Des chercheurs en sécurité ont récemment découvert des problèmes de sécurité qui affectent la plupart des processeurs courants commercialisés par Intel, ARM et AMD. Cela signifie que ces découvertes concernent à peu près toute personne utilisant un système informatique – ordinateur, serveur, tablette ou smartphone.

L’exploitation de cette vulnérabilité permettrait à un attaquant d’obtenir un accès à des données comme des mots de passe, clé de chiffrement ou éventuellement des informations d’un autre environnement virtuel tournant sur la même machine physique.
Il y a actuellement deux vulnérabilités répertoriées nommées respectivement Meltdown et Spectre.

Cette vulnérabilité est la plus simple à exploiter et est celle qui capte la plus grande attention. Elle concerne en premier lieu les puces Intel et est à l’heure actuellement traitée par des correctifs au niveau du système d’exploitation de la part de Microsoft, VMware, Apple et les éditeurs de distributions Linux. Cette vulnérabilité est identifiée via CVE-2017-5754.

Il s’agit d’une attaque plus généralisée, s’inspirant de concepts similaires à Meltdown et concernant les processeurs AMD, ARM et Intel. Les correctifs et contournements pour MeltDown ne protègent pas contre les attaques Spectre – et réciproquement. Spectre couvre deux vecteurs d’attaque distincts identifiés via CVE-2017-5715 et CVE-2017-5753.

Pour tirer avantage de ces vulnérabilités, un attaquant doit pouvoir exécuter du code en local sur le système visé. Cela peut être réalisé de différentes manières. Un utilisateur connecté sur la machine, même sans privilège administratif, permet à l’attaquant de lancer son attaque. L’attaquant peut également atteindre son objectif à distance s’il est en mesure d’exécuter du code localement sur la machine, via un malware téléchargé, un site infecté ou un document avec du contenu malicieux.

Les éditeurs comme Microsoft, VMware, Apple et autres commencent à diffuser des correctifs pour leur systèmes d’exploitation contre les attaques Meltdown.
Les attaques Spectre peuvent être déclenchées via JavaScript et WebAssembly. A cette fin, les éditeurs logiciels apportent également des mises à jour sur les navigateurs.
Les fondeurs/fabricants de matériel informatique annoncent la mise à disposition prochaine de firmware et microcode pour les composants matériels.
En conséquence, pour être protégé, il faut réunir trois conditions :
• appliquer le correctif de l’éditeur du système d’exploitation,
• mettre à jour tous les navigateurs présents sur la machine,
• vérifier et le cas échéant mettre à jour le BIOS/UEFI de la machine.
La correction des vulnérabilités peut toutefois avoir des effets de bord non désirés.
L’application des correctifs peut impacter la performance de la machine puisque la vulnérabilité exploite une méthode qui fait fonctionner le processeur plus rapidement.
Microsoft a constaté que certains logiciels anti-virus s’avèrent être incompatibles avec le correctif car ils font des appels non supportés vers la mémoire du noyau, avec des risques de plantage ou impossibilité de relancer la machine. Les antivirus doivent donc être à jour pour pouvoir déployer le correctif et un test au préalable du déploiement du correctif sur les machines affectées s’impose.
Microsoft a également temporairement cessé la distribution du correctif sur les machines à base de processeur AMD car il est susceptible de planter la machine.  L’application des mises à jour sur des systèmes AMD ne doit donc pour l’heure pas être réalisée.
Au-delà des correctifs logiciels, les firmwares matériels nécessitent l’implication du fondeur et du fabricants du matériel et doivent être mis à disposition spécifiquement pour chaque famille de machines. La gestion de la correction de la vulnérabilité pour chaque machine physique va nécessiter un long suivi dans le temps.

Sur la base des différentes consultations, lectures et recherches que nous avons réalisées ces derniers jours, notre recommandation concernant la correction de ces vulnérabilités est d’exécuter en priorité les actions sur :

• les postes de travail en premier lieu,
• les serveurs partagés (type TSE/VDI) ensuite,
• les autres serveurs enfin.

En parallèle, comme pour toutes les attaques, ces tentatives d’exploitation ont souvent un vecteur d’infection externe. Mettre en vigueur et renforcer les stratégies de filtrage contre les malwares, les pièces jointes et sites malicieux réduisent les possibilités d’exécuter du code sur les systèmes affectés.
S’il est important d’appliquer au plus tôt les correctifs logiciels sur les postes de travail et les serveurs partagés, il convient d’évaluer au cas par cas la situation pour les autres serveurs en considérant les risques de pertes de données par rapport aux effets de bord constatés.

Service TECHNIQUE GROUPE HISI

Note : Pour les systèmes à base de système d’exploitation Windows, Microsoft a mis à disposition un module PowerShell, permettant de vérifier l’état des protections.
Les instructions sont présentes dans la note ci-dessous, dans la section « Vérifications de l’activation des protections »

 https://support.microsoft.com/fr-fr/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in