Meltdown et Spectre dans un panier et nous avec…

Nous entendons beaucoup parler ces derniers temps de 2 grosses failles rendues publiques, en avance par erreur lorsque certains se sont interrogés sur des modifications du kernel Linux, Meltdown et Spectre, mais que sont-elles vraiment ?

  • Meltdown s’applique aux processeurs Intel et Apple et tire profit d’un défaut d’escalade de privilèges permettant l’accès à la mémoire du noyau à partir de l’espace utilisateur, ce qui signifie que tout secret qu’un ordinateur protège (même dans le noyau) est disponible pour tout utilisateur capable d’exécuter du code sur le système. Pourquoi le nom Meltdown ? Et bien parce que cette vulnérabilité fait littéralement fondre les limites de sécurité qui sont normalement appliquées par le matériel.
  • Spectre s’applique aux processeurs Intel, Apple, ARM et AMD et fonctionne en dupant les processeurs pour qu’ils exécutent des instructions qu’ils n’auraient pas dû être en mesure d’exécuter, ce qui leur donne accès à des informations sensibles dans l’espace mémoire d’autres applications. Pourquoi le nom Spectre ? En fait c’est une faille très difficile à repérer et à réparer pour le moment, donc elle nous «hantera» pendant un certain temps.
Et les correctifs ?

Et bien vu qu’il s’agit de faille de conception hardware, le patching restera logiciel voir virtuel, un peu comme le virtual patching… et c’est là que cela se complique, sans parler de pertes probables de performances, qu’il faudra mesurer pour chaque contexte / workload, parce que nous allons avoir droit à une escalade entre ceux qui exploitent ces failles et ceux qui veulent la corriger, soyons certains que dès qu’un patch sortira, il y aura un moyen de le contourner…

Alors comment je dois faire ?

Déjà, utiliser des plugins dans vos navigateurs, de type No-Script, mais cela reste limité car lorsque vous arriver sur un site dit de confiance, la première chose que vous allez faire, c’est autoriser les scripts de ce site, sauf que… c’est ce qu’attendent les hackers, pour toucher le maximum de personne, leur but sera de compromettre un site reconnu pour déployer leur code exploitant cette faille… mais ne soyons pas aussi pessimiste, mettez en place ces plugins, faites attention aux sites que vous visitez, malgré tout cela limitera la surface d’attaque.

Faites les mises à jour recommandées ! Et n’attendez pas pour les faire dès qu’elles sont disponibles.

Et dans le monde de l’entreprise

C’est légèrement différent, pourquoi ? Déjà parce que les serveurs ne sont pas utilisés pour aller surfer sur le net, enfin j’espère… et que les logiciels déployés sur vos serveurs sont sensés être maitrisés, autant au niveau des accès que des correctifs, etc. Est-ce à dire qu’il ne faut pas mettre à jour ? Non, mais ça ne veut pas dire de se précipiter non plus, prenez du recul, procédez par étape, analysez les risques et surtout priorisez les machines à mettre à jour, par exemple, la mise à jours des postes des utilisateurs peut passer avant la mise à jour des serveurs (je n’ai pas dit que l’utilisateur est un vecteur de faille).

Derniers conseils

N’oubliez le concept de défense en profondeur, pare-feux périmétriques, pare-feux inter Vlans, pare-feux de machines, fichiers des journaux système, et analysez les logs de ces équipements pour repérer tout comportement suspect dans votre outil de centralisation des journaux (SIEM)

, , , , , , , , ,
Article précédent
Les véritables raisons pour lesquelles la cybercriminalité n’est pas signalée, et pourquoi cela va changer…
Article suivant
RGPD / GDPR : On répond à vos questions avec la CNIL

Articles liés

Menu