Vulnérabilités Spectre et Meltdown

L’information a été communiquée au grand public début Janvier 2018 : deux nouvelles « failles » (vulnérabilités), aux noms de film de James Bond, ont été divulguées  : « Spectre » et « Meltdown ». Elles concerneraient la grande majorité des processeurs utilisés : Intel (Leader du marché) mais peut être d’autres.

De quoi s’agit-il ?

Le processeur est le cœur de tout ordinateur, celui par qui transite toute l’information, qui réalise l’essentiel des traitements – le reste étant réalisé par des périphériques (carte graphique, contrôleur disque, carte réseau) non négligeables toutefois du point de vue sécurité.

Ces vulnérabilités sont en fait des défauts de conception (a priori involontaires) et découvertes récemment (du moins officiellement) qui permettraient théoriquement à un acteur mal intentionné (et très pointu) d’accéder à des données normalement protégées  : clés, mots de passe, etc.

Cela concerne donc tous les ordinateurs, PC, portables, serveurs, et particulièrement les serveurs hébergés sur lesquels cohabitent des données de plusieurs clients différents.

Que faire pour se protéger ?

En attendant l’arrivée de nouveaux processeurs sur vos futurs ordinateurs, les fabricants et éditeurs travaillent à colmater la brèche. Il faut donc appliquer dès qu’ils seront disponibles les correctifs des systèmes d’exploitation (par exemple Windows Update), mettre à jour vos logiciels tels que les navigateurs Internet (Mozilla, Chrome et autres) et bien sûr vérifier que vos antivirus sont à jour.

Pour les serveurs hébergés, les prestataires concernés sont bien entendu mobilisés, mais n’hésitez pas à vous tenir au courant des actions engagés par le vôtre, et de vous faire une opinion sur son sérieux et sa réactivité à cette occasion, en particulier pour les sites de commerce électronique.

Dernier point à prendre en compte et non des moindres : selon des estimations qui circulent déjà, les correctifs pourraient faire perdre jusqu’à 30 % de performances à vos systèmes : à surveiller de près pour éviter que vos applications ne s’écroulent si les serveurs sont déjà lourdement chargés.

sources :

https://www.ssi.gouv.fr/actualite/alerte-multiples-vulnerabilites-dans-des-processeurs-comprendre-meltdown-et-spectre-et-leur-impact/

http://www.journaldunet.com/solutions/expert/68294/meltdown—comment-eviter-que-la-faille-des-processeurs-intel-n-impacte-les-sites-e-commerce.shtml

http://www.lefigaro.fr/secteur/high-tech/2018/01/08/32001-20180108ARTFIG00156-failles-meltdown-et-spectre-plusieurs-actions-en-justice-engagees-contre-intel.php