FR
  • Cyber stabilité
  • Secops
  • Gestion des risques
  • Transformation numérique
  • Souveraineté numérique
  • Cybercriminalité
  • Industrie et OT
  • Fraude
  • Identité numérique
  • Cyber +
    • MELTDOWN et SPECTRE (par le Général d’armée (2S) Watin-Augouard, Fondateur du FIC)
    • Accueil
    • MELTDOWN et SPECTRE (par le Général d’armée (2S) Watin-Augouard, Fondateur du FIC)

    MELTDOWN et SPECTRE (par le Général d’armée (2S) Watin-Augouard, Fondateur du FIC)

    Écrit par
    La Rédaction
    13.01.18
    03
    MIN
    MELTDOWN et SPECTRE (par le Général d’armée (2S) Watin-Augouard, Fondateur du FIC)
    MELTDOWN et SPECTRE (par le Général d’armée (2S) Watin-Augouard, Fondateur du FIC)
    MELTDOWN et SPECTRE (par le Général d’armée (2S) Watin-Augouard, Fondateur du FIC)
    Image IS Crisis Management: An Agile Response to Threats to Critical Healthcare Systems (By Philippe Tourron, CISO, Marseille Public University Hospital System)
    Gestion des risques
    17.07.17 Gestion des risques
    Prochain article
    IS Crisis Management: An Agile Response to Threats to Critical Healthcare Systems (By Philippe Tourron, CISO, Marseille Public University Hospital System)
    Lire
    05
    MIN
    Image Union européenne : le Cyber Solidarity Act formalisé
    Souveraineté numérique
    20.04.23 Souveraineté numérique
    Prochain article
    Union européenne : le Cyber Solidarity Act formalisé
    Lire
    02
    MIN
    Image Cyberattaques : un mois après avoir déclaré l’état d’urgence, où en est le Costa Rica ?
    Cyber stabilité
    04.07.22 Cyber stabilité
    Prochain article
    Cyberattaques : un mois après avoir déclaré l’état d’urgence, où en est le Costa Rica ?
    Lire
    08
    MIN
    Image Destruction durable des données : le secteur public peut mieux faire
    Secops
    08.11.22 Secops
    Prochain article
    Destruction durable des données : le secteur public peut mieux faire
    Lire
    07
    MIN

    Comme s’il fallait donner une raison de plus d’aller au FIC (23 et 24 janvier prochains à Lille), les chercheurs du programme Project Zero de Google, dont la mission est de trouver des failles « zero day »[1], ont révélé, le 3 janvier 2018 avoir découvert deux failles, dénommés Meltdown et Spectre, permettant la captation de données.

    En cause, les processeurs Intel, mais aussi ceux des concurrent AMD et ARM. Les puces en cause équipent de très nombreux appareils utilisés par des particuliers, des administrations ou des entreprises : smartphones, ordinateurs, tablettes, serveurs, etc. Un processeur, composant présent dans de nombreux dispositifs informatiques, est doté d’une mémoire protégée (Meltdown et Spectre prouvent le contraire) ; il permet le traitement en temps réel des données et exécute les instructions que les programmes donnent aux machines. Meltdown permet d’accéder au « noyau », le kernel, partie d’un système d’exploitation qui permet d’exécuter les programmes, qui fait le lien entre le matériel est les logiciels. Spectre, dont il sera plus difficile de se débarrasser du fait de son périmètre (il concerne tous les processeurs), va jusqu’à créer une perméabilité entres machines virtuelles et hyperviseurs.

    Tous les systèmes d’exploitation (OS ou Operating System), intermédiaires entre le processeur et les logiciels, sont concernés. Les deux formes d’attaque qui pourraient en découler permettraient de contourner les protections des données et donc d’y accéder pour les extraire. Parmi ces données, les mots de passe, les identifiants, les données bancaires, etc. Sauf à mettre en place de nouvelles puces, ce qui n’est pas pour demain, seules des solutions de contournement sont envisageables, au risque de perdre en performance.

    Les hébergeurs informatiques du cloud sont directement concernés, et ce d’autant plus que le cloisonnement des machines virtuelles, clé de leur business model, est remis en question. Et plus ces failles seront corrigées, plus l’impact sur les performances, et donc le coût de ce colmatage, risquent d’être lourd. Octave Klaba, passé maître en communication de crise informatique, explique en temps réel sur son compte Twitter comment OVH gère la situation.

    Après Wannacry et NotPetya, Meltdown et Spectre soulignent la grande fragilité de l’espace numérique hyperconnecté. En l’espèce, les puces n’ont pas été sécurisées dès leur conception (by design). La responsabilité des concepteurs est engagée.

    La Rédaction
    13.01.18
    Articles du même auteur :
    1
    24.04.24 Gestion des risques
    Les polices européennes prennent position contre le chiffrement de bout en bout
    Lire
    02
    MIN
    2
    24.04.24 Souveraineté numérique
    Michel Van Den Berghe fait le bilan des deux ans du Campus Cyber
    Lire
    02
    MIN
    3
    24.04.24 Cybercriminalité
    France : triple coup de filet contre des sites cybercriminels
    Lire
    02
    MIN
    4
    24.04.24 Cybercriminalité
    Un rapport détaille les activités récentes des cybercriminels russes de Sandworm
    Lire
    02
    MIN
    Image IS Crisis Management: An Agile Response to Threats to Critical Healthcare Systems (By Philippe Tourron, CISO, Marseille Public University Hospital System)
    Gestion des risques
    17.07.17 Gestion des risques
    Prochain article
    IS Crisis Management: An Agile Response to Threats to Critical Healthcare Systems (By Philippe Tourron, CISO, Marseille Public University Hospital System)
    Lire
    05
    MIN
    Image Union européenne : le Cyber Solidarity Act formalisé
    Souveraineté numérique
    20.04.23 Souveraineté numérique
    Prochain article
    Union européenne : le Cyber Solidarity Act formalisé
    Lire
    02
    MIN
    Image Cyberattaques : un mois après avoir déclaré l’état d’urgence, où en est le Costa Rica ?
    Cyber stabilité
    04.07.22 Cyber stabilité
    Prochain article
    Cyberattaques : un mois après avoir déclaré l’état d’urgence, où en est le Costa Rica ?
    Lire
    08
    MIN
    Image Destruction durable des données : le secteur public peut mieux faire
    Secops
    08.11.22 Secops
    Prochain article
    Destruction durable des données : le secteur public peut mieux faire
    Lire
    07
    MIN
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.