[MAJ 10 / 01]Spectre et Meltdown : "Intel et d'autres fournisseurs avaient prévu de divulguer ce problème la semaine prochaine" (à 15 ans près #IntelMess)

>>> Mise à jour du 10 Janvier 2018 : Suite à une des mises à jours correctives prodiguées par Microsoft - KB4056892 - le 4 Janvier dernier, sur le forum dédié du géant de Redmond, des problèmes ont commencé à poindre du côté des détenteurs de processeurs AMD : "Microsoft s'est vu rapporter des dysfonctionnements sur des ordinateurs AMD devenus impossibles à démarrer suite à l'installation d'une récente mise à jour de sécurité Windows [...] Après enquête, Microsoft a découvert que certains chipsets AMD ne sont pas conformes aux documentations fournies à nos équipes dans le cadre du développement de patchs de sécurité visant à protéger les utilisateurs d'éventuels problèmes de sécurité liés aux failles connues sous les noms de Meltdown et Spectre". Hier, le 9 Janvier, un listing depuis le >support-Microsoft< consacré à ce soucis (principalement, des problèmes de redémarrages ou d'écrans bleus sous Win1, Win8.1 et Win10) a été publié et sera actualisé "dès que possible", comprenez, dès qu'AMD et Microsoft auront harmoniser le problème. D'ici là, normalement, les patchs incriminés (listés, donc) ne sont plus proposés via l'interface Update. De plus, la fondation Raspberry Pi tien à rassurer les esprits : "Les processeurs modernes font de grands efforts pour préserver l’abstraction qu’ils sont des machines scalaires qui accèdent directement à la mémoire, tout en utilisant une foule de techniques telles que la mise en cache, le réordonnancement des instructions et la spéculation pour des performances supérieures à celles que l’on peut espérer atteindre avec un simple processeur [...] le manque de spéculation dans les noyaux ARM1176, Cortex-A7 et Cortex-A53 utilisés dans les Raspberry Pi nous rend immunisés contre les attaques de ce genre" expliqué de manière très détaillée le fondateur de la nano-framboise, Eben Upton, dans son billet du 5 Janvier dernier... A suivre ! <<<


Actualité du 4 Janvier 2018 :

 

Il n'aura malheureusement pas fallu longtemps pour ternir l'actualité et sa page maculée de blanc dans le domaine des failles sécuritaires sérieuses ; Et, c'est Intel qui ouvre tristement le bal avec d'autres partenaires-producteur de puces : depuis hier, le fabricant a officiellement reconnu une vulnérabilité résidant dans la mémoire cache des processeurs basés sur le jeu x86-64 et permettant une attaque par canal auxiliaire (side-channel attack) !

 

 

Si le communiqué est arrivé officiellement hier, Mercredi 3 Janvier, du côté d'Intel, ce dernier n'a paradoxalement pas eu la primeur de l'information puisqu'on la doit, officieusement, à une observation, côté Github (en aparté : également du côté du programme bêta-test Windows 10 "Insiders" de Microsoft - fast ring - lors du déploiement de builds en Novembre et Décembre 2017 où certains utilisateurs ont découvert l'anomalie), d'une série de mises à jour sécuritaires pour le noyau Linux (v. 4.15). Baptisées mystérieusement "KAISER" elles ciblent, entre-autres, une modification de fonctionnement au niveau de la distribution de l'information dans la mémoire cache, celle-ci passant de l'exécution spéculative au "Kernel page-table isolation" (KPTI, nom définitif de cette série de patchs), une technique permettant d'isoler le noyau du reste du système pour éviter les intrusions éventuelles. Concernant le mode spéculatif, la puce va en quelque sorte prédire la finalité (l'endroit "pointé", au final) de l'instruction / l'action demandée et transitée ce qui incombe, en cas de "réponse" négative, une dépense-énergie superflue pour la puce (perte de temps et de ressources-système...) et une redirection (recherche) de l'instruction jusqu'à ce que la "réponse" soit positive. C'est ici que la faille réside : Google évoque des "effets secondaires" pouvant "conduire à la divulgation d'informations".

 

En effet, comme détaillé sur le billet du 3 Janvier dernier du blog ProjectZero de la firme de Mountain View, "les chercheurs [...] ont découvert trois méthodes (variantes) d'attaque, qui sont efficaces dans différentes conditions. Les trois variantes d'attaque peuvent permettre à un processus avec des privilèges utilisateur normaux d'effectuer des lectures non autorisées de données de mémoire, qui peuvent contenir des informations sensibles telles que des mots de passe, du matériel de clé cryptographique, etc". Plus précisément, 3 bulletins d'alertes ont été attribués via "Spectre" (regroupant CVE-2017-5753 + CVE-2017-5715) et Meltdown (CVE-2017-5754).

Cette vulnérabilité a été notifié par Google depuis Juin 2017 à Intel mais aussi AMD et ARM qui sont, selon les propos du géant Américain, tout aussi concernés, même si AMD tente de relativiser la gravité de l'affaire pour ses produits : "l'équipe de recherche de sécurité a identifié trois variantes ciblant l'exécution spéculative. La menace et la réponse aux trois variantes diffèrent selon les sociétés de microprocesseurs, et AMD n'est pas sensible aux trois variantes. En raison des différences dans l'architecture d'AMD, nous pensons qu'il existe un risque quasi nul pour les processeurs AMD pour le moment", confie le fabricant Californien à Axios.com. Même son de cloche côté ARM qui montre toutefois un peu plus de bonne volonté en listant "les puces qui sont susceptibles" d'être incriminées avec les solutions / actions à effectuer (mises à jour avec liens suivant systèmes d'exploitation).

En plus de son document explicatif, Google a communiqué sur la liste de ses produits / services affectés par cette faille qui concerne également, les services cloud (dans les nuages) d'Amazon (AWS : Amazon Web Services) qui a patché sa plate-forme pour les systèmes sous Linux, Windows étant géré via l'update de Microsoft qui déploiera progressivement l'ensemble selon les propos rapportés par TheVerge.com : "Nous sommes en train de déployer des mesures préventives sur les services cloud et avons également publié des mises à jour de sécurité pour protéger les clients Windows contre les vulnérabilités affectant les puces matérielles prises en charge par Intel, ARM et AMD". Windows 10 sera automatiquement et rapidement mis à jour (si ce n'est déjà fait pour certain(e)s), le patch de Windows 7 et Windows 8 n'étant pas déployé avant mardi 9 Janvier prochain... Même "non" son (puisqu'aucun communiqué officiel : information relayée dans les médias) de cloche pour Apple qui aurait déjà colmaté la vulnérabilité selon un Tweet d'Alex Ionescu avec, code à l'appui (et "d'autres surprises" pour les initiés...), un déploiement intimiste pour MacOS High Sierra (v. 10.13.2 + v. bêta 10.13.3).

Online.net prévoit une maintenance à partir de demain, le 5 Janvier prochain, pour procéder à la réinitialisation des serveurs avec les patchs appliqués. OVH procédera de même (grand maximum courant de la journée du 4 Janvier voire à partir de Samedi prochain, pour les détenteurs d'un abonnement "public cloud" / "VPS")

 

Il faudra attendre le Mardi 9 Janvier pour en savoir plus quant à la teneur de cette histoire semble t-il compromise ("embargo" obligeait) ; mais certains acteurs technologiques / fabricants ont tenu à briser le silence pour couper court à certaines polémiques ou théories sur le sujet comme le point épineux des conséquences de l'application des patchs sécuritaires puisque ceux-ci devraient entraîner, comme le démontre TheRegister, une dépréciation globale des performances-systèmes comprise entre 5 et 30 %. En notant que certains fabricants comme AMD semblent ne pas trop s'inquiéter pour leurs produits ; information avérée ou déni volontaire : réponse dans quelques jours... A suivre !

 

Source : Blog Google Project Zero - 3 Janvier 2018 - Spectre et Meltdown (puces Intel, AMD et ARM).