Spectre – Meltdown et plus de 50 vulnérabilités découvertes par jour en 2017

Spectre - Meltdown vulnérabilités

Spectre – Meltdown vous êtes concernés !

Spectre – Meltdown c’est le feuilleton de ce début d’année. Trois vulnérabilités concernant les processeurs ont été révélées, bien qu’elles aient été initialement découvertes en octobre 2017. Les failles Spectre et Meltdown mettent les fabricants dans la tourmente et les utilisateurs en danger. Une situation qui n’est pas nouvelle et qui nous rappelle les différents événements cybersécurité de l’année 2017.

 

Retour sur une année 2017 riche en vulnérabilités

 

En 2017, 50 nouvelles vulnérabilités en moyenne ont été détectées chaque jour. Ce nombre, en forte croissance (28 vulnérabilités découvertes par jour en 2016 et 17 en 2015) n’est pas passé inaperçu. La preuve en est par le nombre de cyberattaques et de failles mondiales révélées : WannaCry, NotPetya, KRACK, Spectre, Meltdown, …

Depuis mai 2017, les ransomwares étaient au coeur des discussions. En effet, WannaCry a impacté 300 000 ordinateurs dans le monde. Petya a suivi le 27 juin, impactant durement les entreprises. Certaines ont été arrêtées, d’autres ont fermé, et plusieurs mois après l’attaque, on estime qu’elle a coûté plus d’1 milliard de dollars à ces sociétés. Ces deux premières cyberattaques avaient été rendues possibles par la divulgation de la faille des “ShadowBroker”.

Autre cyberattaque d’envergure, la société de crédit américaine Equifax s’est vue faire les gros titres en septembre pour une fuite de données datant de juillet. Les données de 145,5 millions d’américains ainsi que quelques clients canadiens et anglais avaient été exposées. En septembre, CCleaner a également été attaqué et 2,27 millions de PC s’en sont trouvés infectés.

Outre les attaques, de grands entreprises ont admis souffrir de failles de sécurité parfois béantes du fait de la non correction de vulnérabilités. On peut citer notamment la faille MacOs qui permettait à n’importe qui de déverrouiller un ordinateur en tant qu’utilisateur “root”. Windows a également connu son lot de failles alors que la faille “KRACK” a exposé le réseau WI-FI.

Malgré les différentes solutions de sécurité, les entreprises restent toujours autant vulnérables.

Si 2017 a été une année faste pour les cyberattaques, 2018 s’annonce pourtant pire. Il est temps pour les entreprises de mieux s’équiper afin d’y faire face. Que ce soit sur un système d’exploitation, un processeur, un serveur, une application, … toutes les entreprises sont vulnérables à l’exploitation de failles de sécurité. Aucune ne peut se targuer d’être protégée à 100 % (vous pouvez demander à Renault, FedEx, Equifax, Yahoo, Apple, Uber…). Ce phénomène touche d’autant plus les PME car elles sont la cible de 77% des cyber-attaques.

 

Spectre – Meltdown et toutes les autres

 

Vulnérabilités et cyberattaques sont liées. Les secondes sont rendues possibles par l’exploitation des premières. Leur exploitation est à la porté de tous car elles sont publiques ! En effet, toutes les vulnérabilités sont référencées dans la base des Common Vulnerability Exposure (CVE). Cette base de données est alimentée chaque jour avec les nouvelles failles détectées par la communauté.

La première étape pour savoir si son entreprise est vulnérable à ces vulnérabilités est donc de se reporter à cette base. Cette phase est nécessaire pour construire son plan d’action et connaître son niveau de risque. Ensuite, il faudra passer à la deuxième étape, la remédiation. La vérification et la correction des vulnérabilités sont des activités des plus chronophages pour les équipes de sécurité. Avec plus de 50 nouvelles vulnérabilités chaque jour, les entreprises ne peuvent pas toujours savoir quelles sont celles qui les affectent ni lesquelles corriger en priorité.

Dans le cas d’Intel, si la faille Meltdown a été découverte par divers chercheurs début automne, la marque était déjà au courant. Elle n’a cependant publié qu’en décembre 2017 les failles impactant potentiellement ses puces sur l’assistance de son site web. Et elle ne serait pas la seule concernée par le phénomène. Tandis que la faille CVE-2017-5754 (Meltdown) serait inhérente à Intel, les failles CVE-2017-5753 et CVE-2017-5715 (Spectre) concernent également ARM et AMD. Ces failles historiques, présentes dans les processeurs à l’insu de tous depuis plus d’une dizaine d’année, concernent tous les ordinateurs.

Aujourd’hui, il n’y a toujours pas plus de nouvelles, la firme conseille aux utilisateurs de faire toutes les mises à jour disponibles en attendant un correctif définitif à la fin du mois. Pendant ce temps là, les ordinateurs du monde entier sont exposés puisque les vulnérabilités sont connues. Toutefois, il n’existe pas encore de malware connu exploitant ces failles. La vigilance reste, par contre, primordiale. L’utilisation de la faille Meltdown sur une machine virtuelle (VM) pourrait impacter tous les utilisateurs d’une infrastructure d’entreprise. Spectre, plus complexe à mettre en place, est susceptible d’affecter les données en les rendant accessibles via un code JavaScript.

 

Comment être mieux armé contre les cyberattaques ?

 

Puisque les vulnérabilités sont connues et répertoriées, il est nécessaire de mettre en place des outils de surveillance pour être averti dès qu’une nouvelle vulnérabilité est détectée et peut affecter le système d’informations de l’entreprise.

Des solutions, comme Elastic Detector, embarquent un scanner de vulnérabilités permettant de détecter en temps réel toutes les failles de sécurité. Elles proposent également des actions de remédiation à mettre en place afin de diminuer le risque de cyberattaque.

Dans le cas des processeurs vulnérables aux failles Meltdown et Spectre de ce début d’année, Windows, MacOS, iOS ont déjà proposé des mises à jour afin de se protéger. Intel a conseillé aux utilisateurs de faire toutes les mises à jour de leurs ordinateurs et smartphones mais n’a pas encore résolu le problème. Brian Krzanich, directeur d’Intel, se voulait rassurant, lors de son intervention au CES la semaine dernière, en annonçant des mises à jours de tous les systèmes infectés “à la fin du mois”. Et si les mises à jour pourront affecter les performances d’ordinateurs, Brian Krzanich explique que l’impact de celles-ci “dépend fortement de la charge de travail”. Affaire à suivre donc…

 

Pour agir concrètement dès aujourd’hui contre les cybermenaces, vous pouvez tester Elastic Detector sur votre infrastructure afin de connaitre votre niveau de risque.

Vous pourrez également nous rencontrer au FIC 2018, à Lille, les 23 et 24 janvier prochain sur le stand L11 de notre partenaire EuraTechnologies.

 

Leave a Reply

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.