Sécurité informatique

05 janvier 2018 12:40; Act: 05.01.2018 14:24 Print

Deux failles majeures affolent les géants du Net

Amazon, Google et maintenant Apple... Les géants du numérique tentent de limiter la casse après avoir été touchés par deux failles de sécurité majeures, «Spectre» et «Meltdown».

storybild

Selon certains experts, seul le remplacement du microprocesseur permettrait de se prémunir durablement d'un piratage. (photo: DPA)

Sur ce sujet

«Tous les systèmes Mac et appareils (mobiles) iOS sont affectés mais il n'y a aucune attaque connue à l'heure actuelle», a fait savoir la firme à la pomme, dont les appareils sont généralement réputés pour leur sécurité. «Spectre» et «Meltdown» concernent la quasi-totalité des micro-processeurs fabriqués ces dix dernières années par les entreprises Intel, AMD et ARM. Aucun ordinateur, smartphone ou tablette ne pourrait fonctionner sans ces composants miniaturisés, sorte de centres nerveux qui exécutent les programmes informatiques.

Cela distingue ces deux failles des alertes de sécurité plus classiques, qui concerne généralement du «software», des logiciels, et non du «hardware», les pièces composant les appareils. «Spectre» et «Meltdown» peuvent en théorie permettre d'accéder au «noyau» d'un système d'exploitation informatique, «exposant ainsi les informations critiques qui y seraient stockées», par exemple des mots de passe, explique dans une note publiée jeudi Chris Morales, chef de l'analyse sécurité pour l'entreprise de cybersécurité américaine Vectra Networks.

Mises à jour à faire

Luke Wagner, ingénieur logiciel pour Mozilla, explique lui sur le blog sécurité de cette fondation que la faille permettrait «à partir d'un contenu Internet de venir lire les informations privées». La quasi-totalité des appareils électroniques et informatiques fabriqués ces dernières années dans le monde est équipée de puces potentiellement vulnérables. Les plus grands noms du secteur numérique, tels Amazon, Google, Microsoft ou encore la fondation Mozilla, se sont donc lancés dans une course contre la montre pour limiter la casse, en annonçant la mise en place de correctifs logiciels.

Le géant américain des microprocesseurs Intel, de même que ses concurrents AMD ou ARM, a également commencé à diffuser des mises à jour de sécurité. Dans un communiqué diffusé jeudi, Intel a affirmé qu'il aurait d'ici la fin de la semaine prochaine «diffusé des mises à jour pour plus de 90% de ses processeurs sortis ces cinq dernières années». Pour éviter toute possibilité de piratage, Apple de son côté «conseille de ne télécharger des applications que depuis des sites sûrs, comme l'App Store». Le groupe précise avoir lui aussi diffusé des correctifs pour limiter l'impact possible de la faille «Meltdown» et en annonce d'autres prochainement.

Selon certains experts, seul le remplacement du microprocesseur permettrait de se prémunir durablement, une perspective lourde de conséquences pour tout le secteur. Ceci étant, expliquent-ils également, un piratage de ces processeurs exige un niveau technique très élevé, limitant selon eux les risques. L'agence américaine en charge de la cybersécurité (CERT) a indiqué «ne pas avoir connaissance» jusqu'ici de tentatives de piratage utilisant «Spectre» et «Meltdown».

(L'essentiel/AFP)

Vous venez de publier un commentaire sur notre site et nous vous en remercions. Les messages sont vérifiés avant publication. Afin de s’assurer de la publication de votre message, vous devez cependant respecter certains points.

«Mon commentaire n’a pas été publié, pourquoi?»

Notre équipe doit traiter plusieurs milliers de commentaires chaque jour. Il peut y avoir un certain délai entre le moment où vous l’envoyez et le moment où notre équipe le valide. Si votre message n’a pas été publié après plus de 72h d’attente, il peut avoir été jugé inapproprié. L’essentiel se réserve le droit de ne pas publier un message sans préavis ni justification. A l’inverse, vous pouvez nous contacter pour supprimer un message que vous avez envoyé.

«Comment s’assurer de la validation de mon message?»

Votre message doit respecter la législation en vigueur et ne pas contenir d’incitation à la haine ou de discrimination, d’insultes, de messages racistes ou haineux, homophobes ou stigmatisants. Vous devez aussi respecter le droit d’auteur et le copyright. Les commentaires doivent être rédigés en français, luxembourgeois, allemand ou anglais, et d’une façon compréhensible par tous. Les messages avec des abus de ponctuation, majuscules ou langages SMS sont interdits. Les messages hors-sujet avec l’article seront également supprimés.

Je ne suis pas d’accord avec votre modération, que dois-je faire?

Dans votre commentaire, toute référence à une décision de modération ou question à l’équipe sera supprimée. De plus, les commentateurs doivent respecter les autres internautes tout comme les journalistes de la rédaction. Tout message agressif ou attaque personnelle envers un membre de la communauté sera donc supprimé. Si malgré tout, vous estimez que votre commentaire a été injustement supprimé, vous pouvez nous contacter sur Facebook ou par mail sur feedback@lessentiel.lu Enfin, si vous estimez qu’un message publié est contraire à cette charte, utilisez le bouton d’alerte associé au message litigieux.

«Ai-je le droit de faire de la promotion pour mes activités ou mes croyances?»

Les liens commerciaux et messages publicitaires seront supprimés des commentaires. L’équipe de modération ne tolérera aucun message de prosélytisme, que ce soit pour un parti politique, une religion ou une croyance. Enfin, ne communiquez pas d’informations personnelles dans vos pseudos ou messages (numéro de téléphone, nom de famille, email etc).

L'espace commentaires a été désactivé
L'espace commentaires des articles de plus de 48 heures a été désactivé en raison du très grand nombre de commentaires que nous devons valider sur des sujets plus récents. Merci de votre compréhension.

Les commentaires les plus populaires

  • RamBo le 05.01.2018 19:15 Report dénoncer ce commentaire

    Ah là, c'est une vraie catastrophe. Guerre, famine, maladie, c'est rien, mais des "failles" dans le monde virtuel, c'est dramatique !

  • MartyMcFly le 05.01.2018 21:09 Report dénoncer ce commentaire

    Ces "bugs" d'insécurité dans conception CPU sont de vrais "methusalems". Au moins une des deux est dite exister depuis au moins 15 ans dans une dizaine de générations CPU de plusieurs producteurs de CPU sans avoir été détectées...

  • ToBoR NiW le 06.01.2018 12:16 Report dénoncer ce commentaire

    C'est quand même du petit lait là. On s'offusque, on spécule sur une pseudo-faille non-exploitée, voir inexploitable. les petits sont aux aboies, les plus gros s'activent à trouver le patch miracle pour calmer les petits. Mais depuis des années les gros pillent la vie privée des petits sans détour, sans avoir besoin de faille, et cela ne gène pas les petits. Pas la peine de discuter faille, la vraie faille exploitable c'est vous, l'utilisateur. Vous exposez votre vie privée via les réseaux, vos connaissance en sécurité sont très faibles, ... D'ailleurs pourriez-vous vous passez d'internet?

Les derniers commentaires

  • ToBoR NiW le 06.01.2018 12:16 Report dénoncer ce commentaire

    C'est quand même du petit lait là. On s'offusque, on spécule sur une pseudo-faille non-exploitée, voir inexploitable. les petits sont aux aboies, les plus gros s'activent à trouver le patch miracle pour calmer les petits. Mais depuis des années les gros pillent la vie privée des petits sans détour, sans avoir besoin de faille, et cela ne gène pas les petits. Pas la peine de discuter faille, la vraie faille exploitable c'est vous, l'utilisateur. Vous exposez votre vie privée via les réseaux, vos connaissance en sécurité sont très faibles, ... D'ailleurs pourriez-vous vous passez d'internet?

    • Ambassade de TontonBeberie le 06.01.2018 17:32 Report dénoncer ce commentaire

      Surtout que dans le milieu professionnel, cela est connu depuis 30 ans

  • MartyMcFly le 05.01.2018 21:09 Report dénoncer ce commentaire

    Ces "bugs" d'insécurité dans conception CPU sont de vrais "methusalems". Au moins une des deux est dite exister depuis au moins 15 ans dans une dizaine de générations CPU de plusieurs producteurs de CPU sans avoir été détectées...

  • RamBo le 05.01.2018 19:15 Report dénoncer ce commentaire

    Ah là, c'est une vraie catastrophe. Guerre, famine, maladie, c'est rien, mais des "failles" dans le monde virtuel, c'est dramatique !

  • Howaito le 05.01.2018 18:33 Report dénoncer ce commentaire

    L'attaque "Meltdown" qui affecte les cpu Intel permet d'accéder à la mémoire du kernel. Si un système comprend plusieurs VM, une attaque depuis une VM permet de compromettre le kernel et toutes les VM. Tous les services cloud sont affectés s'ils utilisent des cpu Intel. L'attaque "Spectre" affecte Intel, AMD, etc permet d'accéder à la mémoire du processus. L'attaque "Meltdown" est intraçable. La complexité de ces attaques ne limite pas vraiment les risques, c'est plutôt la valeur des informations qui conditionne les risques.

    • ToBor NiW le 06.01.2018 12:08 Report dénoncer ce commentaire

      Archi-faux, c'est beaucoup plus complexe car on est pas dans une série tv. Il n'y a en plus aucune information qui vaut les moyens d'une telle attaque, ce serait plus pour le défie. Et pas de chance, vu les moyens a mettre en œuvre, ce n'est pas à la portée des b/wHat. Pour ceux qui veulent comprendre ssimplement c'est comme si on disait que le moteur de l'auto n'est pas sécurisé car quelqu'un pourrait le démonter et accéder à son intérieur pour dire le km, votre style de conduite... C'est donc un peu ridicule de procéder ainsi!

    • Howaito le 06.01.2018 16:19 Report dénoncer ce commentaire

      @ ToBor NiW . Désolé, allez voir les documents pdf décrivant en détail ces attaques, ainsi qu'une démo de Michael Schwarz, enseignant à l'Université de Graz ( Autriche). Bien sûr qu'une telle attaque peut valoir le coup, notamment pour des serveurs mutualisés où peuvent tourner toutes sortes de sites dont des sites d'e-commerce. L'intérêt serait alors de récupérer des identifiants, des listes de clients , ainsi que toutes sortes d'informations.

  • NDYE le 05.01.2018 17:44 Report dénoncer ce commentaire

    C'est le hard qui serait en cause. Quel est le point commun entre ces # processeurs (Intel, AMD, ARM) ?

    • ________________________________________ le 05.01.2018 18:49 Report dénoncer ce commentaire

      En effet, j'ai payé 150e pour avoir une douche dorée. C'est même trop hard.

    • RamBo le 05.01.2018 19:15 Report dénoncer ce commentaire

      Oh, le "hard" :-)))) Je connais plutôt Joe Hart !

    • Howaito le 05.01.2018 20:11 Report dénoncer ce commentaire

      Oui, c'est bien au niveau de la puce. Le point commun entre ces cpus est l'exécution spéculative de plusieurs instructions dans le désordre afin d'optiniser la vitesse. Intel fait plus en chargeant à l'avance des données même si ces données ne sont pas dans l'espace d'adresses du processus : en clair des données de l'espace attribué au kernel sont pré-chargées, d'où la possible attaque Meltdown.

    • Ambassade de TontonBeberie le 06.01.2018 17:34 Report dénoncer ce commentaire

      Savez vous au moins ce qu'est l'"exécution spéculative" ? d'ailleurs le terme est extrêmement mal choisi, vous parleriez de "prédiction de branchements", vous seriez plus crédible dans le milieu professionnel ...

    • Howaito le 06.01.2018 18:12 Report dénoncer ce commentaire

      Le terme est peut-être mal choisi , mais il est largement utilisé ... dans le milieu professionel. Bien ã vous !

    • olaf le 07.01.2018 02:12 Report dénoncer ce commentaire

      et non TontonBeberie, ce n'est qu'un problème de prédiction de branchement mais bien l'exécution spéculative, l'instruction prédite est vraiment exécuté en plus du saut de prédiction. Allez lire les pdfs vous serez plus crédibles comme vous le dites si bien.