Cet article date d'un moment déjà. On vous invite à consulter nos articles de blogue plus récent par ici afin d'être à l'affut de toutes les innovations en cybersécurité.
Beaucoup d’informations ont circulé ces derniers jours au sujet des vulnérabilités Spectre et Meltdown. Avec tout ce qu’on peut trouver sur le sujet, la tâche de se protéger peut sembler insurmontable.
Si vous n’avez pas eu la chance de lire sur ces failles de sécurité informatique, notre article précédent traite ces deux failles de sécurité en détail.
Première des choses, il faut comprendre qu’il s’agit de failles au niveau du processeur, et cela s’applique à la plupart des processeurs, principalement Intel, mais aussi ARM, AMD, et quelques autres, incluant PowerPC. Pour atténuer le risque, il existe des correctifs logiciels au niveau microcode, hyperviseur, système d’exploitation, et même fureteur.
Dans un monde idéal, d’un point de vue sécurité informatique, il faudrait que tout soit maintenu à jour, incluant les microcodes des postes de travail. Bien entendu, tout mettre à jour représente un travail colossal. De plus, certains correctifs ont des impacts sur la performance, et certains posent même des risques de stabilité. En effet, certains correctifs ont été diffusés à la hâte, notamment de la part d’Intel, ce qui a conduit le manufacturier à ensuite faire marche arrière en demandant de ne pas les appliquer car ils posaient un problème de stabilité.
Il est bon de noter qu’à ce jour, il ne semble pas exister de logiciels malveillants exploitant ces vulnérabilités. Il n’y a pas lieu de paniquer, mais nous ne pouvons pas non plus laisser la porte débarrée indéfiniment.
Nous vous proposons donc un plan d’action pragmatique permettant d’adresser l’essentiel. Votre plan d’action devrait contenir au minimum ces éléments :
1. Niveau hyperviseur
1.1 Infrastructure virtualisée sur VMware
Si votre ferme de serveurs repose sur VMware ESXi 5.5 ou plus récent, la façon la plus simple de se protéger est d’installer les correctifs VMware.
Ces correctifs ESXi contiennent aussi certaines des mises à jour Intel qui permettent de bloquer l’accès entre VM, et présentent aussi aux serveurs des processeurs virtuels contenant les mises à jour matérielles requises pour contrer ces failles. Les systèmes d’exploitation n’y voient que ces CPU virtualisés qui eux n’ont pas ces failles.
Pour plus d’informations sur la mise à jour VMware:
https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
https://www.vmware.com/us/security/advisories/VMSA-2018-0004.html
1.2 Infrastructure virtualisée sur Hyper-V
Pour les fermes virtualisées utilisant Hyper-V, les mises à jour des hôtes sont requises pour contrer la communication entre VM.
De plus, il y a des clefs de registres à modifier au niveau de l’hôte Hyper-V afin d’activer la protection. Voir le lien ci-bas.
Référence :
1.3 Infrastructure sur Azure
Si vos serveurs sont sur Azure, ce cas de figure est probablement le plus simple à régler. Une fois que l’hyperviseur est à jour, il n’est pas nécessaire de faire quoi que ce soit d’autre sur vos serveurs.
Pour consulter la dernière mise à jour de Microsoft :
https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/
Voici un extrait :
« This Azure infrastructure update addresses the disclosed vulnerability at the hypervisor level and does not require an update to your Windows or Linux VM images »
1.4 Infrastructure sur AWS
Si vos serveurs sont sur Amazon Web services (AWS), les correctifs au niveau hyperviseur sont déjà appliqués, ce qui isole correctement les instances de leurs voisins.
Si vous utilisez toujours la virtualisation PV (Para Virtual), il est recommandé de migrer vers une virtualisation HVM (Hardware Virtual Machine) pour plus de sécurité.
Pour consulter la dernière mise à jour d’Amazon :
https://aws.amazon.com/fr/security/security-bulletins/AWS-2018-013/
2. Niveau système d’exploitation
Pour la plupart des systèmes d’exploitation récents, il existe déjà des correctifs de disponibles.
Si votre infrastructure est virtualisée ou en cloud, les avis diffèrent quant à la nécessité de mettre à jour les systèmes d’exploitation.
Des correctifs sont requis si vous jugez nécessaire d’isoler la mémoire de chacun des processus. Par exemple, si vous utilisez un serveur de terminal, nous recommandons d’appliquer les correctifs de sorte à ce que les sessions utilisateur soient isolées l’une de l’autre.
De plus, si vous exécutez des applications non-sécurisées (untrusted applications) conjointement avec d’autres applications traitant des données confidentielles sur la même VM, vous devriez également installer les correctifs.
Il faut toutefois savoir que ces correctifs peuvent entrainer une baisse de performance, qui varie selon la génération de processeurs.
2.1 Serveurs Windows
Les derniers correctifs de sécurité Windows de janvier permettent de se protéger. Toutefois, plusieurs autres facteurs doivent être considérés afin de permettre aux correctifs Microsoft de s’appliquer correctement :
- Il faut que l’antivirus soit préalablement à jour et supporté. Si l’antivirus n’est pas à jour, il est possible qu’il bloque l’installation des correctifs logiciels ou génère des « Blue Screen ».
- Des mises à niveau du microcode matériel peuvent être requises si le serveur n’est pas virtualisé.
De plus, certaines mesures additionnelles peuvent être requises, en particulier si le serveur exécute des applications non-sécurisées (untrusted applications) ou sert des utilisateurs (par exemple en mode RDS) (Remote Desktop Services). Voir le lien ci-dessous.
Dans le cas du serveur RDS, il faut aussi s’assurer que les fureteurs soient à jour, car ils constituent une porte d’entrée pour l’exécution de code non-sécurisé.
Références :
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
2.2 Serveurs Linux
Dans le cas d’un serveur linux, la plupart des éditeurs ont des correctifs de disponibles. Il est à noter que d’autres correctifs vont suivre.
Pour consulter le dernier update des éditeurs linux les plus courants :
Red Hat : https://access.redhat.com/security/vulnerabilities/speculativeexecution
SuSE : https://www.suse.com/support/kb/doc/?id=7022512
Ubuntu : https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown
3. Et les postes de travail?
3.1 Windows
Tout comme les serveurs Windows, il faut préalablement que l’antivirus soit mis à jour, et ensuite que les correctifs de sécurité Microsoft de janvier soient appliqués.
Ce qui est particulièrement important toutefois, c’est de s’assurer que les fureteurs soient à jour. Nous croyons que les failles de sécurité seront rapidement exploitées par des sites web malicieux.
Si vous utilisez Internet Explorer ou Edge, les correctifs de sécurité Microsoft devraient vous protéger.
Dans le cas de Chrome, il est recommandé de le mettre à jour et optionnellement activer l’isolation de sites.
Références : https://support.google.com/faqs/answer/7622138#chrome
Dans le cas de Firefox, il est recommandé de le mettre à jour à 57.0.4 et optionnellement activer le « first party isolation ». Si vous désirez l’activer et laisser le contrôle à l’utilisateur, il existe un plugin expérimental.
Références : https://addons.mozilla.org/en-US/firefox/addon/first-party-isolation/
L’activation du first party isolation dans Firefox, ainsi que le site isolation dans Chrome ont un impact significatif sur la performance.
3.2 Mac
Les Mac qui utilisent macOS High Sierra 10.13.2 ou plus récent sont protégés. Cette version corrige aussi Safari en le mettant à jour à 11.0.2.
4. Conclusion
Planifier et maintenir une infrastructure TI sécurisée peut devenir particulièrement complexe compte tenu de l’émergence continuelle de nouvelles failles de sécurité informatique. Si la sécurité de vos données vous inquiète, faites appel à des experts pour assurer la gestion de vos TI.
Vous avez apprécié cet article? N’hésitez pas à le partager.
