Vous connaissiez déjà Spectre et Meltdown, voici aujourd’hui ZombieLoad, une vulnérabilité nouvellement découverte qui comme ses grandes sœurs touche l’exécution spéculative utilisée par les processeurs Intel depuis 2011. Les Mac vendus à partir de cette date sont concernés, mais Apple a déjà comblé l’essentiel de la faille avec la mise à jour macOS 10.14.5. Pour s’en prémunir totalement, cependant, il faut désactiver l’hyper-threading ce qui impose d’aller jouer du Terminal en mode Recovery (pas de panique, on vous explique tout, tout de suite).

l’exécution spéculative, c’est quoi ?

Sans entrer dans les détails, pour accélérer le fonctionnement de ses processeurs, Intel utilise diverses méthodes dites d’exécution spéculative, qui consistent pour le processeur à essayer de « deviner » quelles tâches il va avoir à traiter dans l’immédiat futur, spéculativement. Ceci impose, notamment, l’utilisation de données mises en mémoire tampon – les fill buffers. C’est justement en accédant à celles-ci que ZombieLoad permet, théoriquement, d’accéder aux données sensibles traitées par le Mac.

Toutes les données sont à risques

« Alors que les programmes n’accèdent normalement qu’à leurs propres données, un programme malveillant peut exploiter les mémoires tampons de remplissage(fill buffers) pour mettre la main sur les secrets actuellement traités par d’autres programmes en cours d’exécution. Ces secrets peuvent être des éléments au niveau de l’utilisateur, tels que l’historique du navigateur, le contenu du site Web, les clés d’utilisateur et les mots de passe, ou des secrets au niveau du système, tels que les clés de cryptage de disque. L’attaque ne fonctionne pas uniquement sur des ordinateurs personnels mais peut également être exploitée dans le cloud », précise un livre blanc publié par des chercheurs sur cette faille (pdf).

Cette vulnérabilité est donc très grave, du même niveau de gravité que Spectre et Meltdown, et pose de sérieux risques en matière de sécurité des données. Elle n’a, cependant, pas été exploitée activement, du moins pas d’une manière détectée par Apple. « Bien qu’il n’y ait pas d’exploit connu affectant les utilisateurs au moment d’écrire ces lignes, ceux dont les ordinateurs sont exposés à des risques élevés ou qui exécutent des logiciels non fiables sur leur Mac peuvent éventuellement activer une sécurisation totale pour empêcher les applications nuisibles d’exploiter ces vulnérabilités », précise la Pomme.

Correction partielle ou totale chez Apple

La faille touche bel et bien les Mac, mais Apple a corrigé celle-ci sur Safari avec la mise à jour macOS 10.14.5. Et la Pomme précise que cette correction se fait « sans impact notable sur les performances ».

Apple va sortir des correctifs de sécurité pour ses systèmes plus anciens, mais une liste de machines n’est pour le moment pas mise à jour, « du fait de l’absence de mise à jour du microcode des processeurs par Intel », estime Apple :

  • MacBook (13″, fin 2009)
  • MacBook (13″, Mi 2010)
  • MacBook Air (13″, fin 2010)
  • MacBook Air (11″, fin 2010)
  • MacBook Pro (17″, Mi 2010)
  • MacBook Pro (15″, Mi 2010)
  • MacBook Pro (13″, Mi 2010)
  • iMac (21.5″, fin 2009)
  • iMac (27″, fin 2009)
  • iMac (21.5″, Mi 2010)
  • iMac (27″, Mi 2010)
  • Mac mini (Mi 2010)
  • Mac Pro (fin 2010)

Pour le moment, pour ces machines de 2009 et 2010, pas de correctif.

Outre Safari, qui intègre le correctif, les apps provenant de l’App Store ne sont, d’après Apple pas concernées par la faille. « Notre processus de validation nous assure que ces apps n’ont pas été modifiées », assure Cupertino. Cependant, si vous utilisez des apps qui ne proviennent pas de l’App Store – et c’est fort plausible – il faut pour combler la faille utiliser une méthode plus complexe.

Impact sur les performances

Cette méthode présentera un fort impact potentiel sur les performances, estime encore Apple, qui l’estime pouvant aller jusqu’à une réduction de vitesse de traitement de 40 % !

« La correction complète de cette complète nécessite l’utilisation de l’application Terminal pour activer une instruction de processeur supplémentaire et désactiver la technologie de traitement de l’hyper-threading. Cette fonctionnalité est disponible pour macOS Mojave, High Sierra et Sierra dans les dernières mises à jour de sécurité et peut réduire les performances jusqu’à 40%, avec un impact maximal sur les tâches informatiques intensives à multithreads élevées ».

Correction totale, la méthode

Pour activer cette « correction totale » qui pèsera lourd sur les performances, voici ce qu’il faut faire :

  • mettre à jour le système du Mac
  • redémarrer en mode recovery en maintenant les touches cmd+R appuyées au démarrage jusqu’à apparition de la Pomme
  • dans le menu Utilities, choisissez le Terminal
  • tapez cette commande et validez nvram boot-args="cwae=2"
  • tapez cette commande et validez nvram SMTDisable=%01
  • redémarrez

Il est possible, heureusement, de revenir en arrière et de réactiver l’hyper-theading (et donc de regagner les perfs perdues) simplement en remettant à zéro la mémoire paramétrique (NVRAM).

Enfin, il est possible de vérifier l’état de sécurisation d’un système dans le Menu Pomme > À propos de ce Mac > Rapport Système > Matériel. L’état d’activation de l’hyper-threading » est indiqué.

Le faire, ou pas ?

Il est impossible de répondre à cette question dans l’absolu. Tout dépend de vos exigences : si la sécurité est votre priorité, et que vous utilisez des applications hors de l’app Store, il faut activer la protection totale, et encaisser la baisse des performances.

Si par contre vous n’utilisez que rarement des logiciels hors App Store, et que la priorté pour vous tient aux performances de votre machine, mieux vaut sans doute se contenter du niveau de sécurité apporté par la mitigation partielle d’Apple.

Il ne fait guère de doute que ce nouveau problème majeur affectant les puces Intel (et pas AMD) débouchera sur son lot de procès. Logique que le fondeur rende des comptes.

Arnaud joue du clavier comme d'autres du xylophone, mais le résultat demeure peu musical. Il conduit la rédac à la baguette et essaye d'éviter les fausses notes. Geek avec de la patine, il officie aussi dans la presse généraliste.

AUCUN COMMENTAIRE

À vous la parole !

Fermer
*
*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.