Sécuriser votre entreprise contre SPECTRE/MELTDOWN : un résumé pragmatique
SPECTRE/MELTDOWN – En janvier, trois vulnérabilités ont été dévoilées. Elles affectent les processeurs modernes et peuvent par conséquent révéler des données privées à des attaquants.
– CVE-2017-5753 – Contournement de la vérification des limites (Variante 1 de Spectre)
– CVE-2017-5715 – Injection de cible de branche (variante 2 de Spectre)
– CVE-2017-5754 – Chargement abusif du cache de données (Meltdown)
Pour en savoir plus sur l’impact de ces vulnérabilités, veuillez consulter le site web spectre/meltdown.
De nombreux articles, bulletins de sécurité, nouvelles et documents ont été publiés jusqu’à présent sur la manière de remédier à ces vulnérabilités. Cet article vise à résumer ce flux d’informations et à donner des conseils pragmatiques.
Sécuriser les appareils des utilisateurs finaux
« Les appareils des utilisateurs finaux sont les plus vulnérables à Spectre/Meltdown, car un code non fiable peut facilement s’exécuter sur ces appareils (dans le navigateur, via une macro ou un exécutable téléchargé) et exploiter ces vulnérabilités. Ils doivent donc être corrigés le plus rapidement possible. » Pierre Alexis, consultant en cybersécurité
Comment sécuriser l’appareil de l’utilisateur final contre Meltdown?
Il suffit d’installer les dernières mises à jour de votre fournisseur de système d’exploitation. Tous les principaux systèmes d’exploitation disposent désormais de correctifs (Windows, macOS, Linux, iOS, Android, etc.) dont l’impact sur les performances est imperceptible. Appliquez simplement toutes les dernières mises à jour de sécurité. Pour les mises à jour Windows, veuillez noter que Windows n’installera pas la mise à jour tant que votre antivirus n’aura pas déclaré qu’il est prêt à la prendre en charge (par l’ajout d’une clé dans le registre Windows). Presque tous les antivirus déclenchent désormais cette déclaration (vérifiez si c’est le cas avec cette liste). Veuillez d’abord mettre à jour votre antivirus pour vous assurer que la déclaration est faite. Si vous n’avez pas d’antivirus installé, vous devez déclencher cette déclaration à la main(voir comment faire ici).
Comment sécuriser les appareils des utilisateurs finaux contre Spectre?
La sécurisation des appareils des utilisateurs finaux contre Spectre est un peu moins évidente, car une mise à jour du système d’exploitation ne sera d’aucune utilité. Deux autres mesures d’atténuation sont nécessaires:
Pour la variante 1: toutes les applications à risque doivent se patcher elles-mêmes. Les applications les plus risquées sont les navigateurs web. Tous les principaux navigateurs web ont été mis à jour pour inclure des mesures d’atténuation contre Spectre. Mettez simplement à jour vos navigateurs avec la dernière version, et continuez à le faire à l’avenir, car les mesures d’atténuation actuelles pourraient ne pas être définitives. L’impact sur les performances, même s’il n’est pas nul, est imperceptible pour l’utilisateur final.
Pour la variante 2: le microcode de votre processeur doit être mis à jour, par le biais d’une mise à jour du BIOS. Les mises à jour ne sont actuellement pas prêtes car elles sont encore instables et entraîneront des pertes de performances (potentiellement importantes pour les développeurs et les utilisateurs techniques). Nous devons donc attendre le feu vert des fabricants de processeurs. Lorsqu’elles seront prêtes, les mises à jour seront très probablement distribuées par les fabricants de votre matériel (HP, Dell, Lenovo, etc.) et/ou par le biais de mises à jour du système d’exploitation. Consultez à intervalles réguliers les bulletins de sécurité sur leur site web.
Sécuriser vos serveurs
Premier cas : vos serveurs se trouvent dans votre propre infrastructure
Si vos serveurs résident dans votre propre infrastructure (ils ne sont pas dans un environnement en nuage partagé entre plusieurs clients), les risques d’exploitation sont relativement faibles pour deux raisons principales :
– Tout d’abord, le code non fiable ne peut pas être exécuté facilement (en général, aucun navigateur n’est installé et utilisé sur les serveurs ; les attaquants devront d’abord obtenir un accès direct à votre serveur pour exécuter un code malveillant).
– Deuxièmement, comme vos serveurs ne fonctionnent pas dans un environnement partagé, il n’y a aucun risque qu’une machine virtuelle d’un autre client exécute un code malveillant qui accède à la mémoire de vos machines virtuelles contenant des données privées.
Notre conseil est donc de ne pas appliquer aveuglément les mises à jour spécifiques à Spectre et Meltdown, car elles peuvent entraîner une dégradation des performances. Évaluez d’abord la pertinence de ces mises à jour.
Remarque importante : cette recommandation ne s’applique PAS aux serveurs utilisés pour fournir des bureaux virtuels aux utilisateurs finaux (Citrix, RDP) ou sur lesquels une interface graphique est installée. Ces serveurs doivent être considérés de la même manière que les dispositifs destinés aux utilisateurs finaux (cf. supra).
Deuxième cas : vos serveurs se trouvent dans le nuage
Si vos serveurs fonctionnent dans un environnement en nuage partagé, vous êtes plus à risque, car les machines virtuelles d’un autre client, résidant sur le même serveur physique, pourraient exécuter (intentionnellement ou non) un code malveillant qui accèderait à la mémoire de vos machines virtuelles contenant des données privées.
Notre conseil : Il est donc important que vous vérifiiez auprès de votre fournisseur d’infrastructure ou de cloud que les correctifs ont été appliqués à la fois sur le système d’exploitation hôte (Windows, Linux, etc.) et sur le logiciel d’hyperviseur (VMWare, VirtualBox, etc.). Tous les principaux fournisseurs de services en nuage ont appliqué les correctifs stables disponibles (AWS, Google, Azur, OVH) et suivent de près la publication de nouveaux correctifs ou de mises à jour du microcode.
Il n’est pas obligatoire d’appliquer les correctifs sur votre système d’exploitation invité pour isoler vos applications des autres clients fonctionnant sur la même infrastructure. Notre conseil est donc de ne pas appliquer aveuglément les mises à jour spécifiques à Spectre et Meltdown, car elles peuvent entraîner une dégradation des performances. Évaluez d’abord la pertinence de ces mises à jour.
Conclusion et résumé
En conclusion et en fonction de l’élément de votre infrastructure que vous devez protéger, nous avons résumé nos recommandations en quelques mots ci-dessous.
Visitez notre site web pour plus d’informations.
À propos de l’article et de l’auteur :
– Sécuriser votre entreprise contre SPECTRE/MELTDOWN – L’article a été rédigé par Pierre Alexis, Consultant en cybersécurité Approach
– DERNIÈRE MISE À JOUR DE CET ARTICLE : 26 février 2018.
– Cet article traite d’une vulnérabilité récemment découverte. Les informations peuvent changer rapidement au fur et à mesure de l’évolution de l’événement. Veuillez consulter régulièrement cette page pour obtenir les dernières mises à jour sur ce sujet.
– Clause de non-responsabilité : ces informations sont partagées à titre informatif uniquement et doivent être utilisées avec précaution. Elles n’ont pas vocation à se substituer aux conseils professionnels fournis par nos experts.
