Les experts en sécurité informatique ont découvert deux failles de sécurité majeures dans les microprocesseurs Intel. Les deux problèmes, appelés Meltdown et Specter, pourraient permettre aux pirates informatiques de voler tout le contenu de la mémoire des ordinateurs, quel que soit le type de matériels, terminaux mobiles, ordinateurs personnels et serveurs.
Il n’y a pas de solution facile pour Specter, ce qui pourrait nécessiter une refonte des processeurs, selon les chercheurs. En ce qui concerne Meltdown, le correctif logiciel nécessaire qui sera mis en place par Intel pour résoudre le problème pourrait ralentir les ordinateurs de 30 %. Meltdown est un problème particulier pour les services de cloud gérés par Amazon, Google et Microsoft…
La faille est indépendante du système d’exploitation, de sorte qu’elle impacte Linux mais aussi Windows, Mac OS et les environnements virtuels et cloud explique Chris Morales, Head of Security Analytics de Vectra Networks. Techniquement, la faille dont sont victimes les puces Intel, est un bug dans le processus utilisé pour s’assurer que les utilisateurs n’ont pas accès au noyau (kernel). Cela permet à un utilisateur d’exécuter du code pour lire et accéder à la mémoire au niveau du kernel, exposant ainsi les informations critiques qui y seraient stockées, comme les mots de passe système. Un proof of concept a déjà permis d’observer comment la faille pouvait être utilisée. L’une des craintes est que cette faille au sein des puces Intel du fait qu’elle impacte les environnements virtuels et Cloud, chargeant des systèmes entiers en mémoire, pourrait exposer les charges de travail à d’autres systèmes et applications partageant le même matériel.
Mercredi soir, Google et Microsoft ont déclaré avoir mis à jour leurs systèmes pour remédier à la faille. Amazon a déclaré que la vulnérabilité « existe depuis plus de 20 ans dans les architectures de processeurs modernes, qu’elle avait déjà protégé presque toutes les instances de AWS et que les clients doivent également mettre à jour leur propre logiciel fonctionnant sur le service.
Amazon a publié une note concernant une importante mise à jour de sécurité et EC2 a prévu de redémarrer ce vendredi : https://twitter.com/jschauma/status/941447173245370368. Microsoft a publié une note similaire sur une importante mise à jour de sécurité et de maintenance de ses machines virtuelles : https://twitter.com/never_released/status/94793521303010718720.
« Les redémarrages d’Azure et d’Amazon sont liés à la faille d’Intel, et démontrent à quel point l’impact est important, poursuit Chris Morales. Redémarrer le cloud est une grande première. Cela devrait être un vrai signal d’alarme pour les entreprises qui ont besoin de penser différemment la sécurité de leurs cloud. Cette faille dans le cloud pourrait fournir une « porte latérale » permettant à un attaquant d’entrer à partir d’un service cloud adjacent plutôt que de lancer une attaque frontale sur les applications d’une entreprise fonctionnant dans le cloud… »
Pour profiter de Meltdown, les pirates peuvent louer de l’espace sur un service cloud, comme n’importe quel autre client professionnel. Une fois qu’ils étaient sur le service, la faille leur permettrait de saisir des informations comme les mots de passe d’autres clients.
Pour Christophe Badot, Directeur Général France de Varonis « Bien que tous les détails ne soient pas disponibles pour le moment, d’après ce que l’on sait, cette vulnérabilité peut être considérée comme une menace préoccupante : elle peut en effet permettre le vol d’identifiants/mots de passe ou faciliter des actes d’escalade de privilèges. À cet égard, elle est très similaire à une menace interne ou une faille au niveau des données d’administration ».
C’est une menace majeure pour le fonctionnement du cloud. Les services cloud partagent souvent des machines entre de nombreux clients – et il est rare, disons, qu’un seul serveur soit dédié à un seul client, c’est même là le concept même du cloud. Bien que les outils et les protocoles de sécurité visent à séparer les données des clients, les failles de la puce récemment découvertes permettraient aux mauvais acteurs de contourner ces protections.
Les ordinateurs personnels utilisés par les consommateurs sont également vulnérables, mais les pirates devraient d’abord trouver un moyen d’exécuter un logiciel sur un ordinateur personnel avant de pouvoir accéder à des informations ailleurs sur la machine. Plusieurs situations sont possibles : Les attaquants pourraient tromper les consommateurs en téléchargeant un logiciel dans un e-mail, à partir d’un store d’applications ou en visitant un site Web infecté.
Selon les chercheurs, la faille de Meltdown affecte pratiquement tous les microprocesseurs fabriqués par Intel soit environ 90 % des serveurs en fonctionnement aujourd’hui (à l’exception des mainframes IBM et des serveurs fonctionnant sur ces puces autres qu’Intel). Les clients de Microsoft, devront installer une mise à jour de la société pour résoudre le problème. La communauté mondiale de codeurs qui supervise le système d’exploitation Linux open-source, qui gère environ 30% des serveurs informatiques dans le monde, a déjà publié un correctif pour ce système d’exploitation. Apple avait une solution partielle au problème et devrait avoir une mise à jour supplémentaire.
« Toutefois, que ce soit pour Linux, ou tout autre système d’exploitation utilisant des processeurs Intel impactés, la seule solution est de réécrire le code de l’OS pour séparer complètement l’espace mémoire utilisateur de l’espace mémoire du kernel », complète Chris Morales. L’impact de la réécriture du système d’exploitation pour corriger le défaut est que les applications nécessiteront plus de ressources informatiques, ce qui – au mieux – ralentira l’ensemble du système d’exploitation… Un correctif pour le noyau a déjà été écrit et il y a déjà eu des ralentissements enregistrés dans les performances de l’application. Bien que la communauté des chercheurs en matière de sécurité continue de trouver et de signaler de telles failles, nous devons supposer qu’il en existe beaucoup d’autres qui n’ont pas été détectées et qui sont potentiellement déjà exploitées par des cyberattaquants ».
Il n’y a aucune preuve que les pirates ont à ce jour profité de la vulnérabilité. L’information étant devenue publique, les utilisateurs prennent un gros risque s’ils n’installent pas de correctif. Une attaque dite ransomware qui a frappé des ordinateurs dans le monde entier l’année dernière a profité de machines qui n’avaient pas reçu de correctif pour une faille dans le logiciel Windows.
L’autre faille, Spectre, affecte la plupart des processeurs actuellement utilisés, bien que les chercheurs croient que cette faille est plus difficile à exploiter. Il n’y a pas de solution connue, et on ne sait pas ce que les fabricants de puces comme Intel vont faire pour résoudre le problème.
Pour l’instant, les experts en sécurité informatique utilisent un patch, appelé Kaiser, qui a été découvert par des chercheurs de l’Université de Technologie de Graz en Autriche pour répondre à un problème distinct l’année dernière.
Spectre sera beaucoup plus difficile à gérer que via la simple publication d’un correctif logiciel. La faille de Meltdown quant à elle est spécifique à Intel, mais Spectre est une faille dans la conception qui a été utilisée par de nombreux fabricants de processeurs depuis des décennies. Il affecte pratiquement tous les microprocesseurs sur le marché, y compris les puces fabriquées par AMD qui partagent le design d’Intel et les nombreuses puces basées sur des conceptions d’ARM en Grande-Bretagne.