webleads-tracker

Meltdown et Spectre

 

Asnières, le 11/01/2018

La situation aujourd’hui

Une semaine après la divulgation d’une faille d’importance globale par un groupe de chercheurs en sécurité informatique (projet « Google Zero » [1]) dont la presse spécialisée s’est largement fait l’écho, nous avons souhaité revenir sur les circonstances de cet événement d’envergure et faire un point sur les contre-mesures mises en place par Networth.

L’impact pour Networth Telecom et les clients

Chez Networh Telecom, la sécurité de vos données et services est notre plus grande priorité : nous avons, dès les premières heures de la divulgation publique de la faille (le 3 janvier 2018), mobilisé nos équipes afin de comprendre, évaluer et mitiger les risques posés au sein de nos infrastructures.

Nous hébergeons nos propres serveurs dans nos salles machines, et seuls nos applicatifs tournent sur ces serveurs : nous ne sommes donc pas impactés par cette situation.

L’accès distant aux espaces de gestion de nos clients (tableaux de bord, provisioning, …) est limité aux adresses Internet de chaque client ce qui rend les tentatives de découverte d’une éventuelle faille combinatoire avec Meltdown/Spectre extrêmement difficiles.

Par principe de précaution, nous avons néanmoins déjà déployé des correctifs permettant de bloquer l’utilisation de la variante 3 de la faille (Meltdown), via une mise à jour des systèmes d’exploitation de nos serveurs (ces correctifs ont été rendus disponibles le 10 janvier). En ce qui concerne les deux autres variantes de la faille (Spectre), nous sommes en attente de la publication par Intel d’un « micro-code » (logiciel de très bas niveau qui va directement modifier une partie du comportement erroné du processeur), nécessaire pour une résolution définitive du problème.

Nous restons mobilisés et attentifs aux communications des constructeurs, et à votre disposition si vous avez des questions supplémentaires sur le sujet.

Nous vous invitons à mettre à jour vos postes de travail et/ou serveurs le plus rapidement possible (activation des politiques de mises à jour automatiques pour les systèmes Microsoft, Apple ou Linux, suivi et application des bulletins de sécurité émis par les vendeurs de navigateurs, etc. …). Il a en effet été démontré qu’un code Javascript (exécuté au sein des navigateurs Internet) peut permettre d’exploiter la faille (« timing attack » [1]).

Ce qu’il faut retenir sur les failles

La faille (déclinée en 3 variantes) peut s’expliquer simplement de la manière suivante : une programme informatique (application) tournant sur un serveur (sans droits particuliers) obtient la possibilité d’ « espionner » l’espace mémoire d’un autre programme tournant sur le même serveur (Spectre variantes 1 et 2), ou du système d’exploitation sous-jacent lui-même (Meltdown variante 3).

Cette faille est rendue possible par l’évolution de l’optimisation du fonctionnement des processeurs au fil des années, et plus particulièrement par l’une d’entre elle appelée « exécution spéculative de code », et la présence de zones de « mémoire cache » très rapides entre les unités de traitement internes et la mémoire principale de l’ordinateur: il devient possible dans certaines conditions (bien qu’assez difficile) de relire le contenu volatile de ces zones de cache, contenu qui est mutualité par tous les applications fonctionnant à un instant sur le serveur.

Il est ainsi potentiellement possible de récupérer certaines données sensibles comme des mots de passe, des clés privées cryptographiques, ou tout autre donnée sensible qui n’aurait pas dû être visible en dehors de l’espace mémoire de l’applicatif qui les manipule.

Il faut néanmoins relativiser les impacts de ce problème par les considérations suivantes :

– La faille est d’autant plus sensible / exploitable que le serveur ou l’ordinateur est utilisé par plusieurs clients différents (typiquement au sein d’offres d’hébergement mutualisé ou de « Cloud Computing », dites « multi-tenants » (Amazon Web Services, Google Compute Platform, OVH, Dédibox, etc.): ces acteurs ont d’ailleurs pris la mesure du danger et se sont mobilisés de manière globale et coordonnée pour protéger leurs clients le plus rapidement possible. A noter que la faille permet de passer outre l’isolation imposée par les techniques d’hypervision, de containerisation ou de machine virtuelle.

– Elle ne peut être exploitée que localement depuis le serveur, elle prend donc toute son importance (en dehors du cas précédent) lorsqu’elle est couplée à d’autres failles permettant l’intrusion distante.

Références

[1] https://meltdownattack.com/ [en]

à découvrir
aujourd’hui

14% de R&D et un CA en augmentation de 21% !

Victoire

Networth Telecom investit toujours plus en R&D et dans les investissements technologiques : en ...

Le Roaming en 8 questions / réponses

mobile en roaming

1)    Quels types de communication sont concernés ? Les appels, les SMS, la DATA en si...