Logo fr.androidermagazine.com
Logo fr.androidermagazine.com
» Aide et comment
Aide et comment

Meltdown Hack and Spectre Bug: son impact sur les utilisateurs d'Android & Chrome

Meltdown Hack and Spectre Bug: son impact sur les utilisateurs d'Android & Chrome

Table des matières:

Anonim

Vous avez peut-être entendu dire que le ciel était tombé et que l'apocalypse de la sécurité s'était produite à cause de deux nouvelles attaques nommées Meltdown et Specter. Si vous travaillez dans l'informatique ou dans tout autre domaine de l'infrastructure informatique à grande échelle, vous en avez probablement le sentiment et vous attend déjà avec impatience vos vacances de 2018.

Les médias ont d'abord entendu parler de ces exploits fulgurants à la fin de 2017. Des rapports récents étaient extrêmement spéculatifs et ont finalement obligé des entreprises telles que Microsoft, Amazon et Google (dont l'équipe de Project Zero a tout découvert) à donner des détails. Ces détails ont fait une lecture intéressante si vous êtes intéressé par ce genre de chose.

Mais pour tous les autres, quel que soit le téléphone ou l'ordinateur que vous utilisez, une grande partie de ce que vous lisez ou entendez peut sembler être dans une langue différente. C'est parce que c'est le cas, et à moins que vous ne maîtrisiez parfaitement le cyber-geek-sécurité-techno-discours, vous pourriez avoir à le passer par un traducteur quelconque.

Bonnes nouvelles! Vous avez trouvé ce traducteur et voici ce que vous devez savoir sur Meltdown et Spectre et ce que vous devez faire à ce sujet.

Que sont ils

Meltdown et Specter sont deux choses différentes, mais puisqu'elles ont été révélées au même moment et que les deux traitent de l'architecture du microprocesseur au niveau matériel, elles sont discutées ensemble. Le téléphone que vous utilisez actuellement est presque certainement affecté par l'exploit Spectre, mais personne n'a encore trouvé le moyen de l'utiliser.

Le processeur à l'intérieur de votre téléphone détermine sa vulnérabilité à ces types d'exploits, mais il est plus prudent de supposer qu'ils vous affectent tous en cas de doute. Et comme ils n'exploitent pas de bogue et utilisent plutôt un processus supposé se produire, il n'y a pas de solution facile sans mise à jour logicielle.

Regardez le téléphone dans vos mains. il est vulnérable à certaines de ces attaques.

Les ordinateurs (y compris les téléphones et autres ordinateurs minuscules) s'appuient sur ce que l'on appelle l' isolation de mémoire pour la sécurité entre les applications. Pas la mémoire utilisée pour stocker des données à long terme, mais la mémoire utilisée par le matériel et les logiciels lorsque tout fonctionne en temps réel. Les processus stockent les données séparément des autres processus, de sorte qu'aucun autre processus ne sait où et quand il est écrit ou lu.

Les applications et les services exécutés sur votre téléphone souhaitent tous que le processeur effectue certains travaux et lui fournissent en permanence une liste des tâches dont ils ont besoin pour être calculés. Le processeur n'exécute pas ces tâches dans l'ordre dans lequel elles ont été reçues. Cela signifie que certaines parties de la CPU sont inactives et attendent que d'autres soient terminées. La deuxième étape peut donc être effectuée une fois la première étape terminée. Au lieu de cela, le processeur peut passer aux étapes trois ou quatre et les exécuter à l’avance. Ceci est appelé exécution dans le désordre et tous les processeurs modernes fonctionnent de cette manière.

Meltdown et Specter n'exploitent pas de bogue - ils attaquent la manière dont un processeur calcule les données.

Parce qu'un processeur est plus rapide que n'importe quel logiciel, il devine un peu. L'exécution spéculative est le moment où la CPU effectue un calcul qu'il n'avait pas encore été demandé de faire sur la base des calculs antérieurs qu'il lui avait été demandé d'effectuer. Une partie du logiciel d’optimisation pour de meilleures performances de l’UC consiste à suivre quelques règles et instructions. Cela signifie que la plupart du temps, un flux de travail normal sera suivi et un processeur peut passer à autre chose pour que les données soient prêtes lorsque le logiciel le demande. Et parce qu'ils sont si rapides, si les données n'étaient pas nécessaires après tout, elles sont rejetées. Cela reste plus rapide qu'attendre que la demande effectue un calcul.

Cette exécution spéculative permet à Meltdown et à Spectre d’accéder à des données auxquelles ils ne pourraient pas accéder autrement, bien qu’ils le fassent de différentes manières.

Effondrement

Les processeurs Intel, les processeurs plus récents de la série A d'Apple et les autres SoC ARM utilisant le nouveau cœur A75 (pour l'instant, il ne s'agit que de Qualcomm Snapdragon 845) sont vulnérables à l'exploit de fusion.

La fusion s'appuie sur ce qu'on appelle une "faille d'élévation de privilèges" qui donne à une application l'accès à la mémoire du noyau. Cela signifie que tout code pouvant accéder à cette zone de mémoire - où se déroule la communication entre le noyau et la CPU - a essentiellement accès à tout ce dont il a besoin pour exécuter le code de son choix sur le système. Lorsque vous pouvez exécuter du code, vous avez accès à toutes les données.

Spectre

Spectre affecte presque tous les processeurs modernes, y compris celui de votre téléphone.

Specter n'a pas besoin de trouver un moyen d'exécuter du code sur votre ordinateur car il peut "inciter" le processeur à exécuter des instructions, puis à donner accès aux données d'autres applications. Cela signifie qu'un exploit pourrait voir ce que font les autres applications et lire les données qu'elles ont stockées. La manière dont une unité centrale traite les instructions en désordre dans les branches est l'attaque de Spectre.

Meltdown et Specter sont tous deux capables d'exposer des données qui devraient être mises en bac à sable. Ils le font au niveau matériel, pour que votre système d'exploitation ne vous protège pas. Apple, Google, Microsoft et toutes sortes de systèmes d'exploitation open source Unix et Linux sont également affectés.

En raison d'une technique connue sous le nom d' ordonnancement dynamique, qui permet de lire les données en mode informatique au lieu de les stocker en premier, il existe de nombreuses informations sensibles dans la RAM pour la lecture d'une attaque. Si vous êtes intéressé par ce genre de choses, les livres blancs publiés par l’Université de Technologie de Graz sont des lectures fascinantes. Mais vous n'avez pas besoin de les lire ou de les comprendre pour vous protéger.

Suis-je affecté?

Oui. Au moins, tu l'étais. En gros, tout le monde était touché jusqu'à ce que les entreprises corrigent leurs logiciels contre ces attaques.

Le logiciel nécessitant une mise à jour se trouve dans le système d'exploitation. Vous devez donc disposer d'un correctif d'Apple, de Google ou de Microsoft. (Si vous utilisez un ordinateur fonctionnant sous Linux et que vous ne possédez pas d'informationsec, vous avez déjà le correctif. Utilisez le programme de mise à jour de votre logiciel pour l'installer ou demandez à un ami qui utilise Infosec de vous guider tout au long de la mise à jour de votre noyau). La bonne nouvelle est que Apple, Google et Microsoft ont des correctifs déjà déployés ou en voie de l'être dans un avenir immédiat pour les versions prises en charge.

Les spécificités

  • Les processeurs Intel depuis 1995, à l' exception de l'Itanium et de la plate-forme ATOM antérieure à 2013, sont affectés à la fois par Meltdown et par Spectre.
  • Tous les processeurs AMD modernes sont affectés par l’attaque Specter. AMD PRO et AMD FX (les processeurs AMD 9600 R7 et AMD FX-8320 ont été utilisés pour prouver le concept) Les processeurs dans une configuration non standard (le JIT BPF du noyau activé) sont affectés par la fusion. On s'attend à ce qu'une attaque similaire contre la lecture en mémoire sur le canal latéral soit possible contre tous les CPU 64 bits, y compris les processeurs AMD.
  • Les processeurs ARM dotés de cœurs Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 et A75 sont suspects aux attaques Specter. Les processeurs dotés de noyaux Cortex A75 (le Snapdragon 845) sont vulnérables aux attaques par fusion. Il est prévu que les puces utilisant des variantes de ces cœurs, telles que la ligne Snapdragon de Qualcomm ou la ligne Exynos de Samsung, présenteront également des vulnérabilités identiques ou identiques. Qualcomm travaille directement avec ARM et a cette déclaration sur les points suivants:

Qualcomm Technologies, Inc. est au courant de la recherche en matière de sécurité sur les vulnérabilités de processeurs à l’échelle de l’industrie qui ont été signalées. Fournir des technologies qui prennent en charge une sécurité et une confidentialité solides est une priorité pour Qualcomm et, en tant que tel, nous travaillons avec Arm et d'autres pour évaluer l'impact et développer des mesures d'atténuation pour nos clients. Nous intégrons et déployons activement des mesures d'atténuation des vulnérabilités de nos produits impactés, et nous continuons à travailler pour les renforcer autant que possible. Nous sommes en train de déployer ces mesures d'atténuation auprès de nos clients et encourageons les utilisateurs à mettre à jour leurs appareils lorsque des correctifs sont disponibles.

  • NVIDIA a déterminé que ces exploits (ou d’autres exploits similaires susceptibles de se produire) n’affectent pas l’informatique GPU, leur matériel est donc en grande partie immunisé. Ils travailleront avec d'autres sociétés pour mettre à jour les pilotes de périphérique afin de réduire les problèmes de performances du processeur, et ils évaluent leurs SoC basés sur ARM (Tegra).

  • Webkit, les personnes à l'origine du moteur de rendu du navigateur de Safari et le précurseur du moteur Google de Blink, ont une excellente description de la manière dont ces attaques peuvent affecter leur code. Une bonne partie de ce texte s’appliquerait à n’importe quel interprète ou compilateur et c’est une lecture incroyable. Voyez comment ils travaillent pour le réparer et l'empêcher de se produire la prochaine fois.

En clair, cela signifie que, sauf si vous utilisez toujours un très vieux téléphone, tablette ou ordinateur, vous devez vous considérer vulnérable sans mise à jour du système d'exploitation. Voici ce que nous savons jusqu'ici sur ce front:

  • Google a corrigé Android contre les attaques Spectre et Meltdown avec les correctifs de décembre 2017 et de janvier 2018.
  • Google a corrigé les Chromebooks à l'aide des versions 3.18 et 4.4 du noyau en décembre 2017 avec OS 63. Les appareils dotés d'autres versions du noyau (regardez ici pour trouver le vôtre) seront bientôt corrigés. En clair: Le Chromebook Toshiba, le Acer C720, le Chromebook 13 de Dell et les Chromebook Pixels de 2013 et 2015 (et certains noms dont vous n'avez probablement jamais entendu parler) ne sont pas encore corrigés, mais le seront bientôt. La plupart des Chromebox, Chromebases et Chromebits ne sont pas corrigés, mais le seront bientôt.
  • Pour les appareils Chrome OS qui ne sont pas corrigés, une nouvelle fonctionnalité de sécurité appelée Isolation de site atténuera les problèmes liés à ces attaques.
  • Microsoft a corrigé les deux exploits à partir de janvier 2018.
  • Apple a corrigé macOS et iOS contre Meltdown à partir de la mise à jour de décembre. La première série de mises à jour de Spectre a été diffusée début janvier. Consultez iMore pour tout ce que vous devez savoir sur ces problèmes de processeur et leur incidence sur votre Mac, iPad et iPhone.
  • Des correctifs ont été envoyés à toutes les versions prises en charge du noyau Linux, et les systèmes d'exploitation tels que Ubuntu ou Red Hat peuvent être mis à jour via l'application de mise à jour de logiciel.

Pour les spécificités Android, les Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2 et Pixel 2 XL ont été corrigés et vous devriez bientôt voir une mise à jour si vous ne l'avez pas déjà reçue. Vous pouvez également mettre à jour manuellement ces appareils si vous le souhaitez. Le projet Android Open Source (le code utilisé pour créer le système d'exploitation de chaque téléphone Android) a également été corrigé et des distributions tierces telles que LineageOS peuvent être mises à jour.

Comment mettre à jour manuellement votre Pixel ou Nexus

Samsung, LG, Motorola et d'autres fournisseurs Android (sociétés qui fabriquent des téléphones, des tablettes et des téléviseurs) patcheront leurs produits avec la mise à jour de janvier 2018. Certains, comme le Note 8 ou le Galaxy S8, verront cela avant d’autres, mais Google a mis le correctif à disposition pour tous les appareils. Nous nous attendons à voir plus de nouvelles de tous les partenaires pour nous faire savoir à quoi s'attendre et quand.

Que puis-je faire?

Si vous avez un produit vulnérable, il est facile de tomber dans le battage publicitaire, mais vous ne devriez pas. Spectre et Meltdown ne surviennent pas tous les deux et dépendent de l’installation de logiciels malveillants qui les exploitent. En suivant quelques pratiques sûres, vous serez immunisé contre l’exploitation de tout matériel informatique.

  • Installez uniquement les logiciels en lesquels vous avez confiance depuis un endroit qui vous fait confiance. C'est toujours une bonne idée, mais surtout si vous attendez un correctif.
  • Sécurisez vos appareils avec un bon écran de verrouillage et un cryptage. Cela ne se limite pas à empêcher une autre personne d'entrer, car les applications ne peuvent rien faire tant que votre téléphone est verrouillé sans votre permission.
  • Lisez et comprenez les autorisations sur tout ce que vous exécutez ou installez sur votre téléphone. N'ayez pas peur de demander de l'aide ici!
  • Utilisez un navigateur Web qui bloque les logiciels malveillants. Nous pouvons recommander Chrome ou Firefox. D'autres navigateurs peuvent également vous protéger contre les logiciels malveillants basés sur le Web. Demandez aux personnes qui les fabriquent et les distribuent si vous n'êtes pas sûr. Le navigateur Web fourni avec votre téléphone peut ne pas être la meilleure option ici, surtout si vous avez un modèle plus ancien. Edge et Safari sont également approuvés pour les périphériques Windows ou MacOS et iOS.
  • N'ouvrez pas de liens sur les médias sociaux, dans un courrier électronique ou dans un message de quelqu'un que vous ne connaissez pas. Même s'ils proviennent de personnes que vous connaissez, assurez-vous de faire confiance à votre navigateur Web avant de cliquer ou d'appuyer sur. Cela double pour les liens de redirection qui masquent l'URL d'un site. Nous utilisons ce type de liens assez souvent et il est fort probable que vous lisiez beaucoup de médias en ligne. Faites attention.
  • Ne sois pas stupide. Vous savez ce que cela signifie pour vous. Faites confiance à votre jugement et privilégiez la prudence.

La bonne nouvelle est que la manière dont ces exploits de canaux secondaires sont corrigés ne va pas entraîner les énormes ralentissements qui ont été mis en avant avant la publication des mises à jour. C’est comme cela que fonctionne le Web. Si vous avez appris que votre téléphone ou votre ordinateur ralentirait de 30% après l’application de toute solution, c’est parce que le sensationnalisme vendra. Les utilisateurs qui utilisent un logiciel mis à jour (et l'ont fait pendant les tests) ne le voient tout simplement pas.

Le correctif n’a pas l’impact de performance que certains prétendent qu’il apporterait, et c’est une bonne chose.

Tout cela est dû au fait que ces attaques mesurent des intervalles de temps précis et que les correctifs initiaux modifient ou désactivent la précision de certaines sources de minutage via un logiciel. Moins précis signifie moins vite quand vous calculez et l'impact a été exagéré pour être beaucoup plus grand que ce qu'il est. Même les légères baisses de performances dues aux correctifs sont atténuées par d’autres sociétés et nous voyons NVIDIA mettre à jour la manière dont ses GPU traitent les données chiffrées ou Mozilla travailler sur la façon dont ils calculent les données pour les rendre encore plus rapides. Votre téléphone ne sera pas plus lent avec le correctif de janvier 2018, pas plus que votre ordinateur à moins qu'il ne soit très vieux, du moins de façon peu apparente.

Arrêtez de vous en préoccuper et assurez-vous de faire tout votre possible pour protéger vos données.

Ce qu'il faut enlever de tout

Les alertes de sécurité ont toujours un impact réel. Personne n'a jamais vu de cas de Meltdown ou de Spectre être utilisé à l'état sauvage, et comme la plupart des périphériques que nous utilisons tous les jours sont mis à jour ou le seront très bientôt, les rapports resteront probablement de cette façon. Mais cela ne signifie pas qu'ils doivent être ignorés.

Prenez les menaces de sécurité comme celle-ci au sérieux, mais ne craignez pas le battage médiatique; être informé!

Ces exploits de canaux latéraux pouvaient potentiellement devenir un événement aussi important que sérieux qui inquiète tout le monde en matière de cybersécurité. Tout exploit qui affecte le matériel est sérieux, et quand il attaque quelque chose qui a été fait exprès au lieu d’un bogue, cela devient encore plus sérieux. Heureusement, les chercheurs et les développeurs ont pu capturer, contenir et patcher Meltdown and Specter avant toute utilisation généralisée.

Ce qui est vraiment important ici, c’est que vous obteniez les bonnes informations pour que vous sachiez quoi faire chaque fois que vous entendez parler d’une nouvelle cybermenace qui vise tous vos contenus numériques. Il existe généralement un moyen rationnel d'atténuer les effets graves une fois que vous avez dépassé tous les titres.

Restez en sécurité!

Nous pouvons gagner une commission pour les achats en utilisant nos liens. Apprendre encore plus.

Aide et comment

Le choix des éditeurs