Les grands éditeurs et fournisseurs de cloud s'activent pour patcher leurs produits
Contre les vulnérabilités dans les puces d'Intel, AMD et ARM

Le , par Michael Guilloux, Chroniqueur Actualités
AWS, Microsoft et Google ainsi que d'autres fournisseurs ont informé leurs clients qu'ils risquent d'être confrontés à des interruptions et à une dégradation de performance à cause de leurs efforts pour accélérer la correction des bogues critiques présents dans de nombreux processeurs. Les bogues en question sont causés par des problèmes de conception de microprocesseurs qui pourraient potentiellement permettre à un code malveillant de lire le contenu de la mémoire du noyau d'un ordinateur. Ces problèmes affectent notamment les puces Intel qui dominent le marché des serveurs cloud, mais également des puces conçues par AMD et ARM, contrairement à ce que l’on pensait au début.

Ce problème a été découvert « tard l’année dernière » par l’équipe Project Zero de Google. Les principaux fournisseurs, qui ont été informés des vulnérabilités, ont eu également le temps de préparer des correctifs pour leurs produits et commencer à les déployer, mais il reste encore du travail à faire. Avec la divulgation de ces failles hier, elles n’ont plus donc le temps d’aller à leur rythme, mais doivent accélérer le processus pour éviter que des hackers commencent à exploiter les failles. Dans différents communiqués, AWS, Microsoft et Google ont informé leurs clients de ce qui a déjà été fait à leur niveau et d’éventuelles précautions à prendre.

Google

Dans un communiqué, Google affirme que depuis la découverte de la vulnérabilité affectant les microprocesseurs modernes, ses équipes d'ingénierie s'efforcent de protéger les clients contre la vulnérabilité de l'ensemble de la gamme de produits Google, y compris Google Cloud Platform (GCP), les applications G Suite et les produits Google Chrome et Chrome OS. Google dit également avoir collaboré avec les fabricants de matériel et de logiciels de l'industrie pour protéger leurs utilisateurs et le Web en général.

En ce qui concerne ses produits en particulier, Google affirme que « toutes les applications G Suite ont déjà été mises à jour pour bloquer tous les vecteurs d'attaque connus. Les clients et les utilisateurs de G Suite n'ont besoin d'aucune action pour se protéger de cette vulnérabilité. GCP a également déjà été mis à jour pour éviter toutes les vulnérabilités connues », mais « les clients qui utilisent leurs propres systèmes d'exploitation avec les services GCP pourraient avoir besoin d'appliquer des mises à jour supplémentaires à leurs images ». Enfin, Google fait savoir que les clients qui utilisent le navigateur Chrome, y compris G Suite ou GCP, peuvent tirer parti de la fonctionnalité d'isolation de sites pour renforcer leur sécurité sur les plateformes de bureau, y compris Chrome OS.

Amazon

Concernant la vulnérabilité, AWS indique qu'elle existe depuis plus de 20 ans dans les architectures de processeurs modernes telles que Intel, AMD et ARM sur des serveurs, desktops et périphériques mobiles ; avant d'ajouter que « tout sauf un petit pourcentage à un chiffre des instances de la flotte Amazon EC2 est déjà protégé ». Pour ce qui est des instances restantes, leur protection sera terminée « dans les prochaines heures » d'après Amazon. Le géant du cloud précise toutefois que si les mises à jour effectuées par AWS protègent l'infrastructure sous-jacente, afin d'être entièrement protégées contre ces problèmes, les clients doivent également patcher les systèmes d'exploitation de leur instance. Au passage, des mises à jour pour Amazon Linux sont disponibles et des instructions pour la mise à jour des instances existantes sont fournies.

Microsoft

Alors que Microsoft publiait son communiqué hier, la firme de Redmond a tenu à préciser qu'elle n'a reçu aucune information indiquant que ces vulnérabilités ont été utilisées pour attaquer les clients Azure. Et d'ajouter que « la majorité de l'infrastructure Azure a déjà été mise à jour pour corriger cette vulnérabilité. Certains aspects d'Azure sont toujours en cours de mise à jour et nécessitent un redémarrage des machines virtuelles des clients pour que la mise à jour de sécurité soit appliquée », explique Microsoft.

Beaucoup des clients Azure ont reçu une notification au cours des dernières semaines à propos d'une maintenance planifiée sur Azure et ont déjà redémarré leurs machines virtuelles pour appliquer le correctif. Pour ceux-ci, aucune autre action n'est requise. Avec la divulgation publique de la faille de sécurité mercredi, Microsoft a accéléré son calendrier de maintenance planifiée et a déjà commencé à redémarrer automatiquement les machines virtuelles restantes, comme l'entreprise l'a annoncé hier.

La majorité des clients Azure ne devraient pas voir d'impact notable sur les performances avec cette mise à jour. Seul « un petit groupe » de clients peut avoir un impact sur les performances de mise en réseau, mais cela peut être résolu en activant Azure Accelerated Networking (Windows, Linux), qui est une fonctionnalité gratuite disponible pour tous les clients Azure. Microsoft précise aussi que cette mise à jour de l'infrastructure Azure corrige la vulnérabilité révélée au niveau de l'hyperviseur et ne nécessite pas de mise à jour de vos images de machine virtuelle Windows ou Linux.

En ce qui concerne Windows, Microsoft a également réagi rapidement avec une mise à jour pour toutes les versions de Windows. Ce qu'il est important de savoir, cependant, c'est que seul Windows 10 reçoit automatiquement la mise à jour aujourd'hui, tandis que Windows 7 et Windows 8.1 se verront proposer la mise à jour avec le Patch Tuesday, la semaine prochaine. Les utilisateurs peuvent aussi l'installer manuellement via Microsoft Update Catalog.

DigitalOcean

DigitalOcean, un autre fournisseur cloud travaille également pour la protection de ses clients. « Depuis que nous avons appris ce problème, nous avons activement analysé et suivi l'activité du noyau Linux et notre équipe de développement a travaillé avec diligence pour obtenir autant d'informations que possible d'Intel. Malheureusement, l'embargo strict imposé par Intel a considérablement limité notre capacité à établir une compréhension globale de l'impact potentiel. »

« Sur la base de nos investigations et des informations que nous avons reçues jusqu'à présent, nous pensons qu'il peut être nécessaire de redémarrer les Droplets des clients affectés. Si les redémarrages s'avèrent être la bonne marche à suivre pour les utilisateurs de DigitalOcean, nous planifierons la maintenance urgente et aviserons les clients touchés. Nous continuons à surveiller cette situation et travaillons avec Intel pour obtenir plus de détails. »

Linux

La bonne nouvelle pour les linuxiens est que les développeurs de Linux ont déjà corrigé le noyau pour y faire face. Mais il y a aussi une mauvaise nouvelle ; c'est que le correctif va entraîner une baisse de performance d'au moins 5 %, et les applications peuvent voir leurs performances être beaucoup plus impactées. C'est le cas par exemple de PostgreSQL, comme cela est expliqué dans un message dans sa liste de diffusion.

« Les versions à venir du noyau Linux (et apparemment aussi de Windows et autres) incluront une nouvelle fonctionnalité qui a apparemment été implémentée avec hâte pour contourner un bogue matériel Intel. Le correctif va être fusionné dans la prochaine version du noyau Linux et est en train d'être intégré dans les anciennes versions. Intégrer une nouvelle entité complexe et envahissante dans une ancienne version indique que cela concerne un problème important », explique Andres Freund de l'équipe de développement de PostegreSQL. Avant d'annoncer que « le correctif entraînera malheureusement des régressions de performances » pour la base de données populaire. En ce qui concerne l'impact exact, dans certains cas, PostgreSQL pourrait connaitre un ralentissement d'au moins 17 % d'après des tests d'Andres Freund.

Sources : Google, AWS, Microsoft, Liste de diffusion PostgreSQL, DigitalOcean

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de abriotde abriotde - Membre éprouvé https://www.developpez.com
le 04/01/2018 à 14:05
il suffit juste d'un programme en user-space
Oui enfin c'est surtout que techniquement c'est assez difficile à exploiter, il semble falloir analyser tous l'espace d'adressage pour réussir à déterminer des adresse noyau (et a priori faire planter son programme des millions de fois) et ensuite arriver à comprendre qu'est-ce qu'il y a derrière ces adresses... la pluspart des malware n'ont pas envie de se casser la tête avec ça, il y a d'autres failles à exploiter plus facilement avant. Récupérer les données bancaires leur suffit
Par contre pour ceux qui se pencheront dessus, l'avantage que cela procure au programme c'est de pouvoir alors avoir un accès root mais plus que ça, pouvoir s'installer dans le système d'amorçage de l'ordinateur ou en mémoire noyau à un endroit ou il ne pourra pas être détecter par un anti-virus qui lui tourne en espace utilisateur (en root).
Alors il est vrai que ce n'est pas la peine de paniquer car ce sera peu exploiter et pas tout de suite mais ceux qui l'exploiteront auront tous de même un sacré avantage.
Avatar de RyzenOC RyzenOC - Inactif https://www.developpez.com
le 04/01/2018 à 14:20
Citation Envoyé par codec_abc Voir le message
Si tu parles de Meltdown, j'ai pas l'impression que la faille soit dur a exploiter, il suffit juste d'un programme en user-space. Si tu as des données un tant soit peu importante c'est stupide de ne pas appliquer le patch.
comme la dit abriotde c'est pas aussi simple.
le bogue ne semble pas permettre une lecture directe des données dans l'espace d'adressage réservé au noyau, mais il permet en revanche de déduire du comportement du CPU, lorsqu'il exécute une séquence de code bien particulière et en observant le temps qui lui est nécessaire pour l'exécuter, s'il y a ou non des données du noyau à une adresse virtuelle.

De là à en tirer une exploitation ( "exploit" ) pratique pour lire des informations précises (clefs, mots de passe) ou encore modifier les données du noyau, il y a encore beaucoup de boulot...

Bref, la rustine de contournement (qui impacte les performances de *tous* les appels système et de *toutes* les interruptions matérielles) est très largement inutile

Il faut comprendre que ce genre de problème ne date pas d'hier

- attaque: buffer-overflow + accès en mémoire (appli, lib, kernel, driver ...)
- solution: isolation de la mémoire user et de la mémoire kernel (switch de mode)

- problème: cette solution est lente (switch de mode => reset des caches mémoires)
- solution: on supprime l'isolation mais on controle les accès en mémoire kernel (privilèges).

- attaque: buffer-overflow + contournement de privilège + accès aux structures du kernel
- solution KASR (Kernel ASR): impossible de prédire l'adresse des structures du kernel...

- bug: (sous embargo) on peut "prédire" les adresses des structures du kernel
- solution: on revient au mode isolation kernel/user

- problème: cette solution est toujours aussi lente :transpi:
- solution: ???
Avatar de codec_abc codec_abc - Membre averti https://www.developpez.com
le 04/01/2018 à 14:50
Citation Envoyé par abriotde Voir le message
Oui enfin c'est surtout que techniquement c'est assez difficile à exploiter, il semble falloir analyser tous l'espace d'adressage pour réussir à déterminer des adresse noyau (et a priori faire planter son programme des millions de fois) et ensuite arriver à comprendre qu'est-ce qu'il y a derrière ces adresses... la pluspart des malware n'ont pas envie de se casser la tête avec ça, il y a d'autres failles à exploiter plus facilement avant. Récupérer les données bancaires leur suffit
Par contre pour ceux qui se pencheront dessus, l'avantage que cela procure au programme c'est de pouvoir alors avoir un accès root mais plus que ça, pouvoir s'installer dans le système d'amorçage de l'ordinateur ou en mémoire noyau à un endroit ou il ne pourra pas être détecter par un anti-virus qui lui tourne en espace utilisateur (en root).
Alors il est vrai que ce n'est pas la peine de paniquer car ce sera peu exploiter et pas tout de suite mais ceux qui l'exploiteront auront tous de même un sacré avantage.
Comme dit dans le papier, il existe des techniques qui permettent de supprimer l'exception qui fait planter le programme, donc non le programme de plantera pas des millions de fois.

Aussi, il n'y pas pas besoin de dumper toute la mémoire car et la plupart des programmes (surtout natif) ont souvent des patterns d'allocations bien déterministe ce qui rend beaucoup plus rapide la recherche et l'analyse de la mémoire pour un programme malveillant. Bref, Meltdown n'est pas clairement pas impossible a mettre en œuvre, loin de la même. Pour rappel on a déjà eu Stuxnet qui consistait quand même a faire un virus qui reprogrammais les automates des centrifugeuses des centrales iraniennes pour ralentir leur programme nucléaire. Donc ça m'étonnerait que certaines organisation ne s'intéresse pas à cette faille qui leur laisse la porte ouverte a tout PC équipé d'un CPU Intel de moins de 10 ans.
Avatar de MiaowZedong MiaowZedong - Membre extrêmement actif https://www.developpez.com
le 04/01/2018 à 16:14
Citation Envoyé par codec_abc Voir le message
Ce n'est plus du tout spéculatif. Google a publié les papiers de recherche qui expliquent les vulnérabilités ont étés publiés. La plus grave (Meltdown), n'affecte que les processeurs Intel tandis que la moins facilement exploitable (Spectre) fonctionne sur pas mal de processeurs (Intel, AMD et ARM).

Lien: Spectre et Meltdown

En bonus, la mauvaise fois ultime d'Intel. Juste pour ça, mon prochain CPU sera un AMD, car foirer un design sur un CPU c'est déjà pas génial mais répondre "Intel believes its products are the most secure in the world and that, with the support of its partners, the current solutions to this issue provide the best possible security for its customers." le jour de la publication de la faille c'est juste nous prendre pour des cons.
"Moins facile à exploiter", c'est vite dit. Spectre requiert certes un ralentissement qui sera visible de l'utilisateur, et un code complexe, mais potentiellement un JavaScript executé dans le browser sans rien demander à l'utilisateur pourrait piller des cookies d'authentification ou des mots de passe. Et pour le ralentissement (qui ferait sans doute rebooter sa machine à l'utilisateur lambda), les papiers précisent qu'il "y a de la place pour optimiser". Et encore heureux que ce soit difficile à executer, parce que ce n'est pas loin d'être la faille ultime.
Avatar de Nudger Nudger - En attente de confirmation mail https://www.developpez.com
le 04/01/2018 à 16:17
Citation Envoyé par RyzenOC Voir le message
Depuis ce matin il semble que ce problème impacte aussi les cpu ARM et IBM Power 8/9.
AMD serait aussi un peu touché (Spectre) mais moins que intel.

A titre personnel je n'appliquerais pas le patch sur mes serveur linux. La perte de perf est trop importante et la faille est quand même difficilement exploitable pour un hacker. Il faut réunir quand même pas mal de condition pour l'exploiter.
Si vous êtes sur une machine dédiée et dont l'accès est suffisamment sécurisé, il n'y a pas trop d'inquiétude.
L'exécution d'un code qui exploite cette faille pourra difficilement se faire.

En revanche pour une machine virtuelle dans le cloud, c'est pas la même histoire : sur une même machine physique tourne plusieurs VM et rien ne dit qu'il n'y a pas un voisin malveillant qui va vouloir exploiter cette faille sur les CPU pour tenter de récupérer des données de votre propre VM.
Avatar de disedorgue disedorgue - Expert éminent https://www.developpez.com
le 04/01/2018 à 16:29
Perso, je trouve ça tellement beau que l'on devrait titrer:

Le hardware qui vient en aide au software


Avatar de athlon64 athlon64 - Membre confirmé https://www.developpez.com
le 04/01/2018 à 18:54
Ces failles sont probablement déjà exploitées par des Etats et organismes, vu que des processeurs d'il y a 10 ans sont aussi concernés.
Avatar de Chuck_Norris Chuck_Norris - Membre émérite https://www.developpez.com
le 04/01/2018 à 19:19
Citation Envoyé par disedorgue Voir le message
Le hardware qui vient en aide au software
Pas sûr de bien comprendre ici, à moins que cela soit dans le sens "même plus besoin de failles logicielles, le CPU s'en charge" ?

En tout cas je me demande si une mise à jour du microcode sera capable de corriger le problème. Si oui, on n'a plus qu'à l'attendre, et se contenter des patchs qui contournent le problème au prix des performances en attendant.

En tout cas, la faille me paraît si critique et si répandue qu'il faudrait immédiatement pendre ou lapider les responsables qualité de chez Intel.
Avatar de Christian Olivier Christian Olivier - Chroniqueur Actualités https://www.developpez.com
le 04/01/2018 à 20:17
Bogues critiques touchant les CPU modernes : Google a informé Intel depuis des mois
Et confirmé qu’ils affectent plus Intel et ARM qu’AMD

Les chercheurs de Google ont découvert que la temporisation du cache de données des processeurs modernes peut être utilisée de manière abusive pour récupérer illégalement les informations sur un ordinateur. Cette fonctionnalité est utilisée par la plupart des processeurs modernes pour optimiser les performances, mais elle peut également occasionner de graves problèmes de sécurité, car des attaquants pourraient tirer parti de l’exécution spéculative afin de lire le contenu de la mémoire du noyau d’un ordinateur qui en temps normal aurait dû leur être inaccessible.

Contrairement aux premières informations indiquant que ces vulnérabilités critiques causées par des problèmes de conception de microprocesseurs affectent uniquement les CPU Intel, la firme de Santa Clara n’est pas le seul acteur du marché des microprocesseurs à être touché par ce problème. Intel l’a d’ailleurs confirmé dans un communiqué paru récemment sur son site Web.

La réponse d’Intel au sujet des vulnérabilités critiques

Le fondeur de Santa Clara estime que « ;ces exploits n’ont pas le potentiel de corrompre, modifier ou supprimer des données ;». L’entreprise technologique américaine a tenu à préciser qu’il est incorrect de penser que les failles dont il est question n’affectent que ses produits, et insisté sur le fait que « ;de nombreux dispositifs informatiques équipés d’une grande variété de processeurs et de systèmes d’exploitation développés par différents fournisseurs sont sensibles à ces exploits ;».

La firme de Santa Clara « ;avait prévu de divulguer ce problème la semaine prochaine ;», mais aurait été prise de cours par l’apparition de rapports médiatiques inexacts. Elle a assuré collaborer avec les autres acteurs de l’industrie technologique concernés par ce problème, notamment AMD, ARM et les éditeurs d’OS populaires comme Android, les distributions Linux ou Windows, afin de trouver dans les meilleurs délais une solution constructive à ce problème.

Les premières informations fournies par certains rapports laissaient supposer que les correctifs qui seront déployés par la suite pour régler le problème pourraient causer des baisses de performances non négligeables sur les machines concernées (jusqu’à 30 %). Mais de l’avis d’Intel, « ;les impacts sur les performances dépendent de la charge de travail et, pour l’utilisateur moyen d’un ordinateur, ils ne devraient pas être significatifs et seront atténués au fil du temps ;».

Intel a recommandé aux utilisateurs de se référer aux consignes des vendeurs et des éditeurs d’OS pour obtenir plus de détails en ce qui concerne la procédure à suivre. L’entreprise a également tenu à rassurer en déclarant que « ;ses produits sont les plus sécurisés au monde et que, avec le soutien de ses partenaires, les solutions actuelles à ce problème offrent la meilleure sécurité possible à ses clients ;».

Intel était au courant depuis le 1er juin 2017 et son PDG a décidé de vendre ses actions

Cependant, la firme de Santa Clara était au courant depuis plusieurs mois déjà de l’existence de cette situation, et ce serait Google qui aurait pris soin de l’en informer. À ce propos, l’éditeur d’Android a confirmé sur son site qu’il a prévenu AMD, ARM et Intel de cette situation depuis le 1er juin 2017 et clarifié les détails relatifs à cette affaire en fournissant une liste des différentes variantes de la faille critique dont il est question.

Il faut souligner que le 29 novembre dernier, le PDG d’Intel, Brian Krzanich, a vendu les actions qu’il possédait dans la firme américaine pour 24 millions USD. Cette opération est survenue après qu’Intel a été informé par Google de vulnérabilités majeures affectant ses puces, celles-là mêmes qui ont été rendues publiques cette semaine. La société affirme que cette vente d’actions n’était pas liée à la découverte de la faille en question, mais qu’elle faisait partie d’un programme de cession planifié. Le PDG, dans son opération de vente, n’aurait conservé que 250 ;000 actions au sein du groupe, le strict minimum que l’entreprise lui exige de posséder en vertu de son contrat de travail.

Les résultats des investigations menées par Google

Grâce aux précisions fournies par une étude menée par le projet Zero de Google, on sait désormais que les vulnérabilités critiques touchant les CPU modernes affectent non seulement les CPU x86 64-bits d’Intel, mais aussi les puces basées sur l’architecture ARM. Les processeurs conçus par AMD sont aussi concernés, mais dans une moindre mesure seulement puisque Google estime le risque proche de 0 pour les CPU du fondeur de SunnyVale. Red Hat a prévenu de son côté que même certains CPU IBM sont concernés par cette annonce. Même si les entreprises AMD et ARM sont désormais affectées par cette faille de sécurité, leurs CPU sont beaucoup moins gravement touchés que ceux d’Intel.

Il existe trois variantes principales des exploits que Google a détaillées avec leurs mécanismes d’action respectifs dans un article : variante 1 (CVE-2017-5753), variante 2 (CVE-2017-5715), variante 3 (CVE-2017-5754). Deux d’entre elles ont été respectivement baptisées Meltdown et Spectre, elles affecteraient les processeurs depuis 1995. La variante 1 affecte presque tous les processeurs modernes (AMD, ARM et Intel notamment), alors que les variantes 2 et 3 de la faille affectent principalement les CPU Intel et une partie des CPU ARM. Google estime que « ;Spectre est plus difficile à exploiter que Meltdown, mais qu’il est également plus difficile à atténuer ;».

Alors qu'AMD avait affirmé que ses processeurs n'étaient pas affectés par les vulnérabilités critiques évoquées, la société précise maintenant que « l'ampleur de la menace et la nature des mesures à adopter concernant les trois variantes diffèrent selon le fabricant de microprocesseurs considéré, et AMD n'est pas sensible aux trois variantes ». La firme de SunnyVale soutient également que le risque serait quasi nul pour ses processeurs les plus récents.

ARM, de son côté, a reconnu que la fonctionnalité d’exécution spéculative de nombreux processeurs haute performance modernes, bien que fonctionnant comme prévu, présente également un risque non négligeable pour la sécurité. La société a précisé avoir développé des patchs spécifiques qu’elle recommande d’utiliser. En outre, ARM a inclus des informations au sujet d’une variante notée 3a qui figure dans le tableau ci-dessous. Ce tableau liste les puces ARM et les variantes de la faille susceptibles de les affecter.

Source : Intel, AMD, Google Project Zero, ARM, Business Insider

Et vous ?

Qu’en pensez-vous ?

Voir aussi

Les grands éditeurs et fournisseurs de cloud s'activent pour patcher leurs produits contre les vulnérabilités dans les puces d'Intel, AMD et ARM
Les processeurs Intel x86 souffrent d'un défaut qui permet d'installer des logiciels malveillants dans l'espace protégé des puces
Avatar de disedorgue disedorgue - Expert éminent https://www.developpez.com
le 04/01/2018 à 21:16
Citation Envoyé par Chuck_Norris Voir le message
Pas sûr de bien comprendre ici, à moins que cela soit dans le sens "même plus besoin de failles logicielles, le CPU s'en charge" ?
Oui, c'est bien dans ce sens là
Contacter le responsable de la rubrique Accueil