En France aussi, on s’inquiète logiquement des conséquences associées à l’exploitation des failles de sécurité Spectre et Meltdown portant sur les processeurs.
En guise de sensibilisation, l’ANSSI propose une courte actualité sur les vulnérabilités qui ont provoqué du bruit sur les défauts de conception des familles de processeurs.
La semaine dernière, les failles de sécurité Spectre et Meltdown ont été placées sous les feux des projecteurs des médias.
Au centre du tourbillon en raison de son influence sur le marché des processeurs (ordinateurs personnels et serveurs), Intel a dû se mobiliser pour expliquer les tenants et les aboutissants des risques d’attaques. Mais son rival direct AMD et ARM dans la conception des puces pour terminaux mobiles sont aussi préoccupés.
L’agence nationale en charge de la sécurité informatique précise le contexte en guise d’information générale, sans explorer les recoins techniques.
En l’état actuel, il s’agit d’une alerte sur ce « défaut de conception, qui rend vulnérable tout système d’exploitation utilisant ces processeurs ».
Une fois exploitées, les failles Spectre et Meltdown pourraient accorder un accès non autorisé à de l’information protégée (mot de passe, identifiants…) mais elles ne permettent pas de modifier les éléments.
« Aucune exploitation malveillante de ces vulnérabilités n’a été à ce jour avérée », selon l’ANSSI, qui recommande dans son bulletin « d’appliquer l’ensemble des mises à jour proposées ».
L’ensemble des fournisseurs de produits hardware et software doivent se montrer vigilants à propos de cette alerte importante de sécurité IT d’un niveau mondial et des risques d’attaques par canaux auxiliaires.
En France, un hébergeur Cloud comme OVH est concerné. Ce type de prestataires héberge régulièrement sur un seul serveur physique, utilisant un processeur, les données de plusieurs clients, illustre l’ANSSI. En exploitant la faille, un pirate pourrait accéder à l’intégralité des données en mémoire.
Pour informer ses clients, OVH a mis en place un tableau complet des réactualisations disponibles pour ses produits disponibles par OS (Linux, Windows et BSD) et pour ses services cloud.
« OVH a été informé des failles de sécurité consécutives à la découverte par des chercheurs de vulnérabilités hardware sur les processeurs x86-64 », précise le groupe de services IT français pour le compte des entreprises.
« Ces vulnérabilités permettent la réalisation à large échelle d’un type d’attaques jusque-là peu répandues (side-channel attacks) en raison de leur complexité de mise en œuvre. »
Dans une contribution blog réactualisée le 7 janvier, OVH précise que « les équipes d’OVH ont été à pied d’œuvre toute la semaine, y compris ce week-end ». Tout en poursuivant : « Nous avons déjà protégé certains services, via le déploiement des correctifs disponibles à ce jour. Pour d’autres services la sécurisation est en cours ou à venir (…)Globalement, la situation est sous contrôle. »
(Photo by LoKan Sardari on Visualhunt / CC BY-NC-SA : processeur AMD)
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…