Accueil  |  KiwiPédia  |  Actualités  |  Meltdown et Spectre : les nouvelles failles de sécurité

Meltdown et Spectre : les nouvelles failles de sécurité

Meltdown ("effondrement") et Spectre viennent d'être dévoilées au grand public par Jann Horn, chercheur dans l'équipe du Google Projet Zéros et sont deux failles de sécurité. Ces failles concernent l'ensemble des ordinateurs Windows, Mac et Linux contenant des processeurs de la marque Intel, AMD et ARM mais aussi vos tablettes et smartphones. 

meltdown et spectre

Qu'est ce que Meltdown et Spectre ? 

Intel, AMD et ARM pour augmenter les performances de leurs processeurs autorisent des codes à s'exécuter de façon prédictive ce qui permet aux processeurs de prendre des données dans un code voisin censé être confidentiel. Pour empêcher cela, la seule possibilité est de brider les processeurs pour désactiver ces optimisations. Les failles Meltdown et Spectre bien que similaires ont chacune des particularités :

  • Meltdown : la faille concerne les processeurs de la marque Intel et agit en lisant la mémoire du noyau (le kernel). Ainsi, Meltdown fait fondre la protection entre le kernel et les applications.
  • Spectre : cette faille concerne l'ensemble des processeurs et notamment ceux de la marque AMD et ARM. Spectre casse l'isolation entre les applications. D'après les chercheurs, Spectre nécessiterait ainsi davantage d'habileté en cybercriminalité que Meltdown.

Les conséquences sont nombreuses. Les informations qui devraient être inaccessibles depuis le système d'exploitation et qui ne sont pas chiffrés peuvent maintenant être piratées par un logiciel ou un script malveillant. Un script en JavaScript exécuté par un navigateur peut suffire à exploiter cette faille et accéder aux données, ce qui la rend d’autant plus dangereuse.

Comment protéger votre machine ? 

Spectre concerne l'ensemble des processeurs ARM et AMD. La faille de sécurité Meltdown concerne l'ensemble des processeurs Intel. Ainsi, c'est pratiquement l'ensemble des ordinateurs tournant sous Windows, Mac et Linux qui sont concernés. 

Les éditeurs des différents systèmes d'exploitation ont mis en place des patchs correctifs qui permettent de combler partiellement ces problèmes de sécurité et protéger votre ordinateur.  Ces patchs ne concernent que Meltdown, Spectre ayant des racines plus profondes.

  • Sur windows : Vous pouvez dès à présent par le biais d'une mise à jour protéger votre ordinateur. Les versions 7, 8 et 10 ont un patch. (Pour mettre votre ordinateur à jour, cliquez ici)
  • Sur mac : Mac propose une première version correctrices  : La version 10.3.2 de High Sierra. La version 10.3.3 qui arrivera très prochainement apportera encore d'autres protections (Pour mettre votre mac à jour, cliquez ici)
  • Sur Linux : les différentes distributions possèdent déjà un patch. Il vous suffit simplement de les mettre à jour. (Vous trouverez ici un guide pour installer cette mise à jour)

Les patchs disponibles ralentissent cependant votre machine et les logiciels professionnels de 5 à 30 % selon les derniers tests effectués. Compte tenu des risques possibles si les correctifs ne sont pas appliqués, il s'agit d'un moindre mal. Intel affirme travailler sur d'autres fix pour réduire cet impact.

Notre logiciel Kiwi Backup est-il sécurisé ? 

Les données sauvegardées avec Kiwi Backup sont hébergées chez OVH. L'entreprise travaille activement pour sécuriser au maximum ses serveurs. Octave Klaba (fondateur d'OVH) communique l'info suivante :  "Nous avons déjà protégé certains services, via le déploiement des correctifs disponibles à ce jour. Pour d’autres services la sécurisation est en cours ou à venir."

Nos serveurs sont isolés et leurs accès sont restreints à nos équipes avec une identification forte. Ainsi, aucune donnée entrante n'est exécutée. Chaque machine est protégée par un firewall et est mise à jour à chaque sortie de patch. Vous pouvez sauvegarder vos données en toute tranquillité !

Et après ?

Les mises à jour des systèmes d'exploitation ne combleront pas les failles à 100 %. En effet, Spectre en particulier ne pourra être complètement colmaté qu’après un cycle de renouvellement hardware.  Spectre et Meltdown n'ont pas fini de faire parler d'eux !

Pour plus d’informations sur les deux failles, vous pouvez consulter le site créé par Jann Horn et son équipe : https://spectreattack.com

Articles relatifs