Protection contre les failles Meltdown et Spectre

Parchafik

Protection contre les failles Meltdown et Spectre

Tout le monde est concerné par les failles Meltdown et Spectre

Dans le sillage des révélations sur les bugs de Meltdown et de Spectre, beaucoup de gens se demandent s’ils sont affectés ou non. Compte tenu du nombre de puces avec cette faille, les chances que votre ordinateur ait une vulnérabilité sont très élevées.

Trois variantes de failles selon Google Project Zero

Dans un récent article, l’équipe de Google Project Zero qui avait alerté Intel, il y a plusieurs semaines des failles sur ses processeurs nous donnent plus de précision sur Meltdown et Spectre. Le groupe indique en fait qu’il y a 3 variantes de cette faille.

La variante 1 et la variante 2 ont été appelées “Spectre”. La variante 3 a été appelée “Meltdown”

  • Variante 1 ( CVE-2017-5753 ) “contrôle de contournement des limites“. Cette vulnérabilité affecte des séquences spécifiques dans des applications compilées, qui doivent être traitées sur une base binaire. Cette variante est actuellement à la base de préoccupations concernant les attaques de navigateur, l’exploitation de Javascript et les vulnérabilités dans les binaires individuels.
  • Variante 2 ( CVE-2017-5715 ), “injection cible de branche“. Cette variante peut être soit fixée par une mise à jour du microcode CPU du fournisseur de l’UC, soit en appliquant une protection logicielle appelée ” Retpoline ” aux binaires où une fuite d’informations est présente. Cette variante est actuellement à la base des préoccupations concernant la virtualisation du Cloud et les problèmes de “contournement de l’hyperviseur” qui affectent des systèmes entiers.
  • Variante 3 ( CVE-2017-5754 ), “chargement de cache de données non autorisé “. Cette variante est à la base de la discussion autour de “KPTI” ou “Kernel Page Table Isolation”. Lorsqu’un attaquant a déjà la possibilité d’exécuter du code sur un système, il peut accéder à la mémoire à laquelle il n’avait pas de permission

Bonnes pratiques pour minimiser les risques:

  • Mettre à jour votre navigateur web vers les dernières versions
  • Vérifier que votre antivirus est compatible et qu’il est à jour.
  • Mettre à jour les bios et firmwares de votre PC, voir sur le site du constructeur
  • Installer les mises à jour de sécurité Windows et le patch de Microsoft KB4056892
  • Installer patch des systèmes d’exploitation Linux et MacOs
  • mettre à jour vos smartphones (android, Iphone, windows phone) et les applications
  • Mettre à jour vos box internet, switchs et routeurs réseaux
  • Si vous accédez à un fournisseur Cloud, normalement celui-ci a déjà pris les devants

Procédure pour un PC Windows

Un plan de protection en trois phases :

  1. Vérifiez que vous exécutez une application antivirus compatible avant d’installer les mises à jour du système d’exploitation ou du micrologiciel.Contactez le fournisseur du logiciel antivirus pour obtenir des informations de compatibilité.
  2. Appliquez la mise à jour du microprogramme ou firmware applicable fournie par le fabricant de votre PC.
  3. Appliquez toutes les mises à jour du système d’exploitation Windows disponibles, y compris les mises à jour de sécurité Windows de janvier 2018 avec notamment le KB4056892.

Mise à jour du BIOS de la carte mère

Le premier réflexe consiste à vérifier la mise à jour du BIOS de votre carte-mère. Rendez-vous pour cela sur le site officiel du constructeur, et regardez si une mise à jour récente (après le 3 janvier 2018) n’a pas été déployée. Si vous ignorez le modèle exact de votre carte mère, mais connaissez au moins le fabricant, sachez que tous les constructeurs livrent sur leur site un petit utilitaire permettant d’identifier les composants de votre PC.

Mais il y a encore plus simple : cliquez à l’aide du bouton droit de la souris sur le bouton Windows de la barre des tâches. Cliquez sur Exécutez et entrez le terme cmd dans la fenêtre qui s’affiche. Entrez la commande suivante :

systeminfo.exe

info carte mere

Vous devriez dès lors retrouver le nom du fabricant et le modèle exact de votre carte mère. Il ne vous reste plus qu’à récupérer le dernier firmware en date sur le site du fabricant.

La mise à jour du firmware s’opère aujourd’hui de la manière la plus simple qui soit (plus besoin de créer un disque ou une clé USB de démarrage). Tout se fait soit depuis un utilitaire exécutable sous Windows, soit depuis l’UEFI de la carte mère. Dans ce cas précis, il suffit de redémarrer la machine, d’accéder à l’UEFI, de sélectionner l’endroit où se trouve le fichier de mise à jour (peu importe qu’il soit stocké sur un disque interne ou externe, ça fonctionne indifféremment), et le tour est joué

Mises à jour Microsoft et patch KB4056892

En attendant la sortie du patch d’Intel promettant de corriger 90% des processeurs modernes, Microsoft s’est empressé d’obtenir une solution d’urgence pour les utilisateurs de Windows 10 en sortant le KB4056892, promettant que les utilisateurs de Windows 7 et 8 seront corrigés dans un proche avenir.

Vérifiez bien que votre processeur est bien est de la marque Intel. Pour les processeurs AMD, il faut attendre encore quelques jours.

Il faut installer toutes les mises à jour de sécurité critique de Windows et le patch KB4056892

Vérification du niveau de protection de son PC Windows

En plus de la mise à jour, Microsoft a également produit un script PowerShell qui vérifie si votre PC est vulnérable.Utilisez les étapes suivantes pour installer et exécuter le test.

  1. Appuyez sur la touche Windows et tapez PowerShell .
  2. Cliquez avec le bouton droit sur le raccourci PowerShell et sélectionnez Exécuter en tant qu’administrateur .
  3. Tapez Install-Module SpeculationControl et appuyez sur Entrée .
  4. Si vous êtes invité à installer le fournisseur NuGet, tapez O et appuyez sur Entrée , et répétez si vous êtes averti de l’installation à partir d’un référentiel non approuvé.
  5. Une fois l’installation terminée, tapez Import-Module SpeculationControl et appuyez sur Entrée .
  6. Tapez Get-SpeculationControlSettings et appuyez sur Entrée .

Les résultats attendues en cas de bonne protection (patch et carte mère)

patch meltdown good result

Résultat attendu si seulement le patch a été appliqué:

patch meltdown bad result

 

Vérification de la protection sous Linux

Afin de s’assurer de la présence du mécanisme de sécurité KPTI sur un système utilisant un noyau Linux il est possible d’exécuter la commande suivante :

dmesg | grep 'Kernel/User page tables isolation'

Dans le cas où KPTI est activé un message sera affiché en sortie

Sources:

Source 1

Source 2

Source 3

À propos de l’auteur

chafik administrator

%d blogueurs aiment cette page :