Pleins feux sur la sécurité : Meltdown et Spectre ♬ ♫ Ça chauffe ♬ ♫

Ahhhhh, cette chanson de Glenn Fry qui figure dans le Top 10 du Billboard et qui est tirée du film Beverly Hills Cop, qui a rapporté le plus d'argent en 1984.

La course aux correctifs contre les vulnérabilités des processeurs Meltdown et Spectre divulguées la semaine dernière est en cours et, dans le chaos et la confusion qui entourent ces problèmes, une chose est sûre : " The Heat is On " (la chaleur est à son comble) alors que nous entrons dans ce qui sera certainement l'une des vulnérabilités liées aux dépenses les plus élevées à atténuer depuis la sortie de ce film classique du milieu des années 80, étant donné que ces vulnérabilités affectent les processeurs présents dans presque tous les appareils informatiques modernes, y compris les ordinateurs personnels, les serveurs, l'infrastructure cloud, les téléphones et les tablettes - certains appareils IoT étant incapables d'être corrigés du tout !

Décortiquons les vulnérabilités pour mettre un peu d'ordre dans ce chaos.

Décortiquer les vulnérabilités[/caption]

La vulnérabilité Meltdown :

CVE-2017-5754 peut potentiellement permettre aux pirates de contourner la barrière matérielle entre les applications et la mémoire du noyau ou de l'hôte. Une application malveillante pourrait donc accéder à la mémoire d'autres logiciels, ainsi qu'au système d'exploitation. Tout système fonctionnant avec un processeur Intel fabriqué depuis 1995 (à l'exception des processeurs Intel Itanium et Intel Atom avant 2013) est concerné. Une excellente ressource est disponible sur le site meltdownattack.com, qui fournit une liste des avis de sécurité de l'information des principaux fournisseurs et un aperçu de l'exploit Meltdown en action !

La vulnérabilité Spectre :

Elle comporte deux variantes : CVE-2017-5753 et CVE-2017-5715. Ces vulnérabilités rompent l'isolation entre des applications distinctes. Un attaquant pourrait potentiellement avoir accès à des données qu'une application garderait habituellement en sécurité et inaccessibles dans la mémoire. Spectre affecte tous les appareils informatiques dotés de processeurs modernes fabriqués par Intel ou AMD, ou conçus par ARM.

Cela a-t-il un impact sur l'infrastructure informatique interne de mon entreprise ou sur mes appareils informatiques personnels ?

C'est simple : oui.

Les vulnérabilités sont présentes sur tous les appareils dotés de processeurs affectés, y compris les ordinateurs de bureau, les ordinateurs portables, les serveurs, l'infrastructure en nuage et les appareils mobiles.

Toutefois, les correctifs des systèmes d'exploitation et des logiciels atténuent les risques posés par Meltdown et Spectre.

Il faut donc s'atteler à patcher les actifs de l'entreprise et les appareils personnels, rincer et répéter 😊.

Pendant ce temps, les méchants chercheront à concevoir des exploits pour Meltdown et Spectre - si ce n'est déjà fait.

Jusqu'à présent, rien n'indique que des exploits contre ces vulnérabilités sont dans la nature, cependant, si un attaquant est bien financé et motivé - pensez au piratage de bitcoin/blockchain - nous pourrions en effet voir une nouvelle hausse de la température...

L'approche de Prophix

Chez Prophix, nous avons automatisé les correctifs des fournisseurs en interne et dans le cadre de notre offre SaaS Prophix Cloud, répondant immédiatement aux risques posés par Meltdown et Spectre et les atténuant dans l'ensemble de notre offre de services.

Dès la publication des premiers correctifs le 3 janvier 2018, notre fournisseur d'infrastructure cloud sous-jacent, AWS, a commencé à s'assurer que tous les systèmes étaient corrigés au niveau du microcode.

https://aws.amazon.com/security/security-bulletins/AWS-2018-013/

Après les tests initiaux, nos correctifs automatisés ont permis de déployer tous les correctifs des systèmes d'exploitation avec une couverture complète atteinte en moins de 72 heures !

dans la course au déploiement des correctifs au niveau mondial, la chaleur est à son comble, mais les choses sont beaucoup plus calmes si l'on tire parti de la puissance du cloud, de l'automatisation et du logiciel Prophix Cloud SaaS.

La course aux correctifs contre les vulnérabilités des processeurs Meltdown et Spectre, révélées la semaine dernière, est en cours et, au milieu du chaos et de la confusion qui entourent les problèmes..