L'effet est similaire à voir quelqu'un déplacer quelque chose derrière un rideau. Vous ne pouvez pas voir la chose, mais si vous pouvez voir sa forme et son mouvement dans le rideau, vous pouvez deviner de quoi il s'agit. Cela s'appelle "Meltdown" parce que la barrière informationnelle qui protège les données privilégiées est effectivement dissoute par l'attaque.
La vidéo ci-dessous, créée par des chercheurs qui l'ont découverte, montre une attaque de fusion fondée sur une preuve de concept en action.
Spectre
Le paradigme, l'exécution dans le désordre, utilise l'exécution spéculative pour "deviner" quelle opération doit se dérouler par la suite et effectuer une partie de ce travail à l'avance. Si la supposition est correcte, une accélération majeure est obtenue. Les CPU avec cette conception sont appelés processeurs superscalaires. La plupart des processeurs modernes sont superscalaires, tels que ceux des ordinateurs de bureau, ordinateurs portables et périphériques mobiles modernes.
Spectre tire parti des processeurs superscalaires en manipulant leurs prédictions de branches spéculatives (suppositions). L'attaquant émet des instructions conçues pour provoquer des suppositions incorrectes de la part du CPU, ce qui permet une analyse en canal latéral. Spectre utilise ensuite ces informations pour manipuler le code que la CPU exécutera ensuite, y compris les instructions privées d'un autre programme en cours d'exécution. Ce type général d’attaque est appelé injection par branche cible .
Les attaques Spectre sont difficiles à mettre en œuvre car elles doivent cibler spécifiquement le logiciel de la victime. Ils sont également plus difficiles à prévenir, car ils affectent tous les processeurs superscalaires, y compris ceux créés par Intel, AMD et ARM.
La vulnérabilité s'appelle "Spectre" en référence au traitement spéculatif, et parce que ce problème "hantera" le monde de l'informatique pendant de nombreuses années.
Pourquoi sont-ils importants?
Ces vulnérabilités existent dans les circuits physiques du processeur et sont donc très difficiles à corriger.
La fusion affecte tous les processeurs Intel créés au cours des vingt dernières années. Le spectre affecte une partie fondamentale de la plupart des processeurs modernes.
Les attaques de fusion peuvent être atténuées par des modifications du système d'exploitation, ce qui ralentit les performances. Cependant, pour les attaques Spectre, aucune atténuation basée sur logiciel ne peut être possible.
Mon appareil est-il affecté?
Ordinateurs de bureau et ordinateurs portables
La fusion affecte tous les processeurs Intel depuis 1995 au moins. Au moment de la rédaction de ce document, des correctifs sont en cours de développement pour les systèmes d'exploitation Microsoft Windows, macOS X et Linux. Ces correctifs atténuent la possibilité d'attaque au niveau du noyau, à un coût de performances estimé à 5-10%.
Spectre affecte tous les processeurs superscalaires, ce qui inclut la grande majorité des processeurs grand public. Les processeurs scalaires ne sont pas affectés. Par exemple, le Raspberry Pi utilise des processeurs ARM scalaires, qui n'utilisent pas de traitement spéculatif et ne sont pas vulnérables à cette attaque.
Appareils mobiles
Les appareils Android et iOS, tels que les smartphones et les tablettes, sont théoriquement sensibles aux deux attaques. Cependant, les dernières versions d'Android et iOS incluent des mises à jour pour atténuer le risque de fusion. Les attaques Spectre, bien que possibles, se sont révélées hautement irréalisables.
Navigateurs Web
Si vous utilisez Firefox Quantum (version 57 ou supérieure), vous êtes protégé de la fusion lorsque vous exécutez du code, tel que JavaScript, dans le navigateur.
Google a annoncé que la version 64 de Chrome, dont la date de sortie est prévue pour le 23 janvier 2018, atténuera l'effet de Meltdown dans le navigateur.
Les utilisateurs de Microsoft Edge peuvent s’attendre à ce que le navigateur corrige automatiquement le navigateur de Windows Update. Opera a également annoncé une prochaine mise à jour de sécurité visant à atténuer les effets de Meltdown.
Comment puis-je protéger mon appareil?
Pour protéger votre appareil contre l'attaque par fusion, installez toutes les mises à jour disponibles pour votre système d'exploitation.
- Pour Windows 10, 8 et 7, recherchez une nouvelle mise à jour Windows.
- Pour macOS X, recherchez les nouvelles mises à jour de sécurité dans l'App Store.
- Pour Android, installez la mise à jour de sécurité de Google Décembre 2017 sur votre smartphone ou votre tablette. Vous pouvez trouver des mises à jour sous Paramètres, À propos du périphérique . Les nouveaux téléphones Pixel, Nexus et Galaxy sont immédiatement éligibles pour la mise à niveau de sécurité. Contactez votre fabricant si vous n'êtes pas sûr que la mise à jour est disponible pour votre appareil.
- Pour iOS, installez iOS 11.2 ou supérieur sur votre smartphone ou votre tablette. Pour vérifier les mises à jour, allez à Paramètres, Général, Mise à jour de logiciels .