car il a correctement prédit l’information. Dans le pire cas, il n’en a pas perdu car il reprend l’exécution de ses instructions avec la bonne information. Si le contenu des registres sont remis à leurs valeurs initiales, ce n’est pas le cas du cache.
• …/…

Lire l’intégralité de l’article sur https://www.cert.ssi.gouv.fr/alerte/CERTFR-2018-ALE-001/

Failles de sécurité #Meltdown-#Spectre

Failles #Meltdown–#Spectre de quoi s'agit-il ? par @lemondefr
⚠️Notre recommandation: installez toutes les mises à jour de sécurité que vous recevez sur vos PC, tablettes, smartphones, serveurs afin d'être protégés au mieux possible des #cyberattaqueshttps://t.co/E4ayZzuCk6

— Cybermalveillance_FR (@cybervictimes) January 5, 2018

L’existence de plusieurs vulnérabilités sur des processeurs couramment utilisés a été rendue publique. Il n’y a pas à ce jour d’exploitation avérée de ces failles de sécurité appelées Meltdown et Spectre. Pour autant, le CERT-FR* recommande d’appliquer l’ensemble des mises à jour proposées. Voici quelques clés de compréhension.

• QU’EST-CE QU’UN PROCESSEUR ?
  • Un processeur est un composant indispensable au fonctionnement des ordinateurs, ordiphones, tablettes (etc.) et des programmes qui y sont installés.
  • …/…
• QUE SE PASSE-T-IL ?
  • Liées à des défauts de conception de ces processeurs, les failles de sécurité Spectre et Meltdown pourraient, une fois exploitées, accorder un accès non autorisé à de l’information protégée (mot de passe, identifiants…).
  • …/…
• QUE DOIS-JE FAIRE ?
  • …/…

…/…

Lire l’intégralité de l’article sur https://www.ssi.gouv.fr/actualite/alerte-multiples-vulnerabilites-dans-des-processeurs-comprendre-meltdown-et-spectre-et-leur-impact/

• *Au sein de l’ANSSI, le CERT-FR est le centre gouvernemental de veille, d’alerte et de réponse aux attaque informatique

Alerte sécurité – Failles Meltdown & Spectre

• De quoi s’agit-il ?
  • Ces failles touchent à des niveaux variables les microprocesseurs de la très grande majorité des ordinateurs personnels (PC), mais aussi des serveurs informatiques, des tablettes, des téléphones mobiles (smartphones) dans le monde entier.
  • …/…
• Etes-vous concernés ?
  • Certainement. Comme évoqué ci-dessus, la grande majorité des ordinateurs, des tablettes, des téléphones mobile, mais aussi des serveurs dans le monde entier est touchée par ces failles.
  • …/…
• Que devez-vous faire pour vous protéger ?
  • Vous assurer de bien installer toutes les mises à jour de sécurité que vous avez peut-être déjà reçues et que vous allez recevoir dans les prochains jours, semaines voire mois des éditeurs de vos systèmes d’exploitation (Microsoft, Apple, Google, GNU/Linux), de vos navigateurs Internet (Microsoft, Google, Mozilla, Apple…), de vos anti-virus.
  • …/…
• Si vous faites vos mises à jour, serez-vous complètement protégés ?
  • Ce n’est pas complètement certain. Rien ne permet même d’attester que ces failles pourront être intégralement corrigées.
  • …/…
• Toutes ces mises à jour qui arrivent en même temps peuvent-ils produire des dysfonctionnements de vos matériels ?
  • Ce n’est pas impossible. Mais le risque de dysfonctionnement est certainement bien moindre que celui de se voir voler ses données personnelles les plus confidentielles (mots de passe, numéros de carte bancaire…) par des cybercriminels.
  • …/…
• Vous avez entendu que vos matériels risquaient de ralentir après les mises à jour de sécurité, qu’en est-il ?
  • Ce n’est pas impossible non plus, mais il est bien trop tôt pour l’affirmer. Vous pouvez même ne pas constater la moindre différence.
  • …/…
• Vous avez entendu que ces failles étaient difficilement exploitables, alors devez-vous vraiment en tenir compte ?
  • Oui, car la cybercriminalité ne cesse de progresser en compétence technique. La vague d’attaques par le rançongiciel (ransomware) Wannacry du printemps 2017 est là pour le rappeler.
  • …/…
• En conclusion ?
  • Ces failles sont sérieuses et touchent tous les équipements informatiques ou presque. Il est donc primordial de se sentir concerné et d’appliquer avec sérieux toutes les mises à jour de sécurité officielles que vous recevez de vos constructeurs ou éditeurs.

Pour aller plus loin, consultez :

• l’alerte de l’Agence nationale de sécurité des systèmes d’information (ANSSI) : www.ssi.gouv.fr/actualite/alerte-multiples-vulnerabilites-dans-des-processeurs-comprendre-meltdown-et-spectre-et-leur-impact/
• l’alerte de sécurité du Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) de l’ANSSI : www.cert.ssi.gouv.fr/alerte/CERTFR-2018-ALE-001/

  Références: Meltdown (CVE-2017-5754) – Spectre (CVE-2017-5753 et CVE-2017-5715)

Lire l’intégralité de l’article sur https://www.cybermalveillance.gouv.fr/nos-articles/alerte-meltdown-spectre/