Cette première semaine de janvier 2018 a été marquée par la révélation de l’existence de failles critiques dans la conception même des processeurs Intel qui ne peuvent pas être comblées par mise à jour du firmware et nécessitent des mises à jour significatives des noyaux des systèmes d’exploitation.

Ces failles permettent dans certaines conditions aux applications de lire le contenu de zones protégées de la mémoire du noyau et donc de récupérer des données confidentielles du type mot de passe. Les spécialistes parlent de fuite de mémoire du noyau.

Le problème, c’est que les correctifs qui vont être proposés pour les noyaux Windows et Linux vont se traduire par une baisse des performances comprise entre 5 % et 30 %, selon les tâches effectuées et le modèle du processeur.

Une réduction des performances qui offre un angle d’attaque à de futures poursuites judiciaires. Déjà, ce 5 janvier, la presse américaine recensait trois recours collectifs déposées à la suite de ces révélations. Ceux-ci citent notamment « l’incapacité d’Intel à divulguer » la faille de sécurité en temps opportun – de fait, Intel aurait été informé depuis au moins juin dernier des vulnérabilités de ses processeurs mais aurait choisi de ne pas les divulguer à ses clients – mais aussi la réduction des performances que les correctifs ne manqueront pas d’entraîner.

De nombreux acteurs sont concernés par cette vulnérabilité : les éditeurs de systèmes d’exploitation qui doivent mettre à jour leurs OS mais également les fournisseurs de services cloud, qui doivent patcher leurs infrastructures, et bien sûr les entreprises utilisatrices qui doivent mettre à jour leur parc de postes de travail et de serveurs. De premiers correctifs sont déjà disponibles sur Linux, Windows et MacOS. Du côté des  fournisseurs de services clouds, certains tels Google, Amazon et Azure ont commencé à corriger leurs systèmes. Mais les correctifs ne sont pas évident à déployer et peuvent entraîner des inconvénients (voir à ce sujet l’article du MagIT : Spectre/Meltdown : que faire pour protéger son infrastructure de postes de travail).

 

Nos lecteurs ont lu ensuite


En portant Windows sur ARM, Microsoft admet-il la fin de l’hégémonie Wintel ?
class= » alignleft size-full wp-image-25349″ style= »margin: 6px; float: left; » alt= »Windows » src= »https://www.channelnews.fr:8080/wp-content/uploads/2008/03/windows.gif » width= »75″ height= »75″ width= »75″ height= »75″ /...

Noyau Linux : un embonpoint qui vient aussi de son succès dans la mobilité
class= » alignleft size-full wp-image-26351″ style= »margin: 6px; float: left; » alt= »linux-logo75x75″ src= »https://www.channelnews.fr:8080/wp-content/uploads/2008/12/linux-logo75x75.gif » width= »75″ height= »75″ width= »75″ height= »75″ /...

Linux : Red Hat veut contre-carrer les plans d’Oracle
En préinstallant les correctifs au sein même du noyau d’Enterprise Linux, Red Hat a voulu compliquer la tâche d’Oracle et l’empêcher de fournir une version optimisée de son propre OS....

Spectre et Meltdown : le casse-tête des mises à jour pour les hébergeurs
D’une manière générale, les opérateurs de services cloud et de services hébergés ont réagi très rapidement à l’annonce de failles critiques dans les processeurs équipant la majorité des PC, des smartphones et des tablettes, mais...

Spectre/Meltdown : la faille perdure tant que des correctifs ne sont pas encore disponibles pour tous les maillons de la chaîne de production
Dans le prolongement de notre article Spectre et Meltdown : le casse-tête des mises à jour pour les hébergeurs, nous publions in extenso le témoignage de Cheops Technology qui illustre bien les problématiques que les attaques...