[ad_1]

Pomme, Google, Microsoft et d’autres géants de la technologie ont publié des mises à jour pour une paire de graves failles de sécurité présentes dans la plupart des ordinateurs, smartphones, tablettes et appareils mobiles modernes. Voici un bref aperçu de la menace et de ce que vous pouvez faire pour protéger vos appareils.

En cause sont deux vulnérabilités différentes, surnommées « Fusion » et « Spectre« , qui ont été découverts et signalés de manière indépendante par des chercheurs en sécurité de Technologie Cyberus, Googleet le Université de technologie de Graz. Les détails derrière ces bugs sont extraordinairement techniques, mais un site Web établi pour aider à expliquer les vulnérabilités les résume assez bien :

« Ces bogues matériels permettent aux programmes de voler des données qui sont actuellement traitées sur l’ordinateur. Bien que les programmes ne soient généralement pas autorisés à lire les données d’autres programmes, un programme malveillant peut exploiter Meltdown et Spectre pour obtenir des secrets stockés dans la mémoire d’autres programmes en cours d’exécution. Cela peut inclure vos mots de passe stockés dans un gestionnaire de mots de passe ou un navigateur, vos photos personnelles, vos e-mails, vos messages instantanés et même vos documents critiques pour l’entreprise.

« Meltdown et Spectre fonctionnent sur des ordinateurs personnels, des appareils mobiles et dans le cloud. Selon l’infrastructure du fournisseur de cloud, il peut être possible de voler des données à d’autres clients. »

Le bogue Meltdown affecte tous les processeurs Intel livrés depuis 1995 (à l’exception de Intel Itanium et Intel Atom avant 2013), bien que les chercheurs aient déclaré que la faille pourrait avoir un impact sur d’autres fabricants de puces. Spectre est une faille beaucoup plus étendue et gênante, affectant les ordinateurs de bureau, les ordinateurs portables, les serveurs cloud et les smartphones de divers fournisseurs. Cependant, selon les chercheurs de Google, Spectre est également considérablement plus difficile à exploiter.

En bref, s’il contient une puce informatique, il est probablement affecté par l’un ou les deux défauts. Pour l’instant, il ne semble y avoir aucun signe que les attaquants exploitent l’un ou l’autre pour voler des données aux utilisateurs. Mais les chercheurs avertissent que les faiblesses pourraient être exploitées via Javascript, ce qui signifie qu’il ne faudra peut-être pas longtemps avant que nous voyions des attaques qui exploitent les vulnérabilités intégrées dans des sites Web piratés ou malveillants.

Microsoft a publié cette semaine des mises à jour d’urgence pour résoudre Meltdown et Spectre dans ses différents systèmes d’exploitation Windows. Mais le géant du logiciel rapports que les mises à jour ne fonctionnent pas bien avec de nombreux produits antivirus ; le correctif est apparemment à l’origine du redoutable « écran bleu de la mort » (BSOD) pour certains utilisateurs d’antivirus. En réponse, Microsoft a demandé aux éditeurs d’antivirus qui ont mis à jour leurs produits pour éviter le problème de plantage de BSOD d’installer une clé spéciale dans le registre Windows. De cette façon, Windows Update peut dire s’il est sûr de télécharger et d’installer le correctif.

Mais tous les produits antivirus n’ont pas encore été en mesure de le faire, ce qui signifie que de nombreux utilisateurs de Windows ne pourront probablement pas télécharger ce correctif immédiatement. Si vous exécutez Windows Update et qu’il ne répertorie pas un correctif mis à disposition le 3 janvier 2018, il est probable que votre logiciel antivirus ne soit pas encore compatible avec ce correctif.

Google a publié des mises à jour pour remédier aux vulnérabilités des appareils alimentés par son Android système opérateur. Entre-temps, Pomme a dit ce tous iOS et Mac systèmes sont vulnérables à Meltdown et Spectre, et qu’il a déjà publié des « atténuations » dans iOS 11.2, macOS 10.13.2et tvOS 11.2 pour aider à se défendre contre Meltdown. L’Apple Watch n’est pas impactée. Des correctifs pour corriger cette faille dans les systèmes Linux ont été sorti le mois dernier.

De nombreux lecteurs semblent préoccupés par l’impact potentiel sur les performances que l’application de ces correctifs peut avoir sur leurs appareils, mais j’ai l’impression que la plupart de ces préoccupations sont probablement exagérées pour les utilisateurs finaux réguliers. Renoncer aux correctifs de sécurité pour d’éventuels problèmes de performances ne semble pas être une bonne idée compte tenu de la gravité de ces bogues. De plus, les bonnes gens du site de benchmarking Le matériel de Tom disent leurs tests préliminaires indiquent qu’il y a « peu ou pas de régression des performances dans la plupart des charges de travail de bureau » suite à l’application des correctifs disponibles.

Meltdownattack.com a une liste complète des avis aux fournisseurs. L’article académique sur Meltdown est ici (PDF); le papier pour Spectre peut être trouvé à ce lien (PDF). De plus, Google a publié une analyse très technique des deux attaques. La technologie Cyberus a leur propre article de blog sur les menaces.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *