+ 33 (0)3 28 33 11 00          Accès Teamviewer / Support

Meltdown/Spectre : Deux failles critiques découvertes dans la plupart des processeurs

Le début d’année a été mouvementé pour les professionnels du Cloud et de la sécurité. En effet, différentes équipes de chercheurs ont annoncé la présence de deux vulnérabilités (Meltdown : CVE-2017-5754 ; Spectre : CVE-2017-5753 et CVE-2017-5715) critiques au sein des processeurs (Intel, AMD, et certains modèles ARM) permettant notamment l’accès aux données transitant dans la mémoire du processeur.

Le côté exceptionnel de cette faille est qu’elle concerne un composant physique, et donc que la faille peut être exploitée quelque soit le système d’exploitation. Le processeur effectue l’ensemble des calculs nécessaires au fonctionnement de l’OS et des programmes, il voit donc l’intégralité des données traitées par ces derniers.  Le fonctionnement normal permet de garder une isolation dans les traitements, mais les vulnérabilités permettent littéralement de faire fondre cette isolation.

Des « Proofs of Concept » ont été mis en place afin de démontrer la faille et le caractère critique de celle-ci. Vous pouvez consulter une vidéo présentant ce qu’il est possible de faire grâce à Meltdown (https://www.youtube.com/watch?v=RbHbFkh6eeE).

Meltdown fait fondre l’isolation entre l’OS (Kernel) et l’application (User space). Cela permet depuis une application d’avoir accès au contenu de la mémoire : Mot de passe, données sensibles… ou toutes autres informations transitant en mémoire.

Spectre casse l’isolation entre les applications. Cela permet d’accéder au contenu mémoire d’une autre application et donc d’accéder aux informations sensibles.

 

Comment se prémunir contre ces failles :

Concernant Meltdown, il faut patcher à tous les niveaux. Cela commence par la mise-à-jour des microcodes via mise à jour des BIOS/UEFI (23/01/2018 : Attention Intel a demandé de stopper l’application des patchs car cela rend les machines instables), puis la mise à jour des hyperviseurs (Vmware, Hyper-V…), puis des serveurs en eux-mêmes (physiques ou virtuels, quelque-soit l’OS). Attention, l’application des patchs peut affecter la performance des processeurs (baisse de 5 à 30% !) dans un premier temps, les patchs futurs devraient réduire cette perte de performance. L’impact sur les performances dépend beaucoup de l’environnement et de la charge de travail d’un serveur ou d’une application donnée.

Concernant Spectre : Il n’y a ce jour pas de contre mesure globale… Mais cela passera par des patchs au cas par cas selon les applicatifs.

 
A ce jour, et comme tous les acteurs du Cloud et la sécurité , VDIS et Pixiu mobilisent leurs équipes et appliquent les correctifs dès la disponibilité de ces derniers. Nous surveillons également l’impact de ces correctifs et cela pour chacun de nos services afin de vous fournir le service performant auquel vous êtes habitué et cela en toute sécurité !