AWS, Microsoft et Google ainsi que d'autres fournisseurs ont informé leurs clients qu'ils risquent d'être confrontés à des interruptions et à une dégradation de performance à cause de leurs efforts pour accélérer la correction des bogues critiques présents dans de nombreux processeurs. Les bogues en question sont causés par des problèmes de conception de microprocesseurs qui pourraient potentiellement permettre à un code malveillant de lire le contenu de la mémoire du noyau d'un ordinateur. Ces problèmes affectent notamment les puces Intel qui dominent le marché des serveurs cloud, mais également des puces conçues par AMD et ARM, contrairement à ce que l’on pensait au début.
Ce problème a été découvert « tard l’année dernière » par l’équipe Project Zero de Google. Les principaux fournisseurs, qui ont été informés des vulnérabilités, ont eu également le temps de préparer des correctifs pour leurs produits et commencer à les déployer, mais il reste encore du travail à faire. Avec la divulgation de ces failles hier, elles n’ont plus donc le temps d’aller à leur rythme, mais doivent accélérer le processus pour éviter que des hackers commencent à exploiter les failles. Dans différents communiqués, AWS, Microsoft et Google ont informé leurs clients de ce qui a déjà été fait à leur niveau et d’éventuelles précautions à prendre.
Google
Dans un communiqué, Google affirme que depuis la découverte de la vulnérabilité affectant les microprocesseurs modernes, ses équipes d'ingénierie s'efforcent de protéger les clients contre la vulnérabilité de l'ensemble de la gamme de produits Google, y compris Google Cloud Platform (GCP), les applications G Suite et les produits Google Chrome et Chrome OS. Google dit également avoir collaboré avec les fabricants de matériel et de logiciels de l'industrie pour protéger leurs utilisateurs et le Web en général.
En ce qui concerne ses produits en particulier, Google affirme que « toutes les applications G Suite ont déjà été mises à jour pour bloquer tous les vecteurs d'attaque connus. Les clients et les utilisateurs de G Suite n'ont besoin d'aucune action pour se protéger de cette vulnérabilité. GCP a également déjà été mis à jour pour éviter toutes les vulnérabilités connues », mais « les clients qui utilisent leurs propres systèmes d'exploitation avec les services GCP pourraient avoir besoin d'appliquer des mises à jour supplémentaires à leurs images ». Enfin, Google fait savoir que les clients qui utilisent le navigateur Chrome, y compris G Suite ou GCP, peuvent tirer parti de la fonctionnalité d'isolation de sites pour renforcer leur sécurité sur les plateformes de bureau, y compris Chrome OS.
Amazon
Concernant la vulnérabilité, AWS indique qu'elle existe depuis plus de 20 ans dans les architectures de processeurs modernes telles que Intel, AMD et ARM sur des serveurs, desktops et périphériques mobiles ; avant d'ajouter que « tout sauf un petit pourcentage à un chiffre des instances de la flotte Amazon EC2 est déjà protégé ». Pour ce qui est des instances restantes, leur protection sera terminée « dans les prochaines heures » d'après Amazon. Le géant du cloud précise toutefois que si les mises à jour effectuées par AWS protègent l'infrastructure sous-jacente, afin d'être entièrement protégées contre ces problèmes, les clients doivent également patcher les systèmes d'exploitation de leur instance. Au passage, des mises à jour pour Amazon Linux sont disponibles et des instructions pour la mise à jour des instances existantes sont fournies.
Microsoft
Alors que Microsoft publiait son communiqué hier, la firme de Redmond a tenu à préciser qu'elle n'a reçu aucune information indiquant que ces vulnérabilités ont été utilisées pour attaquer les clients Azure. Et d'ajouter que « la majorité de l'infrastructure Azure a déjà été mise à jour pour corriger cette vulnérabilité. Certains aspects d'Azure sont toujours en cours de mise à jour et nécessitent un redémarrage des machines virtuelles des clients pour que la mise à jour de sécurité soit appliquée », explique Microsoft.
Beaucoup des clients Azure ont reçu une notification au cours des dernières semaines à propos d'une maintenance planifiée sur Azure et ont déjà redémarré leurs machines virtuelles pour appliquer le correctif. Pour ceux-ci, aucune autre action n'est requise. Avec la divulgation publique de la faille de sécurité mercredi, Microsoft a accéléré son calendrier de maintenance planifiée et a déjà commencé à redémarrer automatiquement les machines virtuelles restantes, comme l'entreprise l'a annoncé hier.
La majorité des clients Azure ne devraient pas voir d'impact notable sur les performances avec cette mise à jour. Seul « un petit groupe » de clients peut avoir un impact sur les performances de mise en réseau, mais cela peut être résolu en activant Azure Accelerated Networking (Windows, Linux), qui est une fonctionnalité gratuite disponible pour tous les clients Azure. Microsoft précise aussi que cette mise à jour de l'infrastructure Azure corrige la vulnérabilité révélée au niveau de l'hyperviseur et ne nécessite pas de mise à jour de vos images de machine virtuelle Windows ou Linux.
En ce qui concerne Windows, Microsoft a également réagi rapidement avec une mise à jour pour toutes les versions de Windows. Ce qu'il est important de savoir, cependant, c'est que seul Windows 10 reçoit automatiquement la mise à jour aujourd'hui, tandis que Windows 7 et Windows 8.1 se verront proposer la mise à jour avec le Patch Tuesday, la semaine prochaine. Les utilisateurs peuvent aussi l'installer manuellement via Microsoft Update Catalog.
DigitalOcean
DigitalOcean, un autre fournisseur cloud travaille également pour la protection de ses clients. « Depuis que nous avons appris ce problème, nous avons activement analysé et suivi l'activité du noyau Linux et notre équipe de développement a travaillé avec diligence pour obtenir autant d'informations que possible d'Intel. Malheureusement, l'embargo strict imposé par Intel a considérablement limité notre capacité à établir une compréhension globale de l'impact potentiel. »
« Sur la base de nos investigations et des informations que nous avons reçues jusqu'à présent, nous pensons qu'il peut être nécessaire de redémarrer les Droplets des clients affectés. Si les redémarrages s'avèrent être la bonne marche à suivre pour les utilisateurs de DigitalOcean, nous planifierons la maintenance urgente et aviserons les clients touchés. Nous continuons à surveiller cette situation et travaillons avec Intel pour obtenir plus de détails. »
Linux
La bonne nouvelle pour les linuxiens est que les développeurs de Linux ont déjà corrigé le noyau pour y faire face. Mais il y a aussi une mauvaise nouvelle ; c'est que le correctif va entraîner une baisse de performance d'au moins 5 %, et les applications peuvent voir leurs performances être beaucoup plus impactées. C'est le cas par exemple de PostgreSQL, comme cela est expliqué dans un message dans sa liste de diffusion.
« Les versions à venir du noyau Linux (et apparemment aussi de Windows et autres) incluront une nouvelle fonctionnalité qui a apparemment été implémentée avec hâte pour contourner un bogue matériel Intel. Le correctif va être fusionné dans la prochaine version du noyau Linux et est en train d'être intégré dans les anciennes versions. Intégrer une nouvelle entité complexe et envahissante dans une ancienne version indique que cela concerne un problème important », explique Andres Freund de l'équipe de développement de PostegreSQL. Avant d'annoncer que « le correctif entraînera malheureusement des régressions de performances » pour la base de données populaire. En ce qui concerne l'impact exact, dans certains cas, PostgreSQL pourrait connaitre un ralentissement d'au moins 17 % d'après des tests d'Andres Freund.
Sources : Google, AWS, Microsoft, Liste de diffusion PostgreSQL, DigitalOcean
Et vous ?
Qu'en pensez-vous ?
Les grands éditeurs et fournisseurs de cloud s'activent pour patcher leurs produits
Contre les vulnérabilités dans les puces d'Intel, AMD et ARM
Les grands éditeurs et fournisseurs de cloud s'activent pour patcher leurs produits
Contre les vulnérabilités dans les puces d'Intel, AMD et ARM
Le , par Michael Guilloux
Une erreur dans cette actualité ? Signalez-nous-la !