Sécurité informatique: les failles Spectre et Meltdown

Le début de l'année a été marqué par deux failles de sécurité, appelées Meltdown et Spectre. Dans les deux cas, selon une approche différente, un utilisateur local peut accéder à la mémoire de votre système et faire un mauvais usage de son contenu à des fins malveillantes. Voyons en quoi cela est néfaste et pourquoi cela risque de s’aggraver dans l'avenir.

D'un point de vue technique, Meltdown brise le mécanisme qui empêche des applications utilisateur d'accéder à l’espace mémoire protégé d’un système. Il a été confirmé que cette faille existait dans tous les processeurs Intel produits depuis 1995, à l'exception des processeurs Itanium et Atom d’Intel produits avant 2013. Cela concerne les ordinateurs des marques les plus connues, telles qu'Apple, Microsoft, Dell, HP ou Lenovo. Spectre procède de façon similaire, mais permet à un pirate informatique d'utiliser la mémoire cache d'une unité centrale, en tant que canal auxiliaire, pour lire arbitrairement la mémoire de n’importe quel processus en cours d'exécution. Spectre affecte non seulement les processeurs Intel, mais aussi les processeurs AMD et ARM. Cela concerne entre autres les ordinateurs, les tablettes et les smartphones produits par Apple, Microsoft, Dell, HP, Google ou Lenovo. Toutefois, la faille Spectre est bien plus difficile à exploiter que la faille Meltdown dans la mesure où sa surface d'attaque est limitée aux processus d'espace utilisateur, par exemple, les navigateurs web ou les applications de bureau.

Abstraction faite des aspects techniques, les failles Spectre et Meltdown permettent à un pirate informatique de télécharger le contenu de la mémoire de votre dispositif et de le disséquer hors ligne pour en extraire vos mots de passe, clés SSH privées ou certificats, ou toute autre information intéressante. Heureusement, la mémoire ne contient pas une indication bien visible du type : « Les mots de passe sont ici ! ». Par conséquent, tout processus d'extraction serait lent et lourd, et pas très simple à exécuter. Ainsi, alors que le principe a bien été démontré, aucune exploitation systématique de Spectre ou Meltdown n'a encore été rapportée.

Jusqu’ici, tout va bien ? Pas vraiment. Tout d'abord, et c'est ce qui est pour l'instant le plus problématique, les solutions dépendent grandement de votre matériel informatique, autrement dit de votre ensemble de puces. Alors que des solutions seront apportées à temps aux ensembles de puces les plus récents et les plus utilisés, ce ne sera pas forcément le cas pour d'autres matériels : le BIOS de votre ordinateur, ou encore à votre dispositif de type internet des objets (lire l'article du Bulletin intitulé « IoT, des trésors cachés ». Nous risquons donc de nous retrouver avec de nombreux appareils intégrés qui ne recevront jamais de solutions pour pallier les failles Spectre ou Meltdown... D’autre part, il est à craindre que l'application des correctifs actuellement prévus ne ralentisse inévitablement les ordinateurs, quels qu'ils soient : en effet, en fonction de l'utilisation de votre ordinateur, les baisses de performance peuvent varier entre quelques pourcents et 30 %. Mais pas de panique (pour l'instant), car de nouvelles solutions pourraient corriger également ce problème. Enfin, Intel, et probablement d'autres fournisseurs, sont censés connaître ces failles depuis un moment maintenant. Cela peut vouloir dire que des personnes mal intentionnées ont déjà exploité ces failles bien avant qu'elles soient publiquement connues. Cependant, pour l'instant, aucun rapport ne l'a confirmé. Pour toutes ces raisons, il se peut qu'on ne soit qu'au début du problème. Les spécialistes de la sécurité informatique comme les pirates informatiques vont inévitablement s’intéresser rapidement à d’autres failles matérielles. Souvenez-vous de la faille POODLE touchant le protocole SSLv3, détectée suite à la faille Heartbleed, présente dans la bibliothèque de cryptographie open source OpenSSL ; Spectre et Meltdown sont peut-être les premières failles connues à ce jour qui exploitent les faiblesses de votre matériel informatique, mais ce ne sont certainement pas les dernières... Les prochaines générations de ces failles pourraient bien être plus intrusives et plus faciles à exploiter, et risquent de ne pas être rapidement connues du public. Un régal pour les organismes de sécurité et les criminels, mais un fardeau pour tous les responsables de la sécurité informatique, dont nous faisons partie...

Ce n’est donc qu’un début. Préparez-vous à d’autres rebondissements. Mais prenez les devants ! Vérifiez que tous vos systèmes sont automatiquement mis à jour lorsque le fournisseur de votre matériel ou de votre système d'exploitation installe de nouveaux correctifs. Utilisez les mécanismes de mise à jour standard (automatiques) de vos équipements Windows, Linux, Mac, Android ou iOS. Et gardez un œil sur vos appareils intégrés. Essayez de les maintenir également à jour. Ou, si ce n'est pas possible, ne les connectez pas à l'internet et empêchez quiconque d'y avoir accès. 

Rendez-vous ici pour avoir des précisions sur la stratégie adoptée par le CERN concernant les failles Spectre et Meltdown. 


Pour en savoir plus sur les incidents et les problèmes relatifs à la sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.