Vous en avez probablement entendu parler à la TV, à la radio ou sur Internet, deux failles dont une majeure touche des familles entières de processeurs. Mais les fondeurs ne sont pas tous atteints par ces 2 maux.

Le plus dangereux des deux est Meltdown, car c’est la faille la plus simple à exploiter. Il s’agit d’une faille qui ne touche que les processeurs Intel vendus depuis une dizaine d’années, mais qui n’a toutefois été trouvée qu’en 2017. Elle permet dans certaines conditions de lire les informations enregistrées en mémoire par un programme depuis un autre programme. Un petit programme pourrait donc facilement accéder à vos mots de passe, code de carte bancaire…).

Le second, plus difficile à exploiter se nomme Spectre. Le principe est le même sauf qu’elle permet à un programme d’accéder aux données d’un autre programme, lui laissant de fait l’accès à beaucoup plus d’informations que Meltdown. Celle-ci touche tous les processeurs : Intel, AMD et certains CPU ARM ; ce qui fait qu’elle touche même les tablettes et autres smartphones.

Alors quel danger pour vous ? Et bien les constructeurs ne peuvent pas patcher la faille directement sur le processeur. Ce sont donc par les OS (Linux, Windows, VMWare,…) que la correction doit intervenir. Les patchs sont d’ores et déjà en cours de déploiement.

Tester votre installation Linux

Un simple script shell pour savoir si votre installation Linux est vulnérable contre les 3 CVEs qui ont été rendus publics début 2018.

Vous pouvez télécharger le script sur cette page : https://github.com/speed47/spectre-meltdown-checker

Ou ici : 

Une fois télécharger, décompressez l’archive (clic droit sur le fichier et Extraire ici). Lancer Deepin Terminal et entrez la commande suivante :

Sans options, il inspectera le kernel qui est en cours d’exécution. Vous pouvez également spécifier une image noyau si vous souhaitez inspecter un autre kernel.

Il faudra attendre les correctifs et mises à jour pour combler ces failles.

Descriptif des failles :

CVE-2017-5753 bounds check bypass (Spectre Variant 1)

  • Impact: Kernel & all software
  • Mitigation: recompile software and kernel with a modified compiler that introduces the LFENCE opcode at the proper positions in the resulting code
  • Performance impact of the mitigation: negligible

CVE-2017-5715 branch target injection (Spectre Variant 2)

  • Impact: Kernel
  • Mitigation 1: new opcode via microcode update that should be used by up to date compilers to protect the BTB (by flushing indirect branch predictors)
  • Mitigation 2: introducing “retpoline” into compilers, and recompile software/OS with it
  • Performance impact of the mitigation: high for mitigation 1, medium for mitigation 2, depending on your CPU

CVE-2017-5754 rogue data cache load (Meltdown)

  • Impact: Kernel
  • Mitigation: updated kernel (with PTI/KPTI patches), updating the kernel is enough
  • Performance impact of the mitigation: low to medium

David

Créateur de la distribution linux Pear OS, je suis maintenant développeur Linux pour une entreprise chinoise basé à Pekin. Je suis également traducteur de la distribution linux Deepin en français.

Spectre & Meltdown Checker - Outil de contrôle de vulnérabilité

Spectre & Meltdown Checker - Outil de contrôle de vulnérabilité