Data driven

Meltdown et Spectre : un début d’année 2018 à risque cyber pour les entreprises

1 février 2018

Ce début d’année a été particulièrement mouvementé pour les équipementiers de processeurs informatiques (Intel, AMD, ARM, Apple) qui ont découvert, presque en même temps que le grand public, la publication d’une série de recherches sur des vulnérabilités du système de leurs processeurs dont l’ampleur n’aurait pas de précédent.

Les vulnérabilités du système, qui ont été découvertes quasiment en parallèle par des équipes de recherche indépendantes, ont été codifiée Meltdown et Spectre. Ces deux vulnérabilités viennent exploiter des failles dans le mécanisme d’exécution spéculative des processeurs Intel ou Apple (Meltdown) ou de prédiction de branchement sur une famille plus large de composants (Spectre). Ces vulnérabilités, si exploitées, pourraient permettre à des attaquants ayant des accès sur une machine, de récupérer des informations confidentielles sur les applications ou sur les utilisateurs (tels que mot de passe, clé cryptographique).

Meltdown et Spectre

La découverte de ces deux vulnérabilités est particulièrement inquiétante pour tous les usagers de matériel informatique à titre individuel ou privé. En effet, une très grande partie du parc informatique mondial repose sur des micro-processeurs produits par les constructeurs Intel ou AMD, ce qui rend la surface d’attaque extrêmement large.

Comment se protéger ? et quelles sont les difficultés pour se protéger ?

Pour se protéger, des correctifs en provenance des éditeurs de systèmes d’exploitation ou de processeurs doivent être appliqués, biens que l’application des premières versions de ces patchs puissent avoir des effets de bords, voir s’avérer inefficaces.

L’application de correctif s’avère être relativement simple pour un particulier mais peut devenir vite problématique pour une organisation, notamment compte tenu de la diversité des médias impactés (ordinateurs, tablettes, objets connectés, distributeurs automatiques, …).

L’infrastructure on-premise et le cloud, les surfaces d’attaques à protéger

A ce titre, les entreprises doivent mener deux fronts en parallèle pour réduire leurs surfaces d’exposition à ces vulnérabilités : protéger leurs infrastructures propres (sur tout type de média) et s’assurer de la sécurisation de leurs applications hébergées dans le cloud. En effet, un des principaux risques de ces vulnérabilités provient de la capacité à un attaquant de contourner les mécanismes de cloisonnement logique (ex : serveur virtualisé) grâce à une vulnérabilité qui porte sur des couches physiques. Dans ce cadre, des formules de cloud hybrides, où les applications de différentes organisations sont physiquement hébergées sur les mêmes machines, pourraient devenir le terrain de jeux préférés des hackers…

Chaque découverte de nouvelle vulnérabilité enclenche une course contre la montre entre les professionnels de la sécurité en entreprises et les hackers

A la date de rédaction de cet article, il n’existe toujours pas de preuves évidentes d’attaques réalisées sur la base de ces 2 vulnérabilités. Une course contre la montre s’engage entre les hackers qui vont tenter d’exploiter le plus rapidement ces vulnérabilités, et les entreprises qui tenteront de mieux s’en protéger.  Cette crise de début d’année démontre à nouveau l’importance pour les organisations à se doter de maintien de niveau de sécurité rapide et efficient.

La capacité des entreprises à répondre à une vulnérabilité est une réelle assurance pour l’entreprise

Le processus de maintien au niveau de sécurité repose en partie sur le management des vulnérabilités.

management des vulnérabilités

Les points clefs étapes de la méthodologie de gestion des vulnérabilités sont les suivantes :

  1.  Découvrir / connaître son parc d’actif (logiciel, infrastructure, couche middleware, OS, …)
  2. Prioriser les actifs dits prioritaires et non prioritaires
  3. Réaliser régulièrement des exercices d’évaluation et de signalisation, c’est-à-dire à remonter des vulnérabilités qui pourraient affecter les actifs sensibles des entreprises. Pour ce faire, les entreprises disposent parfois d’équipes internes qui réalisent des veilles sur les vulnérabilités, mais font plus vraisemblablement appel à des entreprises spécialisées dans ce type d’activité ou à des outils automatisés.

Enfin les vulnérabilités détectées et jugées comme les plus préoccupantes, sont corrigées. Cette phase de correction peut parfois être problématique. C’est par exemple le cas des vulnérabilités Meltdown et Spectre où l’application de correctifs pourrait avoir des conséquences sur les performances de l’infrastructure de 3% à 5%. Il convient donc de bien évaluer l’impact des actions correctives avant de les appliquer.

Pour les entreprises qui font un usage fréquent d’infrastructures Cloud, la gestion des vulnérabilités doit être abordé différemment, étant donné que l’infrastructure, les couches middleware, voir applicative sont gérés par un tiers. A ce titre, il est d’usage que les entreprises s’assurent de la maturité de leurs fournisseurs vis-à-vis de leur gestion des vulnérabilités en réalisant des audits de sécurité ou en inscrivant des clauses sur le niveau de sécurité des hébergeurs lors de l’élaboration du contrat (ex : applications de correctifs en moins de 72h).

La gestion des vulnérabilités n’est pas une protection infaillible

Pour autant, un management des vulnérabilités n’est pas la solution à tous les problèmes de sécurité. Il existe de nombreuses attaques qui n’exploitent pas de vulnérabilités et qui peuvent avoir des effets désastreux pour l’entreprise (ex : vol de mots de passe, phishing, DDOS, …).

Dans le cas d’attaques réussies, l’entreprise doit savoir activer un autre processus : la gestion de crise cyber, dont nous parlerons lors d’un prochain article.

 

Références :

https://www.ssi.gouv.fr/actualite/alerte-multiples-vulnerabilites-dans-des-processeurs-comprendre-meltdown-et-spectre-et-leur-impact/

https://www.esecurityplanet.com/open-source-security/slideshows/10-open-source-vulnerability-assessment-tools.html

Newsletter

Inscrivez-vous à notre newsletter pour recevoir nos dernières actualités*

Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé de gestion des Clients et Prospects (CRM).

Le Responsable de traitement est la société weave, 37 rue du rocher 75008 Paris RCS Paris 802 396 085.

Elles sont destinées à l’activité marketing du groupe weave ainsi quà celle de ses filiales, à l’exclusion de tout transfert hors de l’UE. Elles sont conservées pour une durée conforme aux dispositions légales (par exemple 3 ans pour les données prospects).

Ce traitement nécessite votre consentement que vous pourrez retirer à tout moment sans que cela ne remette en cause sa licéité.

Conformément à la loi « Informatique et Libertés » et au règlement européen n°2016/679, vous bénéficiez d’un droit d’accès, de rectification ou d’effacement, ainsi que d’un droit à la portabilité de vos données ou de limitation du traitement. Vous pouvez également pour des raisons tenant à votre situation particulière, vous opposer au traitement de vos données et donner des directives relatives à la conservation, à l’effacement et à la communication de vos données après votre décès. Vous disposez également du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (www.cnil.fr).

Vous pouvez exercer vos droits en nous contactant à l’adresse vosdonnees@weave.eu.

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour mesurer notre audience, vous proposer des contenus et des offres personnalisées, ainsi que des fonctionnalités de partage sur les réseaux sociaux. En savoir plus sur notre politique de cookies et notre charte des données personnelles