De multiples vulnérabilités de fuite d’informations dans des processeurs ont été détecté et pour cela 2 sites internet ont été mis à disposition afin de faciliter la diffusion d’information en prévention et dans le cas contraire, en cas de contamination. Ces failles portent le nom de Meltdown et Spectre, et comptent trois vulnérabilités dont CVE-2017-5754 pour Meltdown et CVE-2017-5753 et CVE-2017-5715 pour Spectre.
1. Explication des 2 failles
MELTDOWN
La vulnérabilité MELTDOWN est l’atteinte à la confidentialité car elle permet d’exploiter une fonctionnalité que l’on retrouve dans diverses architectures de processeurs modernes. Elle arrive alors à accéder à des zones mémoires non accessibles sans des privilèges élevés.
SPECTRE
SPECTRE casse les barrières existantes entre les différentes applications. Il permet à un attaquant de tromper les programmes, qui pourtant suivent des procédés sécurisés, en obtenant des informations sensibles sur des applications en cours d’exécution. Ainsi, les attaques de surface ne cessent d’augmenter et Spectre se voit être plus difficile à contrôler et à éliminer que MELTDOWN.
2. Conséquences
Ces failles peuvent impacter tous les systèmes qui disposent d’un processeur vulnérable et ce, de manière indépendante au système d’exploitation. Ceux susceptibles d’être les plus touchés sont LINUX et OSX (possibilité d’accéder à l’intégralité de la mémoire physique) mais aussi Windows.
3. Les corrections apportées par Blue pour contrer ces attaques
L'ensemble des mises à jour est en cours d'exécution sur tous les serveurs physiques des plateformes VMware de nos clients :
- Patch VMware pour passer en version de build : 7388607
- Mise à jour du BIOS des lames Dell
- Patch des serveurs sous Windows
Grâce à notre politique de sécurité et les dernières mises à jour effectuées, les clients en production ne subiront pas d’impacts.
Pour le moment, il est important de noter que Blue continue à suivre l’évolution de ces 2 failles, au vu de la récence de cette alerte, seules des solutions de contournement sont disponibles.
SOURCES : https://meltdownattack.com/, https://spectreattack.com/, https://www.cert.ssi.gouv.fr/alerte/CERTFR-2018-ALE-001/
