Le monde a été pris au dépourvu par deux failles de sécurité qui affectent presque tous les processeurs lancés au cours des 20 dernières années. Meltdown et Spectre permettent la fuite d’informations sensibles, quel que soit le système d’exploitation utilisé. Heureusement, les grandes entreprises technologiques publient déjà des mises à jour pour atténuer les problèmes.
Sommaire
Windows, Linux et MacOS
Microsoft a publié mercredi soir (3) une mise à jour d’urgence pour les utilisateurs de Windows 10. Il y a toutefois un détail : si vous avez un antivirus tiers qui n’est pas encore pris en charge, le correctif ne sera pas installé automatiquement. En effet, certains d’entre eux, tels que Symantec Endpoint Protection, provoquent même la mort des écrans bleus en raison de changements dans le fonctionnement du système d’exploitation.
Cette liste, publiée par The Verge, est mise à jour alors que les sociétés d’antivirus préparent leurs logiciels de sécurité pour la remédiation de Microsoft. Si vous utilisez uniquement Windows Defender, le patch pour Windows 10 devrait déjà être disponible. Et dans les versions précédentes de Windows (7 et 8), les mises à jour devraient être publiées le 9 janvier.
Sous Linux, un correctif du noyau a déjà été développé pour atténuer Meltdown et Spectre, mais de grandes distributions n’ont pas encore publié la mise à niveau, comme Red Hat, Ubuntu et Debian. Red Hat prétend tester le correctif et le publiera dès que possible ; l’une des variantes de Spectre nécessitera également une mise à jour du microprogramme du processeur.
AppleInsider rapporte que le problème a été “partiellement résolu” dans la version 10.13.2 de macOS High Sierra, sortie en décembre, et il n’y a aucun signe de perte de performance avec la mise à jour. De plus, selon un développeur, il y aura des nouvelles contre les failles de 10.13.3.
Apple confirme l’information, ajoutant qu’il n’y a pas eu de “réduction mesurable des performances de MacOS, telles que mesurées par le benchmark GeekBench 4, ou les benchmarks de navigation web communs tels que Speedometer, JetStream, et ARES-6.
Android et iOS
Comme Spectre touche également les processeurs ARM, les smartphones équipés d’Android recevront une correction du noyau pour éviter que la panne ne soit exploitée. La mise à jour est datée du 5 janvier 2018.
Cependant, dans le cas d’Android, le problème est plus compliqué : ceux qui possèdent un Pixel, Pixel 2, Nexus 5X, Nexus 6P ou Pixel C devraient recevoir la correction rapidement, mais les propriétaires de smartphones d’autres marques doivent attendre la bonne volonté des fabricants. Google affirme avoir diffusé le correctif à ses partenaires matériels à la mi-décembre.
Apple indique que tous les appareils équipés d’iOS sont concernés, mais il y a déjà eu une mise à jour pour atténuer le problème : si vous utilisez iOS 11.2 ou supérieur, vous ne devriez pas être touché par les vulnérabilités.
Chrome, Firefox et Edge
En théorie, cette défaillance permet à une personne malveillante d’accéder à des informations sensibles à partir de la mémoire, même avec un code JavaScript s’exécutant dans le navigateur. C’est pourquoi Google, Mozilla et Microsoft s’efforcent de protéger leurs logiciels et d’isoler les onglets du reste du système d’exploitation.
Les utilisateurs de Firefox ont déjà une mise à jour disponible, à partir de la version 57 du navigateur. Mozilla rapporte que “l’ampleur de ce type d’attaque est toujours sous enquête et nous travaillons avec des chercheurs en sécurité et d’autres développeurs de navigateurs pour comprendre pleinement la menace et les solutions”.
Si vous utilisez Edge ou Internet Explorer, vous n’avez rien de particulier à faire : la mise à jour KB4056890, qui a été publiée dans le paquet d’urgence de Microsoft pour les utilisateurs de Windows 10, dispose déjà du correctif pour pallier la défaillance.
Chrome n’a pas encore de mises à jour disponibles. Selon Google, le moteur JavaScript V8 sera mis à jour pour atténuer le problème à partir de la version 64 du navigateur, qui sera publiée le 23 janvier. Les futures versions comporteront des protections supplémentaires pour réduire la probabilité d’attaques.
Les corrections ne sont pas définitives
Il est recommandé d’installer les correctifs dès que possible, mais il faut se rappeler qu’ils atténuent les problèmes, ils ne les résolvent pas complètement, puisque les défaillances se situent au niveau des processeurs. En termes simples, ce sont les gambiarras les plus proches de l’idéal que nous avons aujourd’hui.
La barrière logicielle supplémentaire pour se protéger contre la fusion, qui affecte les processeurs Intel, peut entraîner des pertes de performances de 5 à 30 %. Toutefois, le fabricant indique que les utilisateurs réguliers ne devraient pas ressentir d’impact significatif sur les performances.
Spectre, qui atteint presque toutes les puces fabriquées au cours des deux dernières décennies, est plus difficile à corriger : il faudrait revoir la conception des processeurs. Il est possible de bloquer certains types d’attaques, mais pas toutes à la fois, c’est pourquoi le logiciel sera mis à jour au cours des prochaines années pour renforcer la défense. Une solution définitive ne devrait pas apparaître avant qu’une nouvelle génération de transformateurs ne soit mise sur le marché.
Enfin, un antivirus ne devrait pas arrêter efficacement les applications qui tirent parti de Meltdown ou de Spectre, car elles sont difficiles à distinguer, contrairement aux logiciels malveillants. Et l’exploitation des failles ne laisse aucune trace sur le système d’exploitation, il n’y a donc aucun moyen de savoir qui a déjà été touché.
Tenez tout à jour. Bonne année 2018.
Mis à jour le 5 janvier.