+33 (0) 4 37 54 22 50    +33 (0) 1 41 91 33 33 Nous contacter Portail client

Note d’information relative aux Vulnérabilités Meltdown/Spectre

Accueil / actualités / Note d’information relative aux Vulnérabilités Meltdown/Spectre

Cher(e)s Client(e)s,

Nous vous prions de bien vouloir trouver ci-dessous, les informations relatives aux Vulnérabilités Meltdown / Spectre ainsi que nos recommandations.L’ensemble des acteurs du secteur IT ont été informés de nouvelles failles de sécurité consécutives à la découverte de vulnérabilités matériels sur les processeurs x86-64.

Ces vulnérabilités permettent potentiellement la réalisation à large échelle d’un type d’attaques jusque-là peu répandues en raison de leur complexité de mise en œuvre.Ces vulnérabilités, rendues publiques par des experts en sécurité de Google, sont intitulées Meltdown et Spectre et regroupent trois vulnérabilités identifiées :

  • CVE-20175754 pour Meltdown
  • CVE-2017-5715 et CVE-2017-5753 pour Spectre

L’exploitation de ces failles est techniquement complexe et nous n’avons, à date, aucune information démontrant que les vulnérabilités concernées ont déjà été exploitées.

L’Agence nationale de la sécurité des systèmes d’information (ANSSI), a publié un avis concernant cette alerte de sécurité :
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2018-ALE-001/

 

Systèmes affectés :

– Processeurs Intel : Quasi-totalité des processeurs sorties dans les 10 dernières années.
Communication officielle : https://newsroom.intel.com/news/intel-responds-to-security-research-findings/

– Processeurs AMD : AMD n’exclut pas être vulnérable mais précise qu’aucune preuve en ce sens n’a été apportée aujourd’hui.

– Processeurs ARM : ARM Cortex-R7, ARM Cortex-R8, ARM Cortex-A8, ARM Cortex-A9, ARM Cortex-A15, ARM Cortex-A17, ARM Cortex-A57, ARM Cortex-A72, ARM Cortex-A73, ARM Cortex-A7.

Correctifs disponibles :

Les acteurs majeurs de l’IT (Microsoft, Vmware, Google, Suse..) ont été prévenus des vulnérabilités découvertes il y a plusieurs semaines, et travaillent déjà sur des mises à jour correctives. Des patchs commencent donc à être annoncés et diffusés par les différents éditeurs et communautés. Les correctifs devront s’appliquer à plusieurs niveaux :

  • Microcode processeur (via BIOS/UEFI)
  • Hyperviseurs
  • Système d’exploitation
  • Applications

Les correctifs apportant des modifications lourdes dans la conception des systèmes d’exploitation, les risques d’instabilité ne sont pas négligeables. L’impact sur les performances semble extrêmement variable en fonction de l’environnement de travail et des services exécutés.

Plusieurs éditeurs ont publié des correctifs partiels pour les vulnérabilités Meltdown et Spectre. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) recommande l’application des correctifs disponibles dès que possible.

Cependant, nous vous conseillons d’être extrêmement prudents dans le déploiement de ces patchs, de ne pas le faire massivement et de traiter en priorité les machines directement exposées (ou ayant accès) à internet (serveurs Web, RDS/Citrix…).

Apple
Apple indique dans une communication du 4 janvier 2017 que les systèmes iOS 11.2, macOS 10.13.2 et tvOS 11.2 profitent de correctifs contre la vulnérabilité Meltdown [9].
Mozilla
Mozilla a publié une communication annonçant que la version 57.0.4 de Firefox intègre deux correctifs de sécurité liés aux vulnérabilités décrites dans cette alerte.
SUSE
Des correctifs pour les vulnérabilités Spectre et Meltdown ont été distribués par SUSE.
VMware
Des correctifs contre la vulnérabilité Spectre ont été apportés par VMware pour leurs produits ESXi, Workstation et Fusion sous OS X. Il est à noter que les plateformes ESXi en version 5.5 reçoivent un correctif seulement pour la variante CVE-2017-5715 de Spectre.
Microsoft
Microsoft a annoncé dans un communiqué que ses navigateurs Internet Explorer et Edge avaient bénéficié d’un correctif contre la vulnérabilité Spectre sur les systèmes Windows 10 et Windows Server 2016.
cf : https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
Les systèmes inférieurs à Windows 7 SP1 et 2008R2 SP1 n’ont pas de correctifs.

Attention : Les correctifs de sécurité fournis par Microsoft sont néanmoins dépendants des logiciels anti-virus installés sur le système. Pour les utilisateurs de solutions Trend, il est conseillé de vérifier la compatibilité sur la base de connaissances : https://success.trendmicro.com/solution/1119183

Enfin, pour les serveurs SQL, il est conseillé de consulter l’article «SQL Server Guidance to protect against speculative execution side-channel vulnerabilities » avant d’appliquer les correctifs.

cf : https://support.microsoft.com/en-us/help/4073225/guidance-for-sql-server

Enfin, dans les semaines à venir nous allons procéder à la mise à niveau de nos plateformes. La majorité des opérations seront sans impact pour nos clients. Nous vous tiendrons informés dans les plus brefs délais du plan d’actions et du planning des opérations de mise à jour associées concernant nos infrastructures hébergées.

Pour les clients en infogérance, ayant souscrit à notre offre d’administration système, nos équipes de support vous contacteront, semaine prochaine, afin de valider avec vous l’application des correctifs.

Pour nos autres clients, nous avons capacité à vous accompagner tant dans une approche conseil que réalisation pour vous aider à faire face à ces vulnérabilités. N’hésitez pas à contacter votre interlocuteur habituel.

Le Service Clients
04 37 54 22 55
support@fltechno.scc.com
https://support.flowlinetechnologies.com/
Nous contacter

Vous pouvez nous envoyer un e-mail ici, nous revenons vers vous dans les plus brefs délais.