Meltdown et Spectre, les deux failles critiques découvertes dans la
plupart des processeurs
LE MONDE | Par Martin
Untersinger
La nouvelle a jeté un froid dans le monde de la sécurité
informatique : des chercheurs ont
annoncé, mercredi 3 janvier, avoir mis au point deux
cyberattaques permettant la captation de données efficaces contre un
très grand nombre de modèles de processeurs, en particulier ceux fabriqués
par l’américain Intel.
Surnommées Meltdown (« effondrement ») et Spectre par les
chercheurs qui les ont conçues, elles exploitent des défauts présents dans
quasiment toutes les puces Intel construites ces vingt dernières années et de
nombreuses autres provenant de différents fabricants.
Une très large majorité des machines informatiques (téléphones portables,
tablettes, ordinateurs, serveurs…) sont donc vulnérables à
l’une ou à l’autre. Et comme ces attaques s’en prennent à un
composant physique de l’ordinateur, tous les systèmes d’exploitation – les logiciels
faisant fonctionner un appareil électronique, comme Windows, Android, iOS –
sont touchés.
Le processeur – une des pièces maîtresse de tout système
informatique – est le composant qui effectue les calculs nécessaires au
fonctionnement de l’appareil et des programmes qui y sont installés. Toutes
les données gérées par un système informatique s’y trouvent en transit à un
moment ou à un autre. Lorsqu’elles sont traitées par le processeur,
elles sont censées être cantonnées à des
zones étanches. Or les chercheurs ont démontré qu’il était possible de contourner ces
protections et d’obtenir copie de données traitées par le processeur et
supposées inaccessibles.
Zone critique
Un pirate peut donc en théorie utiliser ces attaques pour dérober des
informations sensibles, notamment des mots de passe. L’une d’elles, Meltdown,
donne même accès à des données issues d’une zone critique au fonctionnement
d’un ordinateur – et normalement ultraprotégée – le « kernel », ou
noyau, qui fait le lien entre le matériel et les logiciels.
Ce problème se révèle particulièrement inquiétant pour les sociétés du
secteur du cloud pour lesquelles la confidentialité des données est un
impératif. Ces dernières hébergent fréquemment sur une seule machine les
données – site Internet ou intranet, messagerie – de plusieurs clients. Ces
derniers partagent donc un même processeur. En mobilisant Spectre, des
pirates présents sur un serveur pourraient donc accéder à des données
normalement protégées de leurs « colocataires ».
Avertis en amont par les chercheurs, la plupart des grands acteurs du
secteur ont déjà corrigé leurs infrastructures ou s’apprêtent à le faire. « Microsoft
a publié plusieurs mises à jour pour limiter l’impact de ces vulnérabilités.
Nous avons aussi pris des mesures pour sécuriser nos services de
cloud », a fait savoir la firme de Redmond (Etat de Washington) sur
son site Web.
Google
a aussi annoncé avoir « mis à jour » ses systèmes « contre
ce nouveau type d’attaque » ; tout
comme Amazon, très gros fournisseur de cloud. Octave Klaba, le fondateur
et dirigeant d’OVH, le géant de l’hébergement, a détaillé
sur Twitter les mesures prises par son entreprise pour protéger ses
clients.
Forte confusion
Si Meltdown – qui concerne en très grande majorité les processeurs Intel –
peut être repoussée, il en va différemment pour sa petite sœur Spectre. Cette
dernière a des racines plus profondes et les constructeurs vont devoir
modifier l’architecture même de leurs puces pour s’en prémunir. Cela signifie
que certains appareils demeureront vulnérables pendant des mois, voire des
années. Cette persistance a même donné son nom à l’attaque : « Comme
elle est difficile à contrecarrer, cette attaque va nous hanter pour un
bon moment », écrivent les
chercheurs.
A ce stade, les conséquences pour les utilisateurs lambda devraient être
limitées. Cependant, il est difficile d’anticiper les multiples façons dont
ces attaques pourront être utilisées à moyen terme par des pirates. Les
chercheurs ont déjà précisé qu’il était possible d’activer Spectre directement
depuis un navigateur Web, via un site contenant du code conçu à cet effet.
Une information confirmée par une
analyse préliminaire conduite par Mozilla, qui édite le navigateur
Firefox. Cette possibilité est loin d’être anodine, puisqu’elle facilite la
diffusion et la mise en œuvre de l’attaque.
En attendant, les particuliers doivent impérativement installer
les mises à jour proposées par leurs ordinateurs ou téléphones.
Certaines des mesures prises par les développeurs des systèmes d’exploitation
sont cependant susceptibles de ralentir le fonctionnement des processeurs.
Les experts divergent toutefois sur l’ampleur exacte de ce ralentissement.
Intel assure qu’il sera minime.
La publication, mercredi 3 janvier, des détails concernant Meltdown
et Spectre, par des chercheurs de Google et de l’université de Graz en
Autriche notamment, a mis fin à plusieurs heures d’une forte confusion.
L’action Intel affectée en Bourse
La rumeur d’une faille dans les processeurs Intel circulait depuis
quelques semaines, et pour cause : les chercheurs travaillaient sur ces
attaques depuis des mois et avaient averti dans le plus grand secret certains
fabricants, une pratique courante en la matière. Pour éviter de donner des
idées à tous types de pirates, il faut en effet que l’annonce des failles
soit postérieure ou simultanée à leur correction. Le secret, qui devait
prendre fin le 9 janvier, a été éventé par
une enquête du site spécialisé The Register. Afin qu’un maximum d’experts
puisse prendre des mesures, les chercheurs ont décidé de précipiter la
publication officielle de leurs trouvailles.
Dans
un communiqué publié le 3 janvier, Intel a tenté de minimiser les
effets de ces attaques sur ses produits, une stratégie moquée et critiquée
dans le milieu de la sécurité informatique. Jeudi soir, le groupe a déclaré
que les correctifs destinés à régler les problèmes de sécurité ne
ralentiraient pas les ordinateurs. En deux jours, l’action d’Intel a perdu
environ 5 % de sa valeur.
Par ailleurs, la presse américaine a
remarqué que le PDG de l’entreprise, Brian Krzanich, avait vendu, en
novembre 2017, pour 39 millions de dollars (32 millions
d’euros) de parts de la société alors qu’Intel était déjà au courant des
failles touchant ses produits. Il pourrait devoir s’en expliquer très
prochainement : hasard du calendrier, il est censé s’exprimer lundi en
ouverture du CES, le Salon des nouvelles technologies à Las Vegas (Nevada).
Source: http://www.lemonde.fr/pixels/article/2018/01/...zcDmmPdSqEM0.99
Nouvelle vulnérabilité «effarante» chez Intel/ 24 heures
High-techLa faille présente sur le programme Intel AMT «permet à un
hacker de pirater l’appareil en moins de 30 secondes».
Même si la cyberattaque initiale nécessite un accès physique, elle peut
être réalisée très rapidement. Image: AFP
Une vulnérabilité d’un programme de mise à jour à distance du groupe américain
Intel permet aux pirates informatiques de pénétrer dans la plupart des
ordinateurs portables professionnels, affirme vendredi le spécialiste
finlandais de la cybersécurité F-Secure. Cette faille n’a aucun rapport avec
les vulnérabilités Spectre et Meltdown, dont la récente mise en lumière a
déjà ébranlé le géant américain, spécialiste des puces informatiques.
La faille présente sur le programme Intel AMT (pour Active Management
Technology) «permet à un hacker disposant d’un accès physique à l’appareil de
le pirater en moins de 30 secondes», explique F-Secure dans un communiqué,
ajoutant qu’«elle affecte (…) potentiellement des millions d’ordinateurs
portables dans le monde».
«Simplicité effarante»
Cette vulnérabilité est «d’une simplicité presque effarante, mais son
potentiel destructeur est incroyable», déclare Harry Sintonen, le consultant
de F-Secure qui l’a découverte. «En pratique, cette faille peut donner au
hacker le contrôle total sur l’ordinateur portable concerné, et ce, en dépit
des mesures de sécurité les plus pointues.»
Un pirate qui a l’ordinateur en main peut sans peine modifier la
configuration d’Intel AMT et ensuite accéder au système de commande à
distance, sans avoir à entrer aucun mot de passe.
Il lui suffit, explique F-Secure, de redémarrer (ou d’allumer)
l’ordinateur en question, puis d’appuyer sur les touches Ctrl et P pendant le
démarrage, sans avoir à entrer aucun mot de passe. Il aura ensuite à se
connecter au module de gestion d’Intel AMT avec le mot de passe par défaut
«admin» –puisque, la plupart du temps, cette valeur par défaut n’est pas
personnalisée–, avant de modifier le mot de passe et d’activer l’option
d’accès à distance.
Action rapide
Même si la cyberattaque initiale nécessite un accès physique, elle peut
être réalisée très rapidement, selon Harry Sintonen: «Vous laissez votre
ordinateur portable dans votre chambre d’hôtel, le temps d’aller boire un
verre. Le pirate entre alors par effraction et reconfigure votre appareil en
moins d’une minute. Il peut ensuite y accéder chaque fois que vous utilisez
le réseau wifi de l’hôtel. Et puisque l’ordinateur se connecte au VPN (réseau
privé virtuel, ndlr) de votre entreprise, le pirate peut accéder aux
ressources de celle-ci.»
La vulnérabilité «affecte la plupart, sinon tous, les ordinateurs
portables» utilisant Intel AMT, selon F-Secure. Intel a bien sûr été prévenu,
a relevé la société finlandaise. «Ne laissez jamais votre ordinateur portable
sans surveillance dans un endroit non sécurisé, notamment dans les lieux
publics», exhorte F-Secure, qui conseille évidemment de modifier le mot de
passe d’AMT.
Recommandations publiées
Intel a réagi en disant avoir justement recommandé à plusieurs reprises de
changer ce mot de passe. «Nous nous réjouissons que des chercheurs aient
attiré l’attention sur le fait que certains fabricants de systèmes n’ont pas
configuré leurs systèmes pour protéger le module de gestion» d’AMT quand ils
l’intègrent dans leurs produits, a indiqué un porte-parole à l’AFP.
«Nous avons publié des recommandations sur les meilleures pratiques de
configuration en 2015, et nous les avons mises à jour en novembre 2017. Nous
encourageons vivement les équipementiers à configurer leurs systèmes pour
optimiser la sécurité», a-t-il expliqué, assurant qu’«Intel n’a pas de plus haute
priorité que la sécurité de (ses) clients». (afp/nxp)