Dans le prolongement de notre article Spectre et Meltdown : le casse-tête des mises à jour pour les hébergeurs, nous publions in extenso le témoignage de Cheops Technology qui illustre bien les problématiques que les attaques Spectre et Meltdown posent aux fournisseurs de services cloud et comment ceux-ci s’adaptent.

Ce témoignage a été rédigé par Denis Damey, directeur de la division Cloud & Services Managés et Stéphane Jourdain, responsable de la sécurité du SI.

Channelnews : Quels sont les principaux problèmes que posent ces failles ?

Nous en avons deux actuellement à traiter.

Tout d’abord, les failles touchant un élément hardware [le processeur], l’opération consiste donc à corriger cet élément par une mise à jour du BIOS, et cela demande aussi une correction de la couche système et applicative. Cette opération n’est pas complètement transparente car implique obligatoirement des reboot des actifs, donc un arrêt/redémarrage de la production pour les clients. Cette interruption est minime, mais il faut se coordonner avec les clients.

Deuxième problème, les correctifs ne sont pas encore tous disponibles chez les éditeurs/constructeurs. Même si les chercheurs qui ont découvert cette faille, ont suivi le protocole d’alerte et prévenu en amont les fournisseurs et éditeurs, certains n’ont pas encore de correctif à proposer. Nous avons donc des opérations que nous ne pouvons pas encore planifier.

Channelnews : Avez-vous commencé à appliquer des correctifs sur vos systèmes ?

Oui, suite à l’annonce du 3 janvier, nous avons mis en place une cellule de crise pour prioriser les opérations. Une équipe d’experts est dédiée sur ce problème et corrige depuis plusieurs jours les actifs pour lesquels les correctifs sont disponibles.

Channelnews : Lesquels ?

La priorité est d’assurer la correction du socle assurant la virtualisation, ce qui reste le cœur de notre métier d’hébergeur. VmWare a été très réactif pour mettre à disposition des correctifs, donc nos experts ont pu rapidement travailler sur cet axe.

Channelnews : Avec quelles conséquences en termes d’interruption d’activité jusqu’à présent ?

Comme vu dans la question 1, ces corrections impliquent obligatoirement un arrêt redémarrage. Nos solutions assurant la couche de virtualisation sont elles redondantes, donc sur cette partie, cela est complètement transparent pour nos clients. C’est sur la partie système et applicative où il y aura un impact sur la production de nos clients. À date, sur la partie serveur, Microsoft n’a pas encore de correction pour toutes les versions de Windows. Vous avez par exemple un correctif pour Windows Server 2012 R2, mais pas pour Windows Server 2012.

Channelnews : Avec quels résultats ?

Ce type d’opération de mise à jour de correctif, est courante pour un hébergeur. Nous avons déjà vécu au mois de mai et juin 2017, la vague d’attaque avec Wannacry et Petya. Notre premier objectif est de minimiser l’impact pour nos clients, tout en assurant la sécurité maximale.  Nous avons deux processus internes, l’un pour limiter les impacts, et l’autre pour assurer un bon niveau d’information vis-à-vis de nos clients. C’est l’une des plus-values de notre certification ISO 27001 avec l’intégration de processus de cellule de crise ou de War room. Cette certification ne nous protège pas des incidents mais permet d’avoir une réaction plus coordonnée et efficace pour les gérer.

Channelnews : Quelles difficultés pose l’application de ces correctifs ?

Par rapport à une faille système, Meltdown et Spectre touchent à un composant hardware, les processeurs Intel, AMD et ARM. Ceux-ci étant sollicités par la virtualisation, le système d’exploitation et les applications, la correction implique obligatoirement la correction de l’ensemble de cette chaine pour corriger la faille. Donc, si un de maillon, n’a pas encore de correctifs de disponibles, la faille perdure.

Channelnews : Pensez-vous que vous aurez à appliquer d’autres correctifs ?

Oui, il suffit de voir l’actualité depuis quelques années pour mesurer que les découvertes de vulnérabilités impliquant l’application de correctifs sont en augmentation. La complexité des SI et l’obligation d’interopérabilité des différents écosystèmes fait qu’il y a systématiquement un effet domino lorsqu’une faille est détectée et publique. Cet effet collatéral implique une réaction rapide et un suivi régulier du niveau des correctifs.

Channelnews : Pensez-vous que failles auront des conséquences financières sur votre activité à terme ?

Oui, mais dans les deux sens.

Tout d’abord, cela nous coute, car nous mettons une cellule d’ingénieurs pour corriger et patcher les systèmes, et cela pendant plusieurs jours et en horaires non ouvrés pour partie. Ce travail n’est pas refacturé, et ce risque est assumé par Cheops Technology.

Ensuite, dans le cadre de ces failles et de leurs corrections, cela pourrait avoir un impact sur les performances (qui varie de 5% à 20% selon les applicatifs et leur écriture), ce qui entrainera un éventuel besoin supplémentaire en puissance pour les clients. Intel n’assumant ni juridiquement ni financièrement cette faille, c’est le client final qui jugera de l’opportunité de prendre une augmentation de puissance, ce qui aura une incidence sur sa facture.