Ce mercredi (3), nous avons découvert qu’il y a deux graves défaillances dans les processeurs développés au cours des vingt dernières années. Les chercheurs en sécurité de Google affirment que Spectre affecte les puces Intel, AMD et ARM, alors que Meltdown semble se limiter à Intel.
Cela signifie que des failles de sécurité sont présentes dans les ordinateurs portables, les serveurs et les smartphones ? des zones où opère Google. L’entreprise a donc détaillé ce qu’elle fait pour atténuer le problème.
En gros, Spectre permet à une application de divulguer des informations sensibles à une autre application, brisant ainsi les mécanismes de sécurité comme le bac à sable de Google Chrome.
Comme nous l’expliquons ici, le problème réside dans l’exécution spéculative. Les processeurs modernes essaient de deviner quel code sera exécuté ensuite pour accélérer les performances. Ils peuvent être incités à exécuter un code qui semble “deviné” mais qui est malveillant.
Pendant ce temps, la fusion consiste à accéder à la mémoire réservée au noyau du système d’exploitation, qui dispose de plus grandes permissions. Il existe un mécanisme de sécurité pour empêcher cela sur les processeurs Intel, mais il peut être brisé.
Afin de résoudre complètement la fusion, il serait nécessaire de revoir la conception des puces. Il s’agit donc d’agir par le biais de logiciels, en séparant complètement les processus utilisateurs et la mémoire du noyau. La technique est appelée KPTI (Kernel Page-Table Isolation), et peut réduire les performances entre 5 et 30 %.
Voici ce que fait Google pour atténuer le problème par le biais de logiciels :
Sommaire
Chrome
Le Chrome 64, qui sera diffusé le 23 janvier, sera doté de protections supplémentaires pour empêcher les exploits. Les prochaines versions incluront davantage de mesures préventives, mais Google avertit que cela “pourrait entraîner une réduction des performances”.
Actuellement, Chrome dispose déjà d’une fonction pour atténuer le Spectre, appelée Isolation complète du site. Il peut être activé à l’adresse chrome://flags/#enable-site-per-process. Cela fonctionne sur Windows, MacOS, Linux et Android ; le navigateur utilise le moteur de rendu d’Apple sur iOS.
Chrome OS
Les appareils équipés de Chrome OS recevront les mêmes mesures que le navigateur Chrome. De plus, les ordinateurs portables à processeur Intel “dans les noyaux 3.18 et 4.4 sont fixés avec le noyau KPTI (Page Table Isolation) dans Chrome OS 63 et supérieur”. Les anciens noyaux seront bientôt mis à jour.
Selon Google, la panne n’affecte pas les Chromebooks équipés de processeurs ARM. Néanmoins, ils “seront également mis à jour avec la KPTI dans une prochaine version. Cette liste indique quels appareils ont reçu (ou recevront) la mise à jour.
Android
Selon Google, l’utilisation des défauts récemment découverts “s’est avérée difficile et limitée sur la plupart des appareils Android.
Néanmoins, le système a reçu une mise à jour de sécurité, distribuée aux fabricants en décembre 2017. Elle “comprend des mesures d’atténuation en réduisant l’accès à des minuteries de haute précision qui limitent les attaques sur toutes les variantes connues de processeurs ARM. Les futures mises à jour seront assorties de mesures d’atténuation supplémentaires.
Google a mis à jour le Nexus 5X, le Nexus 6P, le Pixel C, le Pixel/XL et le Pixel 2/XL. Quant aux autres appareils Android, ils dépendent de chaque fabricant.
Google Home, Chromecast, Google Wifi, Google OnHub
Ces appareils “n’utilisent que du code Google fiable et ne sont pas menacés par cette attaque”, explique l’entreprise.
Services Google, y compris Google Apps/G Suite
L’entreprise affirme que son infrastructure est protégée, y compris ses services – recherche, annonces, YouTube, Maps, G Suite – et les “données clients stockées par Google”.
Google Cloud
Les plateformes Google Cloud “isolent les charges de travail des clients les unes des autres et sont protégées des attaques connues pour les trois variantes. Vous pouvez obtenir plus de détails en cliquant sur ce lien.
