Vous avez peut-être entendu dire que le ciel est tombé et que l'apocalypse de sécurité s'est produite à cause de deux nouvelles attaques nommées Meltdown et Spectre. Si vous travaillez dans l'informatique ou dans tout autre domaine de l'infrastructure informatique à grande échelle, vous avez probablement l'impression que c'est le cas aussi et vous attendez déjà avec impatience vos jours de vacances 2018.
Les médias ont entendu pour la première fois des rumeurs sur cette mère de tous les exploits à la fin de 2017, et les rapports récents étaient extrêmement spéculatifs et ont finalement forcé des entreprises comme Microsoft, Amazoneet Google (dont L'équipe Project Zero a tout découvert) pour répondre avec des détails. Ces détails ont fait une lecture intéressante si vous êtes intéressé par ce genre de chose.
Mais pour tout le monde, quel que soit le téléphone ou l'ordinateur que vous utilisez, une grande partie de ce que vous lisez ou entendez peut sembler être dans une langue différente. C'est parce que c'est le cas, et à moins que vous ne maîtrisiez couramment le cyber-geek-security-techno-speak, vous devrez peut-être le faire passer par un traducteur.
Verizon propose le Pixel 4a pour seulement 10 $ / mois sur les nouvelles lignes illimitées
Bonnes nouvelles! Vous avez trouvé ce traducteur, et voici ce que tu besoin de connaître Meltdown et Spectre, et ce que vous devez faire à ce sujet.
Que sont ils
Meltdown et Spectre sont deux choses différentes, mais comme ils ont été révélés en même temps et qu'ils traitent tous deux de l'architecture des microprocesseurs au niveau matériel, ils sont discutés ensemble. Le téléphone que vous utilisez actuellement est presque certainement affecté par l'exploit Spectre, mais personne n'a encore trouvé le moyen de l'utiliser.
Le processeur à l'intérieur de votre téléphone détermine à quel point il est vulnérable à ces types d'exploits, mais il est plus sûr de supposer qu'ils vous affectent tous si vous n'êtes pas sûr. Et comme ils n'exploitent pas un bogue et utilisent à la place un processus qui supposé pour arriver, il n'y a pas de solution facile sans une mise à jour logicielle.
Regardez le téléphone entre vos mains; il est vulnérable à certains de ces attaques.
Les ordinateurs (cela inclut également les téléphones et autres petits ordinateurs) dépendent de ce qu'on appelle isolation de la mémoire pour la sécurité entre les applications. Pas la mémoire utilisée pour stocker des données sur le long terme, mais la mémoire utilisée par le matériel et les logiciels pendant que tout fonctionne en temps réel. Les processus stockent les données séparément des autres processus, de sorte qu'aucun autre processus ne sait où ni quand elles sont écrites ou lues.
Les applications et les services exécutés sur votre téléphone veulent tous que le processeur fasse un peu de travail et lui donnent constamment une liste de choses dont ils doivent être calculés. Le processeur n'effectue pas ces tâches dans l'ordre où elles sont reçues - cela signifierait que certaines parties du Le processeur est inactif et attend la fin des autres pièces, donc la deuxième étape peut être effectuée après la première étape. fini. Au lieu de cela, le processeur peut passer à l'étape trois ou quatre et les faire à l'avance. C'est appelé exécution dans le désordre et tous les processeurs modernes fonctionnent de cette façon.
Meltdown et Spectre n'exploitent pas un bogue - ils attaquent la façon dont un processeur calcule les données.
Parce qu'un processeur est plus rapide que n'importe quel logiciel, il fait également un peu de devinettes. Exécution spéculative c'est quand le CPU effectue un calcul qu'il n'a pas encore été demandé de faire sur la base des calculs précédents était demandé d'effectuer. Une partie de l'optimisation du logiciel pour de meilleures performances du processeur consiste à suivre quelques règles et instructions. Cela signifie que la plupart du temps, il y a un flux de travail normal qui sera suivi et qu'un processeur peut sauter en avant pour que les données soient prêtes lorsque le logiciel le demande. Et parce qu'ils sont si rapides, si les données n'étaient pas nécessaires après tout, elles sont mises de côté. C'est encore plus rapide que d'attendre la demande pour effectuer un calcul.
Cette exécution spéculative est ce qui permet à Meltdown et Spectre d'accéder à des données auxquelles ils ne pourraient autrement pas accéder, bien qu'ils le fassent de différentes manières.
Meltdown
Les processeurs Intel, les nouveaux processeurs de la série A d'Apple et d'autres SoC ARM utilisant le nouveau cœur A75 (pour l'instant, il ne s'agit que du Qualcomm Snapdragon 845) sont vulnérables à l'exploit Meltdown.
Meltdown exploite ce qu'on appelle une «faille d'escalade de privilèges» qui donne à une application un accès à la mémoire du noyau. Cela signifie tout code qui peut accéder à cette zone de mémoire - où la communication entre le noyau et le processeur se produit - a essentiellement accès à tout ce dont il a besoin pour exécuter n'importe quel code sur le système. Lorsque vous pouvez exécuter n'importe quel code, vous avez accès à toutes les données.
Spectre
Spectre affecte presque tous les processeurs modernes, y compris celui de votre téléphone.
Spectre n'a pas besoin de trouver un moyen d'exécuter du code sur votre ordinateur car il peut «tromper» le processeur pour qu'il exécute des instructions pour lui, puis lui donne accès aux données d'autres applications. Cela signifie qu'un exploit pourrait voir ce que font les autres applications et lire les données qu'elles ont stockées. La façon dont un processeur traite les instructions dans le désordre dans les branches est celle où Spectre attaque.
Meltdown et Spectre sont capables d'exposer des données qui devraient être mises en bac à sable. Ils le font au niveau du matériel, de sorte que votre système d'exploitation ne vous protège pas - Apple, Google, Microsoft et toutes sortes de systèmes d'exploitation Unix et Linux open source sont également affectés.
En raison d'une technique connue sous le nom de planification dynamique qui permet aux données d'être lues pendant qu'elles sont calculées au lieu de devoir être stockées en premier, il y a beaucoup d'informations sensibles dans la RAM pour une attaque à lire. Si vous êtes intéressé par ce genre de choses, les livres blancs publiés par le Université de technologie de Graz sont des lectures fascinantes. Mais vous n'avez pas besoin de les lire ou de les comprendre pour vous protéger.
Suis-je concerné?
Oui. Du moins, tu l'étais. Fondamentalement, tout le monde a été affecté jusqu'à ce que les entreprises commencent à corriger leurs logiciels contre ces attaques.
Le logiciel à mettre à jour se trouve dans le système d'exploitation, ce qui signifie que vous avez besoin d'un correctif d'Apple, de Google ou de Microsoft. (Si vous utilisez un ordinateur qui exécute Linux et que vous n'êtes pas dans infosec, vous avez déjà le correctif. Utilisez votre logiciel de mise à jour pour l'installer ou demandez à un ami qui est dans infosec de vous guider dans la mise à jour de votre noyau). La bonne nouvelle est qu'Apple, Google et Microsoft ont des correctifs déjà déployés ou en cours de préparation dans un avenir immédiat pour les versions prises en charge.
Les spécificités
- Processeurs Intel depuis 1995 sauf pour la plate-forme Itanium et ATOM pré-2013 sont affectés à la fois par Meltdown et Spectre.
- Tous les processeurs AMD modernes sont affectés par l'attaque Spectre. AMD PRO et AMD FX (les processeurs AMD 9600 R7 et AMD FX-8320 ont été utilisés comme preuve de concept) dans un configuration non standard (noyau BPF JIT activé) sont affectés par Meltdown. On s'attend à ce qu'une attaque similaire contre la lecture de la mémoire de canal latéral soit possible contre tous les processeurs 64 bits y compris les processeurs AMD.
- Processeurs ARM avec les cœurs Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 et A75 sont suspects d'attaques Spectre. Processeurs avec Cortex A75 (le Snapdragon 845) les cœurs sont vulnérables aux attaques Meltdown. On s'attend à ce que les puces utilisant des variantes de ces cœurs, comme Gamme Snapdragon de Qualcomm ou Gamme Exynos de Samsung, auront également des vulnérabilités similaires ou identiques. Qualcomm travaille directement avec ARM et a cette déclaration sur les problèmes:
Qualcomm Technologies, Inc. est au courant des recherches de sécurité sur les vulnérabilités des processeurs à l'échelle de l'industrie qui ont été signalées. Fournir des technologies qui prennent en charge une sécurité et une confidentialité robustes est une priorité pour Qualcomm, et tel, nous avons travaillé avec Arm et d'autres pour évaluer l'impact et développer des mesures d'atténuation pour notre les clients. Nous intégrons et déployons activement des mesures d'atténuation contre les vulnérabilités de nos produits concernés, et nous continuons à travailler pour les renforcer autant que possible. Nous sommes en train de déployer ces mesures d'atténuation auprès de nos clients et encourageons les gens à mettre à jour leurs appareils lorsque des correctifs seront disponibles.
NVIDIA a déterminé que ces exploits (ou d'autres exploits similaires qui peuvent survenir) n'affectent pas le calcul GPU, de sorte que leur matériel est principalement immunisé. Ils travailleront avec d'autres entreprises pour mettre à jour les pilotes de périphériques afin d'atténuer les problèmes de performances du processeur, et ils évaluent leurs SoC ARM (Tegra).
Webkit, les personnes derrière le moteur de rendu par navigateur de Safari et le précurseur du moteur Blink de Google, ont une excellente description de la façon dont ces attaques peuvent affecter leur code. Une grande partie de cela s'appliquerait à n'importe quel interpréteur ou compilateur et c'est une lecture incroyable. Voyez comment ils travaillent pour le réparer et éviter que cela ne se produise la prochaine fois.
En clair, cela signifie qu'à moins que vous n'utilisiez encore un téléphone, une tablette ou un ordinateur très ancien, vous devez vous considérer comme vulnérable sans mise à jour du système d'exploitation. Voici ce que nous savons jusqu'ici sur ce front:
- Google a corrigé Android contre les attaques Spectre et Meltdown avec le décembre 2017 et Janvier 2018 patchs.
- Google a corrigé les Chromebooks en utilisant les versions 3.18 et 4.4 du noyau dans Décembre 2017 avec OS 63. Périphériques avec d'autres versions du noyau (regardez ici pour trouver le vôtre) sera bientôt corrigé. En anglais simple: Le Chromebook Toshiba, l'Acer C720, le Chromebook Dell 13 et les Chromebook Pixels de 2013 et 2015 (et certains noms dont vous n'avez probablement jamais entendu parler) ne sont pas encore corrigés mais le seront bientôt. La plupart des Chromebox, Chromebases et Chromebits sont ne pas patché mais le sera bientôt.
- Pour les appareils Chrome OS qui ne sont pas corrigés, une nouvelle fonctionnalité de sécurité appelée Isolation du site atténuera les problèmes liés à ces attaques.
- Microsoft a corrigé les deux exploits en janvier 2018.
- Apple a corrigé macOS et iOS contre Meltdown à partir de la mise à jour de décembre. La première série de mises à jour de Spectre a été repoussée début janvier. Découvrez iMore pour tout ce que tu as besoin de savoir à propos de ces défauts du processeur et de la façon dont ils affectent votre Mac, iPad et iPhone.
- Des correctifs ont été envoyés à toutes les versions prises en charge du noyau Linux, et les systèmes d'exploitation comme Ubuntu ou Red Hat peuvent être mis à jour via l'application de mise à jour logicielle.
Pour les spécificités Android, le Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2, et Pixel 2 XL ont été corrigés et vous devriez bientôt voir une mise à jour si vous ne l'avez pas déjà reçue. Vous pouvez également mettre à jour manuellement ces appareils si vous le souhaitez. Le projet Android Open Source (le code utilisé pour créer le système d'exploitation pour chaque téléphone Android) a également été corrigé et des distributions tierces telles que LineageOS peut être mis à jour.
Comment mettre à jour manuellement votre Pixel ou Nexus
Samsung, LG, Motorola, et d'autres fournisseurs Android (entreprises qui fabriquent des téléphones, des tablettes et des téléviseurs) appliqueront des correctifs à leurs produits avec la mise à jour de janvier 2018. Certains, comme le Remarque 8 ou Galaxy S8, verra cela avant les autres, mais Google a rendu le correctif disponible pour tout dispositifs. Nous nous attendons à voir plus de nouvelles de tous les partenaires pour nous dire à quoi nous attendre et quand.
Que puis-je faire?
Si vous avez un produit vulnérable, il est facile de se laisser emporter par le battage médiatique, mais vous ne devriez pas. Spectre et Meltdown ne "se produisent pas simplement" et dépendent de tu installer des logiciels malveillants qui les exploitent. En suivant quelques pratiques sûres, vous serez immunisé contre les exploits sur tout matériel informatique.
- N'installez que les logiciels auxquels vous faites confiance à partir d'un endroit auquel vous faites confiance. C'est toujours une bonne idée, mais surtout si vous attendez un patch.
- Sécurisez vos appareils avec un bon écran de verrouillage et un bon cryptage. Cela fait plus que simplement empêcher une autre personne d'entrer, car les applications ne peuvent rien faire lorsque votre téléphone est verrouillé sans votre permission.
- Lire et comprendre les autorisations sur tout ce que vous exécutez ou installez sur votre téléphone. N'ayez pas peur de demander de l'aide ici!
- Utilisez un navigateur Web qui bloque les logiciels malveillants. Nous pouvons vous recommander Chrome ou Firefox, et d'autres navigateurs peuvent également vous protéger contre les logiciels malveillants Web. Demandez aux personnes qui les fabriquent et les distribuent si vous n'êtes pas sûr. Le navigateur Web fourni avec votre téléphone n'est peut-être pas la meilleure option ici, surtout si vous avez un modèle plus ancien. Edge et Safari sont également approuvés pour les appareils Windows ou MacOS et iOS.
- N'ouvrez pas de liens sur les réseaux sociaux, dans un e-mail ou dans tout message d'une personne que vous ne connaissez pas. Même s'ils proviennent de personnes que vous connaissez, assurez-vous de faire confiance à votre navigateur Web avant de cliquer ou d'appuyer. Cela va double pour les liens de redirection qui masquent une URL de site. Nous utilisons ce type de liens assez souvent et il y a de fortes chances que beaucoup de médias en ligne que vous lisez le fassent également. Faites attention.
- Ne sois pas stupide. Vous savez ce que cela signifie pour vous. Faites confiance à votre jugement et faites preuve de prudence.
La bonne nouvelle est que la façon dont ces exploits de canaux secondaires sont corrigés n'est pas va apporter les énormes ralentissements qui étaient annoncés avant la publication de toute mise à jour. C'est ainsi que fonctionne le Web, et si vous lisez comment votre téléphone ou votre ordinateur allait être 30% plus lent après l'application d'un correctif, c'est parce que le sensationnalisme se vend. Les utilisateurs qui exécutent un logiciel mis à jour (et qui l'ont été pendant les tests) ne le voient tout simplement pas.
Le correctif n'a pas l'impact sur les performances que certains prétendaient qu'il apporterait, et c'est une excellente chose.
Tout cela est dû au fait que ces attaques mesurent des intervalles de temps précis et que les correctifs initiaux modifient ou désactivent la précision de certaines sources de synchronisation via un logiciel. Moins précis signifie plus lent lorsque vous calculez et l'impact a été exagéré pour être beaucoup plus important qu'il ne l'est. Même les légères baisses de performance résultant des correctifs sont atténuées par d'autres sociétés et nous constatons NVIDIA met à jour la façon dont leurs GPU calculent les nombres ou Mozilla travaille sur la façon dont ils calculent les données pour les rendre uniformes plus rapide. Votre téléphone ne sera pas plus lent avec le patch de janvier 2018 et votre ordinateur ne le sera pas non plus à moins qu'il ne soit très vieux, du moins pas de manière notable.
Arrêtez de vous en préoccuper et assurez-vous plutôt de faire tout ce que vous pouvez pour protéger vos données.
Que retenir de tout
Les alertes à la sécurité ont toujours un impact réel. Personne n'a vu aucune instance de Meltdown ou Spectre utilisée dans la nature, et comme la plupart des appareils que nous utilisons tous les jours sont mis à jour ou le seront très bientôt, les rapports resteront probablement ainsi. Mais cela ne signifie pas qu'ils doivent être ignorés.
Prenez les menaces de sécurité comme celle-ci au sérieux, mais ne tombez pas dans le battage médiatique; être informé!
Ces exploits de canaux secondaires avaient le potentiel d'être ce grand événement sérieux et révolutionnaire dont les gens s'inquiètent en matière de cybersécurité. Tout exploit qui affecte le matériel est sérieux, et quand il attaque quelque chose fait exprès au lieu d'un bogue, il devient encore plus sérieux. Heureusement, les chercheurs et les développeurs ont pu capturer, contenir et patcher Meltdown et Spectre avant toute utilisation généralisée.
Ce qui est vraiment important ici, c'est que vous obteniez les bonnes informations pour que vous sachiez quoi faire chaque fois que vous entendez parler d'une nouvelle cybermenace qui veut tout votre contenu numérique. Il existe généralement un moyen rationnel d'atténuer les effets graves une fois que vous avez dépassé tous les titres.
Restez en sécurité!
Avez-vous écouté le podcast Android Central de cette semaine?
Chaque semaine, le podcast Android Central vous apporte les dernières nouvelles technologiques, des analyses et des prises de vue, avec des co-hôtes familiers et des invités spéciaux.
- Abonnez-vous à Pocket Casts: l'audio
- Abonnez-vous à Spotify: l'audio
- Abonnez-vous à iTunes: l'audio
Nous pouvons gagner une commission pour les achats en utilisant nos liens. Apprendre encore plus.
Ce sont les meilleurs écouteurs sans fil que vous pouvez acheter à tous les prix!
Les meilleurs écouteurs sans fil sont confortables, sonnent bien, ne coûtent pas trop cher et tiennent facilement dans une poche.
Tout ce que vous devez savoir sur la PS5: date de sortie, prix, etc.
Sony a officiellement confirmé qu'il fonctionnait sur la PlayStation 5. Voici tout ce que nous savons à ce sujet jusqu'à présent.
Nokia lance deux nouveaux téléphones Android One économiques de moins de 200 $.
Nokia 2.4 et Nokia 3.4 sont les derniers ajouts à la gamme de smartphones économiques de HMD Global. Comme ce sont tous les deux des appareils Android One, ils sont garantis de recevoir deux mises à jour majeures du système d'exploitation et des mises à jour de sécurité régulières pendant trois ans maximum.
Sécurisez votre maison avec ces sonnettes et serrures SmartThings.
L'une des meilleures choses à propos de SmartThings est que vous pouvez utiliser une multitude d'autres appareils tiers sur votre système, sonnettes et serrures incluses. Comme ils partagent tous essentiellement le même support SmartThings, nous nous sommes concentrés sur les appareils dotés des meilleures spécifications et astuces pour justifier leur ajout à votre arsenal SmartThings.