2017 a été une mauvaise année pour la sécurité en ligne Les événements majeurs de la cybersécurité de 2017 et ce qu'ils ont fait pour vous Les grands événements de la cybersécurité de 2017 et ce qu'ils vous ont fait Avez-vous été victime d'un piratage en 2017? Des milliards étaient, dans ce qui était clairement la pire année en matière de cybersécurité. Avec tellement de choses, vous avez peut-être manqué quelques-unes des violations: récapitulons. Lire la suite . La montée de ransomware L'attaque globale de Ransomware et comment protéger vos données L'attaque globale de Ransomware et comment protéger vos données Une cyberattaque massive a frappé des ordinateurs autour du globe. Avez-vous été affecté par le rançongiciel auto-répliquant très virulent? Si non, comment pouvez-vous protéger vos données sans payer la rançon? Lire la suite a dominé la première partie de l'année, alors que les violations de données (y compris le truand Equifax hack Equihax: L'une des brèches les plus calamiteuses de tous les temps Equihax: L'une des brèches les plus calamiteuses de tous les temps embarrassant, violation de la sécurité de tous les temps.) Mais savez-vous tous les faits? Avez-vous été affecté? Que pouvez-vous faire à ce sujet? Pour en savoir plus, lisez la suite) continué sans relâche.
Vers la fin de l'année, les rumeurs ont commencé à répandre un énorme défaut de sécurité avec les processeurs Intel. Au moment où le soleil se lève en 2018, les chercheurs déchaînent un flot d'informations sur deux nouveaux exploits: Meltdown et Spectre. Les deux affectent le processeur.
Meltdown affecte principalement les processeurs Intel et est (relativement) facile à corriger. Pour ajouter de l'huile sur le feu, la réponse d'Intel à la faille a suscité de vives critiques de la part de l'industrie de la sécurité. Spectre a le potentiel d'affecter presque tous les processeurs modernes de tous les fabricants et sera le plus difficile des deux exploits à long terme. Cependant, pour avoir une idée de la gravité de ces deux failles et de leur impact sur nous, nous devons d'abord examiner le fonctionnement d'une CPU.
À l'intérieur du CPU
L'unité centrale de traitement (CPU) est l'une des parties les plus critiques de votre ordinateur et est souvent appelée le cerveau de l'opération. La CPU prend les instructions de votre RAM, les décode, puis effectue enfin l'action demandée. C'est ce qu'on appelle le cycle Fetch-Decode-Execute. Qu'est-ce qu'un processeur et que fait-il? Qu'est-ce qu'un processeur et que fait-il? Les acronymes informatiques sont déroutants. Qu'est-ce qu'un CPU de toute façon? Et ai-je besoin d'un processeur quad ou dual-core? Que diriez-vous d'AMD ou d'Intel? Nous sommes là pour vous aider à expliquer la différence! Lire la suite, et est l'épine dorsale de tous les processeurs.
En théorie, cette opération est toujours prévisible avec la RAM passant toutes les instructions en séquence à la CPU pour l'exécution. Cependant, les processeurs du monde réel sont plus complexes que cela, en traitant souvent plusieurs instructions simultanément. Comme les processeurs sont plus rapides, le principal goulot d'étranglement est la vitesse de transfert des données entre la RAM et le CPU.
Afin d'améliorer les performances, de nombreux processeurs effectuent une exécution hors d'état lorsqu'une instruction n'a pas encore été chargée à partir de la RAM. Si le code se ramifie cependant, le CPU doit faire une meilleure estimation de la branche à suivre, ce qui est connu sous le nom de prédiction de branche. La CPU peut alors aller plus loin et commencer à exécuter de manière spéculative le code prévu.
Une fois que les instructions manquantes sont chargées, le CPU peut dérouler n'importe quelle action prédictive ou spéculative comme si cela ne s'était jamais produit. Cependant, Meltdown et Spectre utilisent ces mécanismes pour exposer des données sensibles.
Meltdown d'Intel
Meltdown est actuellement le plus controversé des deux exploits, et affecte seulement les processeurs Intel (bien que certains rapports suggèrent que les processeurs AMD peuvent également être vulnérables). Le noyau est au cœur du système d'exploitation de votre ordinateur Le noyau Linux: une explication aux termes de Layman Le noyau Linux: une explication aux termes de Layman Il n'y a qu'une seule chose de fait que les distributions Linux ont en commun: le noyau Linux. Mais même si on en parle souvent, beaucoup de gens ne savent pas exactement ce qu'il fait. Lire la suite et a un contrôle complet sur le système. Comme il dispose d'un tel contrôle, l'accès au noyau de votre système est limité.
Cependant, l'implémentation spéculative d'Intel permet un accès préemptif au noyau, avant d'effectuer une vérification d'accès. Une fois la vérification terminée, l'accès spéculatif est bloqué, mais cette brève période suffit à révéler les données mappées dans le noyau. Ces données peuvent aller des données d'application aux mots de passe et aux clés de chiffrement. L'exploit est applicable à presque tous les processeurs Intel sur presque tous les systèmes d'exploitation, y compris Linux, macOS, Windows, les environnements de virtualisation comme VMware, et même les serveurs de cloud computing comme Windows Azure et Amazon Web Services (AWS).
#Meltdown en action: Mémoire de vidage (version GIF) #intelbug #kaiser / cc @ misc0110 @lavados @StefanMangard @yuvalyarom pic.twitter.com/x46zvm60Mc
- Moritz Lipp (@mlqxyz) 4 janvier 2018
L'exploit a été initialement trouvé par le projet Zero de Google à la mi-2017 et rapporté indépendamment par deux autres groupes de recherche. Tous avaient divulgué la vulnérabilité aux développeurs et fabricants de matériel concernés, avant sa publication. Cela signifiait qu'au moment où l'exploit devenait public, AWS, Windows, macOS et Linux avaient tous reçu des mises à jour pour empêcher cette attaque.
La prévention consiste à implémenter «l'isolation de la table de pages du noyau», ce qui rend l'accès au noyau plus difficile. Cependant, cela signifie également que les opérations seront plus lentes et les premiers rapports suggèrent qu'il pourrait y avoir entre une baisse des performances de 5 à 30% après les mises à jour.
À l'intérieur du spectre
La plus grande partie de l'attention des médias s'est concentrée sur les impacts sur les performances résultant de la fusion de Meltdown. Cependant, Specter est sans doute le plus dommageable des deux exploits.
Le spectre n'affecte pas seulement les processeurs Intel, il affecte presque tous les processeurs Intel, AMD et ARM sur tous les types de périphériques. Lorsque Meltdown nécessite une application malveillante pour lire la mémoire du noyau, Specter abuse de l'exécution spéculative pour forcer les autres applications à divulguer leurs données protégées. Les chercheurs ont pu effectuer l'attaque à la fois avec le code natif et Javascript. L'approche Javascript signifie que le sandboxing du navigateur peut être contourné, permettant à Spectre d'être lancé directement à partir de votre navigateur.
Récapitulatif des vulnérabilités #Spectre et #Meltdown CPU - https://t.co/wPZDtJ3Ild - #Intel #intelbug #infosec #exploit #vulnerability #spectreattack #meltdownattack pic.twitter.com/SM3t4NjlUt
- Nops? (@ 0x0090) 4 janvier 2018
Cette attaque est plus difficile à enlever, mais elle est également plus difficile à protéger. Les chercheurs ont même nommé l'exploit Spectre "car il n'est pas facile à réparer, [et] cela nous hantera pendant un certain temps." Les correctifs logiciels seront en mesure d'atténuer certaines variations de Spectre, mais principalement un problème matériel. La division CERT du Software Engineering Institute (SEI) basée aux États-Unis a même publié une note sur la vulnérabilité, indiquant que la solution consiste à «remplacer le matériel CPU vulnérable».
Les conséquences
À peine une journée s'écoule sans qu'une nouvelle faille de sécurité, aucun bogue ou aucune violation de données ne soit découvert. Certains sont sans aucun doute plus critiques que d'autres, et Meltdown et Spectre entrent dans cette catégorie. L'impact de ces exploits est très répandu, mais la probabilité de subir l'une de ces attaques est assez faible. Cela est d'autant plus vrai que personne n'a été capable de trouver des preuves que celles-ci ont déjà été utilisées.
Ce qui a rendu ces deux exploits si largement rapportés, c'est la réponse du vendeur, en particulier Intel. Tandis que Microsoft, Amazon et la communauté Linux créaient frénétiquement des correctifs pour atténuer les exploits, Intel est allé sur la défensive.
Nouveau logo pour @intel: "Vendons tout notre stock avant que notre défaut de conception critique ne soit rendu public." #intelbug #InsiderTradinghttps: //t.co/DaNX5hIqLw pic.twitter.com/oLLs5qusGg
- Randy Olson (@randal_olson) 4 janvier 2018
Leur déclaration initiale en réponse à Meltdown et Specter minimisé leur gravité et a tenté d'absoudre la société de toute responsabilité. À la colère de beaucoup, ils ont déclaré que les «exploits n'ont pas le potentiel de corrompre, modifier ou supprimer des données» comme si la capacité de lire des données sensibles n'avait aucune importance. Après leur violation substantielle de données, Equifax a pris une position semblable d'image-défendre. Cela a finalement entraîné leur apparition devant le Congrès.
Intel a également été puni pour leur approche, avec leur stock en baisse de 3, 5 pour cent. Le directeur général d'Intel, Brian Krzanich, pourrait également avoir pris une autre feuille du livre d'Equifax. Il aurait vendu 25 millions de dollars d'actions Intel après avoir appris les exploits en novembre 2017.
Réactions aux exploits Meltdown et Spectre
https://t.co/GWa0gUXvCE pic.twitter.com/lj4ndjLSC0- CommitStrip (@CommitStrip) 4 janvier 2018
La plus grande partie de l'attention a été concentrée sur Intel, mais d'autres fabricants de puces ont également fait connaître leurs positions. AMD prétend que ses processeurs ne sont affectés par aucun exploit. Pendant ce temps, ARM a adopté une approche mixte, suggérant que la plupart de ses processeurs n'étaient pas affectés, mais fournissant une liste détaillée de ceux qui le sont.
Beaucoup de bruit pour rien?
Si ces exploits s'avéraient être utilisés par des tiers malveillants, les dégâts seraient graves. Heureusement, tout comme Heartbleed auparavant, ces attaques potentiellement dangereuses n'ont pas été vues dans la nature. Ils nécessitent également l'installation d'un logiciel malveillant sur votre ordinateur afin d'exécuter les attaques. Donc, sauf si vous avez un ensemble de circonstances très spécifiques, en tant qu'utilisateur à domicile, vous n'êtes pas susceptible d'être affecté. Cependant, cela ne vaut pas la peine de prendre le risque.
À mesure que les fournisseurs, les fabricants et les développeurs déploient des mises à jour pour atténuer les exploits, vous devez les installer. Améliorer votre cyber-hygiène en 5 étapes faciles Améliorer votre cyber-hygiène en 5 étapes faciles Dans le monde numérique, la cyber-hygiène est aussi importante que l'hygiène personnelle dans le monde réel. Des vérifications régulières du système sont nécessaires, ainsi que de nouvelles habitudes en ligne plus sûres. Mais comment pouvez-vous faire ces changements? Lire la suite non plus.
Nous avons une dette de gratitude envers les héros méconnus de Spectre et Meltdown: les milliers d'ingénieurs qui ont passé leurs vacances à travailler sur les correctifs du système d'exploitation, les correctifs du navigateur, les déploiements dans le cloud, et plus encore. Je vous remercie.
- Lee Holmes (@Lee_Holmes) 4 janvier 2018
Les fournisseurs de cloud sont les plus vulnérables aux attaques, car les gains potentiels sont beaucoup plus importants. Avec autant de données stockées sur le cloud, les pirates sont incités à tenter ces exploits sur des serveurs cloud. C'est un signe positif que certains des principaux fournisseurs ont déjà publié des correctifs.
Cependant, cela vous amène à vous demander à quel point le cloud computing est vraiment sécurisé. Alors que la réponse d'Intel aux exploits est décevante, la complexité des correctifs et la vitesse à laquelle ils ont été déployés par plusieurs fournisseurs est louable et rassurante.
Êtes-vous inquiet par Meltdown et Specter? Pensez-vous que le compromis entre vitesse et sécurité est acceptable? Qui pensez-vous est responsable des correctifs? Faites-nous savoir dans les commentaires!