L’un des derniers messages liés à ce domaine a été baptisé « Meltdown/Spectre ». L’histoire a été abondamment relayée dans la presse au cours de ces derniers jours et semaines. Nous avons demandé à Erik Moreau (Technical Supervisor chez Aurelium et MVP Windows and Devices for IT) de nous expliquer ce dont il s’agissait précisément et les actions que nous devons entreprendre pour limiter au maximum les risques.
Quel est précisément le problème ?
Le problème réside ici au niveau de la puce qui se trouve dans votre ordinateur. En plein cœur de votre système. Le problème a fait l’objet d’une attention telle car il touche pratiquement tous les ordinateurs mis sur le marché ces 10 dernières années et comportant des puces Intel (Meltdown). Mais des problèmes peuvent également se poser avec les puces d’AMD et d’ARM (Spectre).
Dans les deux cas (Meltdown/Spectre), une erreur de conception permet à des mots de passe et clés de chiffrement d’être prélevés de la mémoire de l’ordinateur. Dans le cas de Meltdown et Spectre, le problème ne se situe pas au niveau du logiciel (Microsoft, Adobe, navigateurs, etc.). La présence de bogues dans les logiciels est communément admise et les producteurs de ces logiciels disposent dès lors de systèmes de mise à jour (souvent automatiques) pour, dès qu’une fuite est identifiée, y remédier par le biais d'une mise à jour logicielle. Le problème dans ce cas est donc bien plus large, étant donné qu'il ne touche pas le logiciel mais le matériel de vos appareils.
L’envergure du risque
Comme expliqué, une foule de systèmes en circulation sont confrontés au problème. La possibilité d’exploiter l’erreur pour accéder à des données sensibles est donc présente sur une quantité considérable d’appareils.
Mais soulignons que son exploitation proprement dite, sur la base du bogue, n’a rien d’aisé. Un accès direct à l’appareil en question reste nécessaire pour y installer en local un logiciel capable d’exploiter la faille.
Au vu de l’étendue du problème, il est toutefois probable que des pirates tentent d’en profiter.
Que faire pour me protéger ?
Le premier conseil n’est pas différent du conseil général donné dans le domaine de la protection de votre infrastructure informatique : n'installez pas n’importe quel logiciel que vous trouvez intéressant ou amusant, ne cliquez pas sur n’importe quel lien intéressant sur Internet et gardez vos systèmes à jour et installez donc des correctifs et mises à jour.
Mais ces dernières ne sont pas encore pour tout de suite. Surtout étant donné que l’exploitation de la faille n’est pour l’heure pas encore simple.
Les correctifs sont systématiquement disponibles mais leur stabilité laisse çà et là à désirer. Il semble en outre que l’installation des correctifs a ensuite un impact majeur sur la performance des systèmes.
Une fois la mise à jour effectuée et les correctifs installés, il convient donc de s’assurer attentivement que tout va bien. Il est donc préférable de prendre le temps de le faire et de le planifier soigneusement.
Sur quels systèmes installer des correctifs ?
Les principaux éléments pour lesquels une mise à jour devra être installée :
- Sur les systèmes clients : BIOS du système, système d’exploitation Windows et l’antivirus
- Sur les serveurs : BIOS du système, système d’exploitation Windows, l’antivirus, activer le correctif par le biais de clés supplémentaires
- Sur les hyperviseurs : BIOS du système et mises à jour classiques
Les correctifs et mises à jour actuels seront indubitablement encore adaptés et améliorés pour réduire l’impact sur les systèmes.
Conclusion
Spectre & Meltdown sont des risques de sécurité très répandus. Le risque d’exploitation est cependant encore très réduit (les pirates ne disposent pas encore d’une manière fluide d’exploiter la faille). Malheureusement, les correctifs et mises à jour des systèmes sont également ardus et pas entièrement sans risque.
Nous vous recommandons donc de garder votre calme et de faire preuve de prudence lors de l’installation de correctifs et de mises à jour. Et, bien entendu, soyez prudent avec l’installation d’un logiciel et ne cliquez pas sur des liens dans lesquels vous n’avez pas entièrement confiance. Mais c’est le cas pour la majorité des risques. Toute occasion est cependant bonne pour attirer une nouvelle fois l’attention des utilisateurs de votre système TIC sur ce point.
