L’édito de MISC n°96 : Apocalypse et médiatisation en sécurité informatique

Tout d’abord, et pour reprendre les lignes du dernier édito, dans le cadre du retour aux sources de la ligne éditoriale de MISC, je vais focaliser les thématiques traitées dans les dossiers sur des aspects purement techniques. Bien entendu, certaines seront liées à de nouvelles tendances et comporteront parfois des approches générales du point de vue de la sécurité (conteneurs, blockchain). Tandis que d’autres seront déjà connues, mais avec une approche plus pointue dans les sujets traités (spoil : si tout se passe bien, le prochain dossier sera sur les attaques par canaux auxiliaires avec, au menu, de la crypto, mais aussi des attaques sur les caches – tiens donc !).

Nous sommes à peine quelques mois après l’annonce de Meltdown et Spectre en ce début d’année 2018, et l’on peut déjà rajouter un nouvel épisode à la série des apocalypses en sécurité informatique. XKCD [0] nous a d’ailleurs fait le plaisir de fuiter sa liste des futures CVE qui nous attendent cette année. Pour rappel, la fin du monde, en sécurité, c’est quand il y a eu tellement de progrès technique que nous ne sommes plus capables de corriger une faille sans avoir à changer une partie du système. Notez bien toute l’ironie du propos. Mais il ne faut pas tomber ici dans un relativisme qui mettrait sur un même pied d’égalité Meltdown/Spectre avec les failles qui ont connu un tant soit peu de médiatisation depuis que l’on a mis du marketing dans la boucle du responsible-disclosure.

Entre Heartbleed, Shellshock, une vilaine sqli dans Drupal ou WordPress, des flots d’attaques sur des implémentations de TLS, du RCE dans flash, de l’escape de VM sous Xen, du RCE sur Android, MS17-010 ou encore un mot de passe vide pour devenir root sur OSX : il faut tout de même convenir qu’avec Meltdown/Spectre, on a affaire à des vulnérabilités qui risquent de vivre un peu plus longtemps tant il va être compliqué, et c’est un euphémisme, de mettre à jour l’ensemble de ce qui est impacté (un peu près tout ce qui utilise un CPU : téléphones, routeurs, etc.). Cela va être d’autant plus compliqué du fait qu’il n’existe simplement pas de solution permettant de corriger entièrement le problème pour Spectre sur les systèmes existants, seulement quelques contre-mesures rendant plus difficile l’exploitation de la faille. La règle d’or qui consiste en l’application des mises à jour ne va pas tout résoudre, et nous ne sommes très certainement qu’au début d’une tendance qui va voir naître de plus en plus d’attaques visant le matériel, et donc une difficulté à trouver des remèdes logiciels efficaces. Mais qu’en est-il de l’impact réel de ces failles ? Car tout le monde n’est pas fournisseur de cloud (le prérequis pour exploiter la faille étant de pouvoir exécuter du code), et il est encore un peu tôt pour estimer les dégâts causés par ces vulnérabilités. La surmédiatisation des failles de sécurité entraînant la nécessaire expression des experts, Spectre et Meltdown ont connu un bel épisode les plaçant certainement devant l’invasion de sauterelles dans les évènements apocalyptiques. « Le Mensonge et la Crédulité s’accouplent et engendrent l’Opinion », écrivait Paul Valéry. Pour ceux qui cherchent une réflexion de qualité avec des explications accessibles sur Meltdown/Spectre, je vous conseille chaudement la lecture du billet Colin Percival sur le sujet [1].

Émilien Gaspar / gapz / eg@miscmag.com

[0] https://m.xkcd.com/1957/

[1] http://www.daemonology.net/blog/2018-01-17-some-thoughts-on-spectre-and-meltdown.html


 Retrouvez MISC n°96 :