Failles de sécurité « Meltdown » et « Spectre »

SOMMAIRE

iWeb Technologies, une société d’INAP™, a récemment pris connaissance de failles de sécurité, découvertes par des experts en sécurité informatique, affectant la plupart des processeurs actuellement connus.

Ces deux failles ont été surnommées « Meltdown » et « Spectre ».

                           meltdown.png                 spectre.png
« Ces bogues matériels permettent à des programmes de voler de l’information en traitement sur l’ordinateur. Bien que ces programmes ne soient pas typiquement autorisés à lire les données d’autre programmes, un programme malicieux pourrait exploiter Meltdown et Spectre afin de s’emparer d’informations sensibles stockées dans la mémoire d’autres programmes. Ceci pourrait inclure vos mots de passes stockés dans un gestionnaire de mot de passe ou dans un navigateur, vos photos personnelles, courriels, messages instantanés et même vos documents critiques d’affaires » - traduction libre – meltdownattack.com, le 5 Janvier 2018.

Dans la plupart des cas, un accès local à l’ordinateur est requis pour exploiter ces failles de sécurité. Au moment d’écrire ces lignes, nous n’avons connaissance d’aucune tentatives d’exploitation de ces failles.


Une tentative d’attaque avec un accès non-autorisé pourrait exécuter du code malicieux par le biais d’autres applications pour accéder à la mémoire d’autres processus.


Adhérant aux meilleures pratiques d’industrie, iWeb recommande fortement à ses clients d’assurer que leurs systèmes d'exploitation soient à jour, d’effectuer toute mise à jour de sécurité et de procéder aux mises à jour recommandées par les fournisseurs.

CORRECTIFS

La liste ici-bas contient plusieurs liens de fournisseurs, expliquant comment procéder aux mises à jour requises des systèmes d’exploitation les plus populaires.
Ubuntu
Centos
Red Hat Entreprise Linux
Debian
Windows Server
VMWare

Pour tout système d’exploitation non mentionné, les clients devraient entrer en contact directement avec leur fournisseur dudit système afin d’obtenir plus d’information ainsi que des instructions pour adresser ces failles de sécurité.

IMPACT DES CORRECTIFS

À ce jour, la rétroaction de l’industrie indique un impact potentiel sur la performance résultant de certaines mises à jour correctives. On rapporte notamment une latence sur les bases de données, qui varie de minime à remarquée. iWeb ne possède pas d’information précises sur ces impacts de performance à l’heure actuelle. Nous continuerons de surveiller l’information rendue disponible à propos de ces failles de sécurité.

INFORMATION TECHNIQUE

Pour un regard plus en profondeur sur ce sujet visitez :
https://meltdownattack.com

Rapports officiels du CVE :
CVE-2017-5754
CVE-2017-5753
CVE-2017-5715

PROCHAINES ÉTAPES

iWeb considère sérieusement toutes failles de sécurité. Nous prenons des mesures de précaution à l’interne ainsi qu’avec nos partenaires et nos fournisseurs pour mitiger le risque.

L’information disponible à propos de ces failles de sécurité sont encore en développement, iWeb est en constante communication avec ces fournisseurs et ses partenaires pour rester informée.

iWeb assurera de fournir plus d’information lorsqu’il y aura des développements.

Toute information subséquente sera disponible sur cette page.

Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk