James Steidl - Fotolia

Spectre et Meltdown : des menaces appelées à durer

Des correctifs sont déjà disponibles pour ces deux types d’attaques mettant à profit des vulnérabilités dans de nombreux processeurs. Mais la correction de Spectre risque d’être longue et douloureuse. Et rien ne dit que l’exploitation n’a pas déjà commencé.

Les premiers correctifs sont déjà disponibles, pour macOS, Linux – y compris sur ARM – et Windows. Mais encore faudra-t-il les déployer. Et ce n’est pas forcément sans conséquence. Ainsi, Microsoft recommande de vérifier que le poste de travail exécute un antivirus « supporté » avant de procéder à la moindre mise à jour. 

Et cela ne vaut pas pour tous. Ainsi, comme le relève Kevin Beaumont, Microsoft souligne que ses mises à jour de sécurité pour Meltdown et Spectre ne seront proposées qu’aux machines sur lesquelles certaines clés de registre ont été définies par l’antivirus. La raison en simple : « certains antivirus provoquent un écran bleu lorsque le correctif de Meltdown est installé ».

Alors, si les grands opérateurs d’infrastructures Cloud ont commencé activement à corriger leurs systèmes – voire ont fini –, il s’interroge : « combien d’années faudra-t-il pour les organisations privées appliquent les correctifs, obtiennent un antivirus compatible, et activent les clés de registre nécessaires sur chaque serveur ? »

Et dans certains cas, ce ne sera pas simple. Octave Klaba, fondateur d’OVH, souligne ainsi que pour l’une des variantes des attaques, il faut non seulement mettre à jour le noyau du système d’exploitation, mais également le microcode « pour chaque modèle de CPU ». Et pour les plus anciens, la mise à jour attendra « deux à trois semaines ». 

Un risque déjà concret ?

Hélas, pour Jake Williams, de Rendition Infosec, il est probable que l’exploitation de Meltdown et de Spectre ait déjà commencé. 

Alors que le travail de recherche et de développement de correctifs dure au mois depuis mai 2017, il estime que « tout programme d’exploitation informatique d’état-nation compétent savait pour cela depuis des mois ». Alors pour Jake Williams, affirmer « que l’on n’a pas observé d’indication d’exploitation avant divulgation ne prouve pas qu’il n’y en pas eu ».

De son côté, James Lyne, directeur de recherche et développement au sein de l’institut Sans, souligne que « Spectre est vraiment difficile à contenir et va nécessiter beaucoup de travail spécifique sur les programmes individuels. Cela signifie une longue suite de changements, ou la désactivation d’une fonction qui va affecter durement les performances des appareils modernes ». 

Pour approfondir sur Gestion des vulnérabilités

Soyez le premier à commenter

M'envoyer une notification dès qu'un autre membre commente.

Merci de créer un identifiant pour pouvoir poster votre commentaire.

- ANNONCES GOOGLE

Close