Ce qu’il se passe est relativement grave. Trois failles, potentiellement catastrophiques pour toute une génération de processeurs, ont été divulguées cette semaine. Il s’agit d’un problème de conception des processeurs.
Cette faille de sécurité est-elle dangereuse ?
Oui, plutôt. Plus grave encore que la baisse potentielle des performances (jusqu’à 30 %) avec le correctif, ces failles de sécurité — Meltdown et Spectre — permettent de lire la mémoire système, ce qui peut donner accès (aux personnes malveillantes) à des informations sensibles, telles que des mots de passe, des clés de chiffrement ou des informations sensibles des applications et programmes.
Nos confrères de Numerama ont publié un dossier très complet sur les détails de cette faille de sécurité.
Quels sont les systèmes visés ?
Google n’a pas attendu l’embargo fixé par les acteurs de l’industrie pour publier des détails sur les trois variantes de la faille. On apprend donc que AMD, ARM et Intel sont touchés par la faille. Ce n’est pas seulement le noyau Linux qui doit être mis à jour (ici, version 4.15) mais aussi tous les OS : Windows, Mac OS, mais aussi Android. D’ailleurs, ARM a également confirmé que ses processeurs Cortex-A sont vulnérables.
Heureusement, Google n’a pas réussi à reproduire la vulnérabilité sur les appareils Android basés sur ARM. Cela ne signifie pas que nos smartphones sont hors de danger.
Quels correctifs ?
Google précise sur son blog que l’équipe Google Project Zero a été à l’origine de la découverte de cette faille, ils ont ensuite contacté tous les acteurs du marché, y compris Intel, AMD et ARM, ainsi que les constructeurs. Devant le battage médiatique, ils ont pris l’initiative de communiquer sur la faille avant la levée de l’embargo, prévue le 9 janvier prochain.
Android
Sur Android, Google nous précise que les appareils avec la dernière mise à jour de sécurité sont hors de danger. Il s’agit plus précisément du patch de sécurité de janvier, le dernier patch en ligne. Aucun appareil sur le marché n’est donc protégé à ce jour, mais les appareils Nexus et Pixel seront pris en charge avec la dernière mise à jour de sécurité.
Cela sera également le cas pour les appareils des autres fabricants, il faudra attendre patiemment le patch de sécurité de janvier 2018. D’ailleurs, il sera intéressant d’évaluer l’impact du correctif sur les performances de nos appareils. Google précise qu’il travaille étroitement avec ses partenaires pour déployer rapidement le patch en question.
Pour le moment, Android n’est donc pas directement visé, néanmoins cette faille pourrait être l’occasion de s’apercevoir qu’il est impossible de mettre à jour l’ensemble des appareils Android. Si une mise à jour des Google Play Services suffisait, Google pourrait la pousser à travers le Play Store, mais le correctif nécessite une mise à jour du noyau du système. Évidemment, les appareils populaires seront mis à jour rapidement, mais qu’en est-il des vieux appareils ? De ceux des petits constructeurs ? Ou encore des appareils qui n’ont reçu aucune mise à jour depuis leur commercialisation ?
Chrome OS
Concernant Chrome OS, les noyaux 3.18 et 4.4 ont été patchés avec le Kernel Page Table Isolation (KPTI) sur Chrome OS 63. Il s’agit de la dernière mise à jour de Chrome OS disponible depuis mi-décembre. Nous vous encourageons vivement à mettre votre Chromebook à jour.
Vous trouverez davantage d’information sur ce lien, sur le site officiel de Google.
Notons que Google nous précise également que l’infrastructure qui héberge Google Apps et Google Suite est protégée. Les autres produits Google, comme le Chromecast, Google WiFi et Google Home, ne sont pas touchés par la faille selon Google.
Windows 10, iOS, macOS et Linux
Microsoft a également publié un correctif d’urgence pour tous les appareils fonctionnant sous Windows 10, avec d’autres mises à jour prévues. Ce patch pouvant créer des Blue Screen en cas d’incompatibilité avec l’antivirus, son déploiement est bloqué pour les utilisateurs d’un antivirus tiers, à moins que le vendeur de ce dernier n’ait modifié une clé de registre en particulier. Numerama référence les anti-virus compatibles avec la mise à jour Windows.
Il y a eu aussi des rumeurs concernant un correctif partiel de macOS déployé avec la version 10.13.2. Pour iOS, Apple n’a encore rien communiqué publiquement. Enfin, le noyau Linux 4.15 comporte les correctifs de la faille.
Quel impact sur les performances ?
On ne sait pas non plus comment les différents correctifs affecteront les performances des processeurs. Certaines estimations (pour des systèmes basés sur Linux) ont atteint 17 %, bien que d’autres tests montrent peu ou pas d’effet sur les performances. Néanmoins, cela semble être lié aux performances de base de l’appareil, ce qui pourrait être bien plus visible sur des smartphones d’entrée de gamme.
Quoi qu’il en soit, le mal est fait et il faut s’attendre à une volée de mises à jour dans les jours qui viennent. Nous vous invitons également à lire le dossier de Numerama sur le sujet, très complet.
Pour aller plus loin
Bug critique Intel : jusqu’à 30 % de performances en moins sur PC
Rendez-vous un mercredi sur deux sur Twitch, de 17h à 19h, pour suivre en direct l’émission SURVOLTÉS produite par Frandroid. Voiture électrique, vélo électrique, avis d’expert, jeux ou bien témoignages, il y en a pour tous les goûts !
[…] son principe, la faille est similaire aux précédentes vulnérabilités Meltdown et Spectre, qui avaient affecté les principaux constructeurs de CPU en début 2018. Celle-ci exploiterait […]
Concrètement, le gros problème concerne les serveurs, que ce soit dans le e-commerce et le cloud et probablement les entreprises soumises aux risques d'espionnage. Pour un PC de particulier, l'intérêt pour les hackers est bien moindre pour ne pas dire nul. Il n'est toujours pas prouvé qu'un simple script JavaScript sur une page web permet de piquer le numéro de carte bleue d'un particulier lors des achats et de toute façon, la quasi totalité des transactions sont désormais vérifiées par sms (visa ou mastercard secure), ce qui empêche tout possesseurs d'un numéro de CB de réaliser une transaction non autorisée.
Pour MacOS, cela a été confirmé par Apple.
Gros bad buzz en tout cas si c'est une "connerie marketing". C'est comme si macdo communiquait sur le fait que son bigmac donne le cancer, tu crois vraiment que ça serait bénéfique pour les ventes ? En tant qu'utilisateur lamda si on me dit qu'avec mon processeur intel je suis bridé, je vais tout simplement prendre un AMD la prochaine fois.
C'est la NSA qui va pas être contente si les trous commencent à être bouchés :/
Merci pour ton article :-)
"on est bcp plus cadré que sur un PC par exemple ou l'on peut télécharger n'importe quoi n'importe où." et d'ailleurs c'est bien pour ça que je préfère mon PC à mon Android, et que je préfère un Android à un iOS :) encore heureux que je peux faire ce que je veux de ma machine.
ils suivent même ça de tre tre près ! :D
pour répondre à ta question 2 ou 3 ? --->>>>
Dans le cadre des SMS dont tu parles, ce n'est pas la plateforme de distribution qui est en cause, mais l'OS. Tu peux très bien fournir une application qui fait la même chose hors store. Je n'ai jamais prétendu que les analyses faites par Google étaient suffisantes, ou équivalentes à celles d'Apple de manière générale. Mais pour l'exploitation de ces failles spécifiques, un humain ne verra rien de plus. À partir du moment où la faille n'est pas détectable, l'exploiter via une application distribuée sur le store n'est plus vraiment un souci...
Dans le cas des applis qui envoyaient des SMS premium à l'insu des utilisateurs pour escroquer de l'argent sur le store Android (le Play Store), les utilisateurs ont été dédommagés. Evidemment, je ne parle pas de ceux qui téléchargent des APK craquées en direct ou des apps sur des stores douteux (type porno par exemple). Un jeu qui a besoin d'envoyer des SMS (on le voit dans les demandes d'autorisations) c'est suspect et il est relativement simple de demander des précisions au développeur sur le pourquoi du comment. Une machine n'est pas capable d'identifier des besoins ponctuels hors cadre normal qui pourraient se justifier car il faut un traitement manuel et une communication avec le développeur, sans parler du contrôle des visuels qui ne peut pas être fait que par un humain. (certains applis sur Android ont déjà repris des images sous copyright de type Nintendo ou d'images inappropriées). Google a choisi de tout automatiser, mais il est relativement facile de tromper leur contrôle automatique, l'écrémage se fait par la suite, une fois les plaintes des utilisateurs reçues. Dans ce cas, il faut aussi les rembourser s'ils se sont fait escroqués. Par ailleurs, la remontées d'informations peut se voir en vérifiant l'activité sur les ports TCP / UDP avec l'adressage lorsque l'application fonctionne. Là encore, on peut demander des précisions au développeur. Chez Apple, tout est vérifié par un humain avant, en plus de contrôle automatique de la non présence de frameworks privés ou de bibliothèques non autorisées. Bref, la présence de malwares sera plus facilement détectées que sur un PC ou personne ne contrôle rien quand le le code n'est pas libre. Dans tous les cas, c'est que le contrôle des apps n'a pas été assez rigoureux ou défaillant, et ça, c'est bien le job de Google ou Apple. On ne peut pas prendre 30% de commissions et fuir ses responsabilités, juridiquement, il y a une faute. Et puis comme personne n'est anonyme quand on est développeur d'app mobiles sur les stores officiels, il y a aussi la question de possibles poursuites pour ceux qui se feraient coincer (c'est déjà arrivé en France avec les SMS premium). La plupart des hackers opèrent dans l'ombre, pas en étant enregistrés chez Apple ou Google avec un numéro de siret ou de sécurité sociale.
<blockquote>D'ailleurs personne ne sait vraiment rien, la preuve, AMD qui a annoncé ne pas être impacté alors que c'est faux.</blockquote> AMD a annoncé ne pas être impacté par la première, Metldown. Ce qui est vrai.
Outre le fait, comme l'a précisé @gUI:disqus, que Spectre soit potentiellement déjà exploitable via un bête navigateur, ce n'est pas si simple que ça. Oui, Apple et Google font des tests. (Si ceux de Google sont bien plus rapide, c'est tout simplement qu'ils sont automatisés, mais ce n'est dans tous les cas pas un humain qui sera capable de détecter l'exploitation de ce genre de failles, le seul truc qui peut marcher, c'est une analyse statique, ce que fait Google. Dans tous les cas, ça reste extrêmement complexe à détecter.) Mais tu te trompes sur la problématique. La responsabilité ne sera jamais celle d'Apple, ni de Google. Mais surtout, tu ne t'en rendras même pas compte… Il est relativement simple d'exploiter Spectre de manière totalement transparente, que ce soit pour Apple, Google, ou l'utilisateur. Le seul moyen de te mettre la puce à l'oreille, c'est de voir tes données exploitées ou publiées par la suite. (Et au passage, non, ce ne sont pas trois failles sur tous les CPU. Tous ne sont pas touchés par les trois familles de failles.)
Pour Spectre, il y a déjà un POC en Javascript qui existe : https://spectreattack.com/spectre.pdf
Ça reste quand même des CPU basés sur ARM, donc potentiellement touchés aussi non ?
oh non j'y croie pas trop aucun interet pour eux car ça touche meme des cpu recent.
Hier, c'était une faille sur les CPU Intel, aujourd'hui c'est trois failles sur tous les CPU (AMD, ARM et Intel), demain ce sera quoi ? Je vais parler de ce que je sais... Sur les stores de type iOS, les développeurs sont clairement identifiés (perso, Apple m'a appelé pour vérifier mon identité quand je me suis inscrit comme développeur et de toute façon, ils ont votre numéro de compte bancaire et vos coordonnées bancaires et d'entreprise pour les virements), les apps sont contrôlées avant mises en ligne (compter une dizaine de jours de délai pour le contrôle) et XCode / iOS est plutôt restrictif en terme de développement (impossible de lire ou envoyer des SMS à l'insu de l'utilisateur par exemple). Donc à moins d'avoir un iPhone jailbreaké, on est bcp plus cadré que sur un PC par exemple ou l'on peut télécharger n'importe quoi n'importe où. Android est bcp plus ouvert et offre bien plus de possibilités, le contrôle des apps ne prend que quelques minutes (à priori quasi inexistant vu le délai) mais Google fait régulièrement le ménage dans le store en virant quelques d'apps louches. Dans tous les cas, à la différence d'un ordi fixe, la responsabilité de Google et Apple sont engagés si vous vous retrouvez avec une vérole sur votre téléphone en ayant téléchargé via leurs stores officiels. Ils prennent 30% de commission sur les ventes et fournissent les infrastructures pour le téléchargement. Evidemment, le téléchargement d'apps sur les stores parallèle et non officiels est à bannir (sur Android). Donc à moins d'une faille exploitable par un script Javascript sur le web, il n'y a certainement pas lieu de s'affoler avec les applications mobiles. Tout cela est très différent des machines fixes.
Il n'y a effectivement rien de grave. Faut juste pas tenir à ses données personnelles, y compris les couples login/mot de passe.
Encore une connerie marketing pour faire acheter de nouveaux appareils et vous FrAndroid plongez dedans à bras ouverts ... C'est du bullshit il n'y a rien de grave jusqu'à preuve du contraire .
Merci pour les informations erronées. Ce n'est pas une faille, mais deux. Meltdown, celle dont vous parliez hier, est de loin la plus simple à exploiter. Elle n'existe que sur les processeurs Intel (tous depuis 1995, à part les Itanium et les Atom d'avant 2013). C'est elle qui est mitigée par les patchs à relativement fort impact niveau performances. La deuxième, Spectre, est <b>théoriquement</b> exploitable sur d'autres architectures. Il y a deux approches pour l'exploiter : l'une a déjà été corrigée au niveau des OS majeurs, sans impact notable, la deuxième variante est à priori inexploitable sur les AMD. En tout cas, en six mois, personne n'a réussi à l'y exploiter. À noter que le patch dont vous parlez depuis hier ne corrige pas cette deuxième variante, qui reste pour le moment exploitable sur les processeurs Intel.
La faille est signalée depuis début juin 2017. La correction n'est clairement pas triviale, et le patch appliqué était plus une solution de dernier recours qu'autre chose. La faille n'ayant pas été publiée avant, je trouve au contraire raisonnable que Microsoft et autres aient préféré attendre six mois pour bien comprendre les impacts potentiels plutôt que de sortir un patch à l'arrache.
"Pour une utilisation non serveur, tout semble pointer vers un impact nul ou infinitésimal, pour preuve, Microsoft semble avoir également appliqué le même type de patch dès novembre dans Windows 10" http://www.hardware.fr/news/15325/bug-securite-couteux-cote-serveur-intel.html Quelqu'un aurait le nombres de serveurs tournant sous macOS? ...
Heureusement Google est sur le coup.
Qu'en est il du Snapdragon 835 ?? Vu sa composition avec des coeurs qui sont customisés par les soins de Qualcomm, sont ils eux aussi touchés par ce pb ??
Mon minitel va tres bien
Pour MacOS l'article dit clairement que c'est une rumeur. D'ailleurs personne ne sait vraiment rien, la preuve, AMD qui a annoncé ne pas être impacté alors que c'est faux. Bref, wait&see et que les fanboys trolleurs calment leurs ardeurs avant de passer pour des cons.
sa fait depuis Q1 2017 que la faille est connu , quand intel la su , il on pas voulut la dévoiler par peur pour leur nouveau cpu , donc il rush les coffe lake et kaby lake x pour pas qu'il sont impacté en terme de vente
Sur macOS High Sierra, la faille est corrigée depuis sa sortie. Apple a été très réactive. Pour les autres ils ont tout intérêt. Si Apple a corrigé depuis un moment cette’ faille, cela veut dire que le preblème était connu depuis? Si c’est ça, pourquoi Intel n’a pas rectifié le tir avant la sortie de ses nouveaux processeurs? Pourquoi aussi les autres constructeurs comme Google et Microsoft n’ont pas été aussi réactifs qu’apple? Des questions auxquelles il va falloir répondre.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix