D’une manière générale, les opérateurs de services cloud et de services hébergés ont réagi très rapidement à l’annonce de failles critiques dans les processeurs équipant la majorité des PC, des smartphones et des tablettes, mais également les serveurs et même les appliances de sécurité et certains équipements réseaux.
Révélées grâce à The Register avec quelques jours d’avance sur le calendrier prévu initialement, ces failles ont été découvertes via la mise au point de deux attaques, Meltdown (qui signifie « effondrement ») et Spectre, qui permettent en théorie de récupérer les données transitant par ces processeurs, y compris les données confidentielles du type mot de passe.
Un véritable cataclysme
Un véritable cataclysme pour l’industrie IT tout entière et notamment pour les acteurs du cloud computing et des services hébergés pour qui la sécurité et la confidentialité des données est un prérequis sans lequel leur existence même est menacée.
Ainsi, Meltdown est susceptible de mettre en défaut l’étanchéité existant entre les clients d’une infrastructure mutualisée en permettant à un éventuel assaillant d’utiliser une machine virtuelle hébergée sur un serveur physique pour dérober les données d’une autre machine virtuelle hébergée sur le même serveur physique.
Quant à Spectre, elle permet d’accéder aux processus des autres utilisateurs d’un même système. « En permettant l’accès aux données en cours de traitement par le processeur, cette vulnérabilité s’avère être une faille absolument ultime, s’inquiète Kevin Polizzi, président de fournisseur de services cloud. Plus aucune donnée ayant des processus externes n’est protégée. »
Des failles de nature à mettre en péril l’industrie du Cloud
« La criticité de ces failles est telle qu’un groupe suffisamment bien organisé pourrait potentiellement semer la zizanie au sein d’un grand opérateur cloud et entâcher durablement la confiance du marché vis-à-vis de l’industrie du Cloud », estime Gregory Mauguin, directeur sécurité et des offres associées de Linkbynet.
D’où la nécessité d’appliquer le plus rapidement possible les correctifs. Le problème, explique Gregory Mauguin, c’est que s’il existe des correctifs au niveau des OS pour Meltdown, il n‘y a rien de tel pour Spectre qui nécessite d’intervenir au niveau des applications, au cas par cas.
Autre problème pointé par Gregory Mauguin : « lorsque vous avez des machines virtuelles de plusieurs clients hébergées sur un équipement mutualisé, si vous ne déployez pas les correctifs sur votre infrastructure, les clients qui font l’effort de patcher leurs machines continuent d’être vulnérables à cause des clients qui ne le font pas (ou ne le peuvent pas) ».
Un impact fort sur les performances et la disponibilité des systèmes
Et les remèdes ne sont pas exempts de défauts. « l’isolation du userland du reste du système a un impact fort sur les performances et la disponibilité des systèmes », souligne Kévin Polizzi. On parle de 5% à 30% de perte de performance selon les tâches. Des chiffres encore difficiles à vérifier mais qui, s’ils se confirmaient, pourraient entraîner une augmentation de la capacité allouée aux clients pour garantir les engagements contractuels et donc un manque à gagner pour les hébergeurs et infogéreurs. Certains notent également des incompatibilités entre les patchs OS et les applications, ajoutant à la confusion.
Surtout, qui dit correctif, dit redémarrage. Et dans l’urgence, cela signifie bien souvent redémarrer les machines hors des plages prévues à cet effet aux moments les moins opportuns en termes de production.
Si les correctifs de la plupart des grands éditeurs sont aujourd’hui disponibles, il faut aussi garder à l’esprit que certaines versions d’OS plus supportées n’en auront jamais et que la plupart des fournisseurs d’appliances et d’équipements réseaux n’ont encore rien publié officiellement. D’où la décision de certains de temporiser pour ne pas faire peser trop de contraintes sur les clients et bien valider les correctifs avant de les appliquer.
Urgence mais pas précipitation
« De façon à éviter des reboots multiples pour nos clients, nous avons prévu de faire un seul redémarrage incluant la correction des vulnérabilités Spectre et Meltdown », explique ainsi Edouard Camoin, chief information security officer d’Outscale. Et de justifier : « aucun proof of concept n’a été divulgué à ce jour démontrant que les vulnérabilités sont exploitables en dehors d’environnements maîtrisés par l’attaquant. Ce redémarrage aura lieu dès que les patchs en cours de qualification auront été validé et que le microcode d’Intel aura été intégré dans le kernel. »
En revanche, il indique procéder « dès à présent à l’ajout du patch contre Meltdown sur les images clientes ». Il prévoit également de mettre à jour ses hyperviseurs pour corriger les vulnérabilité Spectre et Meltdown (nouveau kernel ainsi que nouveau microcode processeur) dès que le microcode sera disponible.
Même raisonnement pour Johan Welsch, directeur de l’innovation de Coreye qui a appliqué les patchs VMware sur les infrastructures de ses trois sites de production dans les 24h00 qui ont suivi leur disponibilité la semaine dernière pour empêcher les attaques Meltdown mais qui attend la disponibilité de tous les patchs OS pour corriger les risques de copie de données au sein de ses machines physiques et virtuelles.
La probabilité est faible de subir une attaque
« Notre rôle de conseil consiste à avertir les clients des ralentissements des performances que risquent d’entraîner l’application des correctifs. Nous pensons qu’il vaut mieux ne pas se précipiter les mises à jour, notamment pour les clients du retail qui entrent dans la période des soldes durant laquelle la question des performances est centrale. »
« Certes, le risque est grand de ne pas patcher mais la probabilité est faible de subir une attaque, ajoute-til. En effet pour qu’un assaillant puisse mener une attaque, il doit d’abord s’introduire sur le système du client en franchissant les barrières de sécurité périmètrique. »
Pierre Voillet, président d’Oceanet Technology, explique pour sa part qu’étant donné l’ampleur de la problématique, il évite toute précipitation et effet d’annonce. « La priorité est la sécurité des données que nous pilotons. Les phases de test de cette semaine vont nous permettre d’agir efficacement en mettant en œuvre les correctifs dès que les tests seront concluants. »
Priorité à la continuité d’activité
Tous se débrouillent pour minimiser les interruptions d’activité. Edouard Camoin explique ainsi qu’Outscale met à disposition de ses clients des outils de répartition de leurs infrastructures afin d’éviter une coupure complète de leurs applications durant la phase de redémarrage du cloud.
Kévin Polizzi, revendique seulement quelques minutes d’interruption par plateformes après de nombreux essais sur les infrastructures de son lab. La difficulté étant de contacter les clients pour les prévenir.
Mais personne ne se fait d’illusion, la vague des correctifs n’en est probablement qu’à ses débuts et les conséquences de ces vulnérabilités sont encore loin d’avoir été toutes anticipées. « L’activité n’a véritablement redémarré que depuis ce lundi. Ce qui laisse peu de recul. Il faudra sans doute attendre le début des soldes pour savoir si les patchs tiennent bon et probablement les consolidations financières de la fin du mois pour tirer un premier bilan », estime Gregory Mauguin.
« Ce qui est important de souligner également c’est qu’on est face à des vulnérabilités hardware et que pour une partie des risques qu’elles impliquent, l’industrie IT est totalement démunie pour proposer une réponse globale, poursuit-il. La seule solution c’est de changer les processeurs. » Ce qui évidemment prendra du temps. Une réalité que les chercheurs qui ont mis en évidence ces failles ont parfaitement identifiée en baptisant l’une de leurs attaques Spectre pour bien accréditer l’idée qu’elle risque de revenir encore longtemps hanter l’industrie IT tout entière.