Vulnérabilités et défauts des appareils informatiques ont été mis au jour par des chercheurs. Les processeurs de Intel et AMD présentent des failles de sécurité, qui ont été exploitées par deux cyberattaques, Meltdown et Spectre. Cela va des serveurs de « cloud » ou ordinateurs aux Smartphones. Le risque potentiel serait une interception des données stockées en mémoire par des programmes malveillants. Ces défauts touchent en particulier Intel, le plus gros constructeur de processeurs, dont le patron avait vendu, en novembre 2017, des actions pour près de 40 millions de dollars … LHK
Ajout: Nouvelle vulnérabilité «effarante» chez Intel/ 24 heures
Meltdown et Spectre, les deux failles critiques découvertes dans la plupart des processeurs
LE MONDE | Par Martin Untersinger
La nouvelle a jeté un froid dans le monde de la sécurité informatique : des chercheurs ont annoncé, mercredi 3 janvier, avoir mis au point deux cyberattaques permettant la captation de données efficaces contre un très grand nombre de modèles de processeurs, en particulier ceux fabriqués par l’américain Intel.
Surnommées Meltdown (« effondrement ») et Spectre par les chercheurs qui les ont conçues, elles exploitent des défauts présents dans quasiment toutes les puces Intel construites ces vingt dernières années et de nombreuses autres provenant de différents fabricants.
Une très large majorité des machines informatiques (téléphones portables, tablettes, ordinateurs, serveurs…) sont donc vulnérables à l’une ou à l’autre. Et comme ces attaques s’en prennent à un composant physique de l’ordinateur, tous les systèmes d’exploitation – les logiciels faisant fonctionner un appareil électronique, comme Windows, Android, iOS – sont touchés.
Le processeur – une des pièces maîtresse de tout système informatique – est le composant qui effectue les calculs nécessaires au fonctionnement de l’appareil et des programmes qui y sont installés. Toutes les données gérées par un système informatique s’y trouvent en transit à un moment ou à un autre. Lorsqu’elles sont traitées par le processeur, elles sont censées être cantonnées à des zones étanches. Or les chercheurs ont démontré qu’il était possible de contourner ces protections et d’obtenir copie de données traitées par le processeur et supposées inaccessibles.
Zone critique
Un pirate peut donc en théorie utiliser ces attaques pour dérober des informations sensibles, notamment des mots de passe. L’une d’elles, Meltdown, donne même accès à des données issues d’une zone critique au fonctionnement d’un ordinateur – et normalement ultraprotégée – le « kernel », ou noyau, qui fait le lien entre le matériel et les logiciels.
Ce problème se révèle particulièrement inquiétant pour les sociétés du secteur du cloud pour lesquelles la confidentialité des données est un impératif. Ces dernières hébergent fréquemment sur une seule machine les données – site Internet ou intranet, messagerie – de plusieurs clients. Ces derniers partagent donc un même processeur. En mobilisant Spectre, des pirates présents sur un serveur pourraient donc accéder à des données normalement protégées de leurs « colocataires ».
Avertis en amont par les chercheurs, la plupart des grands acteurs du secteur ont déjà corrigé leurs infrastructures ou s’apprêtent à le faire. « Microsoft a publié plusieurs mises à jour pour limiter l’impact de ces vulnérabilités. Nous avons aussi pris des mesures pour sécuriser nos services de cloud », a fait savoir la firme de Redmond (Etat de Washington) sur son site Web.
Google a aussi annoncé avoir « mis à jour » ses systèmes « contre ce nouveau type d’attaque » ; tout comme Amazon, très gros fournisseur de cloud. Octave Klaba, le fondateur et dirigeant d’OVH, le géant de l’hébergement, a détaillé sur Twitter les mesures prises par son entreprise pour protéger ses clients.
Forte confusion
Si Meltdown – qui concerne en très grande majorité les processeurs Intel – peut être repoussée, il en va différemment pour sa petite sœur Spectre. Cette dernière a des racines plus profondes et les constructeurs vont devoir modifier l’architecture même de leurs puces pour s’en prémunir. Cela signifie que certains appareils demeureront vulnérables pendant des mois, voire des années. Cette persistance a même donné son nom à l’attaque : « Comme elle est difficile à contrecarrer, cette attaque va nous hanter pour un bon moment », écrivent les chercheurs.
A ce stade, les conséquences pour les utilisateurs lambda devraient être limitées. Cependant, il est difficile d’anticiper les multiples façons dont ces attaques pourront être utilisées à moyen terme par des pirates. Les chercheurs ont déjà précisé qu’il était possible d’activer Spectre directement depuis un navigateur Web, via un site contenant du code conçu à cet effet. Une information confirmée par une analyse préliminaire conduite par Mozilla, qui édite le navigateur Firefox. Cette possibilité est loin d’être anodine, puisqu’elle facilite la diffusion et la mise en œuvre de l’attaque.
En attendant, les particuliers doivent impérativement installer les mises à jour proposées par leurs ordinateurs ou téléphones. Certaines des mesures prises par les développeurs des systèmes d’exploitation sont cependant susceptibles de ralentir le fonctionnement des processeurs. Les experts divergent toutefois sur l’ampleur exacte de ce ralentissement. Intel assure qu’il sera minime.
La publication, mercredi 3 janvier, des détails concernant Meltdown et Spectre, par des chercheurs de Google et de l’université de Graz en Autriche notamment, a mis fin à plusieurs heures d’une forte confusion.
L’action Intel affectée en Bourse
La rumeur d’une faille dans les processeurs Intel circulait depuis quelques semaines, et pour cause : les chercheurs travaillaient sur ces attaques depuis des mois et avaient averti dans le plus grand secret certains fabricants, une pratique courante en la matière. Pour éviter de donner des idées à tous types de pirates, il faut en effet que l’annonce des failles soit postérieure ou simultanée à leur correction. Le secret, qui devait prendre fin le 9 janvier, a été éventé par une enquête du site spécialisé The Register. Afin qu’un maximum d’experts puisse prendre des mesures, les chercheurs ont décidé de précipiter la publication officielle de leurs trouvailles.
Dans un communiqué publié le 3 janvier, Intel a tenté de minimiser les effets de ces attaques sur ses produits, une stratégie moquée et critiquée dans le milieu de la sécurité informatique. Jeudi soir, le groupe a déclaré que les correctifs destinés à régler les problèmes de sécurité ne ralentiraient pas les ordinateurs. En deux jours, l’action d’Intel a perdu environ 5 % de sa valeur.
Par ailleurs, la presse américaine a remarqué que le PDG de l’entreprise, Brian Krzanich, avait vendu, en novembre 2017, pour 39 millions de dollars (32 millions d’euros) de parts de la société alors qu’Intel était déjà au courant des failles touchant ses produits. Il pourrait devoir s’en expliquer très prochainement : hasard du calendrier, il est censé s’exprimer lundi en ouverture du CES, le Salon des nouvelles technologies à Las Vegas (Nevada).
Nouvelle vulnérabilité «effarante» chez Intel/ 24 heures
High-techLa faille présente sur le programme Intel AMT «permet à un hacker de pirater l’appareil en moins de 30 secondes».
Même si la cyberattaque initiale nécessite un accès physique, elle peut être réalisée très rapidement. Image: AFP
Une vulnérabilité d’un programme de mise à jour à distance du groupe américain Intel permet aux pirates informatiques de pénétrer dans la plupart des ordinateurs portables professionnels, affirme vendredi le spécialiste finlandais de la cybersécurité F-Secure. Cette faille n’a aucun rapport avec les vulnérabilités Spectre et Meltdown, dont la récente mise en lumière a déjà ébranlé le géant américain, spécialiste des puces informatiques.
La faille présente sur le programme Intel AMT (pour Active Management Technology) «permet à un hacker disposant d’un accès physique à l’appareil de le pirater en moins de 30 secondes», explique F-Secure dans un communiqué, ajoutant qu’«elle affecte (…) potentiellement des millions d’ordinateurs portables dans le monde».
«Simplicité effarante»
Cette vulnérabilité est «d’une simplicité presque effarante, mais son potentiel destructeur est incroyable», déclare Harry Sintonen, le consultant de F-Secure qui l’a découverte. «En pratique, cette faille peut donner au hacker le contrôle total sur l’ordinateur portable concerné, et ce, en dépit des mesures de sécurité les plus pointues.»
Un pirate qui a l’ordinateur en main peut sans peine modifier la configuration d’Intel AMT et ensuite accéder au système de commande à distance, sans avoir à entrer aucun mot de passe.
Il lui suffit, explique F-Secure, de redémarrer (ou d’allumer) l’ordinateur en question, puis d’appuyer sur les touches Ctrl et P pendant le démarrage, sans avoir à entrer aucun mot de passe. Il aura ensuite à se connecter au module de gestion d’Intel AMT avec le mot de passe par défaut «admin» –puisque, la plupart du temps, cette valeur par défaut n’est pas personnalisée–, avant de modifier le mot de passe et d’activer l’option d’accès à distance.
Action rapide
Même si la cyberattaque initiale nécessite un accès physique, elle peut être réalisée très rapidement, selon Harry Sintonen: «Vous laissez votre ordinateur portable dans votre chambre d’hôtel, le temps d’aller boire un verre. Le pirate entre alors par effraction et reconfigure votre appareil en moins d’une minute. Il peut ensuite y accéder chaque fois que vous utilisez le réseau wifi de l’hôtel. Et puisque l’ordinateur se connecte au VPN (réseau privé virtuel, ndlr) de votre entreprise, le pirate peut accéder aux ressources de celle-ci.»
La vulnérabilité «affecte la plupart, sinon tous, les ordinateurs portables» utilisant Intel AMT, selon F-Secure. Intel a bien sûr été prévenu, a relevé la société finlandaise. «Ne laissez jamais votre ordinateur portable sans surveillance dans un endroit non sécurisé, notamment dans les lieux publics», exhorte F-Secure, qui conseille évidemment de modifier le mot de passe d’AMT.
Recommandations publiées
Intel a réagi en disant avoir justement recommandé à plusieurs reprises de changer ce mot de passe. «Nous nous réjouissons que des chercheurs aient attiré l’attention sur le fait que certains fabricants de systèmes n’ont pas configuré leurs systèmes pour protéger le module de gestion» d’AMT quand ils l’intègrent dans leurs produits, a indiqué un porte-parole à l’AFP.
«Nous avons publié des recommandations sur les meilleures pratiques de configuration en 2015, et nous les avons mises à jour en novembre 2017. Nous encourageons vivement les équipementiers à configurer leurs systèmes pour optimiser la sécurité», a-t-il expliqué, assurant qu’«Intel n’a pas de plus haute priorité que la sécurité de (ses) clients». (afp/nxp)