Deux nouvelles menaces à la cybersécurité se manifestent pour vous tirer de votre torpeur hivernale.
Si vous croyiez être en sécurité derrière votre douillet pare-feu et étiez parfaitement assuré que votre fournisseur de services de stockage infonuagique préféré avait effacé tout risque grâce sa robuste infrastructure — peut-être devriez-vous lire ce qui suit.
Deux nouvelles menaces à la cybersécurité — Meltdown et Spectre — se manifestent pour vous tirer de votre torpeur hivernale. Auparavant, un tel duo de failles aurait pu paraître étonnant, mais ce type de piratage devient la norme plutôt que l’exception.
Comme pour toutes les nouvelles de dernière heure concernant la cybersécurité, on constate souvent un « flou artistique », ce qui signifie que vous devez vous montrer vigilant par rapport à vos lectures et dans vos actions. Google a publié un article technique détaillé et Anandtech a fait paraître un texte un peu plus accessible que vous pouvez utiliser comme point de départ.
Meltdown et Spectre sont des failles informatiques qui touchent principalement les processeurs Intel et ARM. Les processeurs AMD sont vulnérables face à Spectre, mais non à Meltdown. Cela signifie que presque tous les ordinateurs, serveurs, téléphones et même les appareils IdO du monde sont à risque.
Ces failles permettent à des programmes malveillants lancés dans une section de l’ordinateur d’avoir accès à des informations traitées dans une autre partie de l’ordinateur. Habituellement, les pirates peuvent s’emparer des informations sur votre ordinateur en obtenant un accès à l’appareil. Pour les services de technologie de l’information et les utilisateurs à domicile, une bonne sécurité des points terminaux est toujours requise. Ce risque pour la sécurité n’est donc pas différent de ceux que nous avons connus au cours des semaines, mois ou années passés. Ces dangers sont quotidiens. Nous devons nous assurer que nos appareils sont à jour, que les correctifs logiciels sont appliqués et qu’un système de sécurité est en place.
Dans le cas de Meltdown et Spectre, si plus d’une organisation utilise le même appareil (c.-à-d. le nuage) pour créer des applications, les failles peuvent être introduites intentionnellement dans le matériel informatique par un pirate qui utilise le service ou indirectement par une autre organisation dont la sécurité n’est pas au point. C’est un exemple des risques liés à une infrastructure partagée et de l’importance de notre responsabilité commune pour la protection de celle-ci. Les organisations les plus à risque comprennent les fournisseurs d’ordinateurs eux-mêmes et les grands fournisseurs de services infonuagiques. L’analyse de l’impact réel est toujours en cours, car les solutions faciles peuvent potentiellement diminuer le rendement de certains des services offerts.
Donc, si la faille peut seulement être utilisée par ceux qui ont un accès direct à l’ordinateur, je ne cours aucun danger? Pas nécessairement. Comme les analystes l’indiquent, la faille Spectre peut être exécutée dans Javascript. Une bonne protection est donc essentielle pour garantir la sécurité de vos systèmes et de vos utilisateurs — y compris un pare-feu DNS contre les liens malveillants.
Rob a acquis plus de 20 ans d’expérience de la rédaction, de la présentation et du blogage à l’intention de l’industrie des technologies. Il aborde des thèmes aussi variés que les outils de développement de logiciels, l’ingénierie inverse de Silicon, la cybersécurité et le DNS. De fait, Rob est un spécialiste du marketing passionné qui s’adresse aux professionnelles et aux professionnels des TI en leur donnant les renseignements et les précisions dont ils ont besoin pour s’acquitter de leurs tâches.
