Meltdown (vulnérabilité)

Cet article concerne un événement en cours.

Ces informations peuvent manquer de recul, changer à mesure que l’événement progresse ou ne pas prendre en compte des développements récents. Le titre lui-même peut être provisoire. N’hésitez pas à l’améliorer en veillant à citer vos sources.
La dernière modification de cette page a été faite le 4 janvier 2018 à 12:17.

Meltdown est une vulnérabilité matérielle trouvée exclusivement dans les microprocesseurs Intel x86 qui permet à un processus non autorisés l'accès privilégié de la mémoire. La vulnérabilité ne semble pas affecter de microprocesseurs AMD. Il a été émis un code "Common vulnerabilities and Exposures CVE-2017-5754.

Historique

Meltdown a été découvert indépendamment par des chercheurs de Google's Project Zero, Cyberus Technology, et de l' Université de Technologie de Graz. Il a été rendu public en conjonction avec une autre vulnérabilité, Spectre, le 3 janvier 2018^[1].

Impact

Selon les chercheurs, "chaque processeur Intel qui implémente l'exécution Out-of-Order est potentiellement affecté, ce qui est effectivement le cas de tous les processeurs depuis 1995 (sauf Intel Itanium et Intel Atom avant 2013)." ^[2]

Cette vulnérabilité devrait avoir un impact sur les principaux fournisseurs de services cloud tels que Amazon Web Services (AWS) et Google Cloud Platform^[2] ^[3]. Les fournisseurs de cloud permettent aux utilisateurs d'exécuter des programmes sur les mêmes serveurs physiques où des données sensibles peuvent être stockées et s'appuient sur les protections fournies par le CPU pour empêcher l'accès non autorisé aux emplacements de mémoire privilégiés où ces données sont stockées, une fonction que la vulnérabilité Meltdown semble être capable de contourner.

L'un des auteurs du rapport signale que la paravirtualisation (Xen) et les conteneurs comme Docker, LXC et OpenVZ sont affectés^[2] ^[3]. Ils signalent que l'attaque sur une machine entièrement virtualisée permet à l'espace utilisateur invité de lire à partir de la mémoire du noyau invité, mais pas de l'espace du noyau hôte.

Voir aussi

Bug de la division du Pentium
Pentium F00F bug (en)
Martèlement de mémoire – effet secondaire imprévu dans les mémoires dynamiques à accès aléatoire (DRAM) qui provoque une fuite de charge électrique dans des cellules de mémoire
Spectre (faille de sécurité) – une vulnérabilité affectant Intel, AMD et les processeurs ARM, et elles ne sont pas atténuées par KPTI

Notes et références

↑ Publication de Google Project Zero (en), 03/01/2018
↑ ^{a b et c} meltdownattack.com - site officiel de la vulnérabilité (en)
↑ ^{a et b} Meltdown (en), article publié par Moritz Lipp, Michael Schwarz, Daniel Gruss, Thomas Prescher, Werner Haas, Stefan Mangard, Paul Kocher, Daniel Genkin, Yuval Yarom, Mike Hamburg

[googleprojectzero-1] Publication de Google Project Zero (en), 03/01/2018

[meltdownattack.com-2] {a b et c} meltdownattack.com - site officiel de la vulnérabilité (en)

[meltdownattack_paper-3] {a et b} Meltdown (en), article publié par Moritz Lipp, Michael Schwarz, Daniel Gruss, Thomas Prescher, Werner Haas, Stefan Mangard, Paul Kocher, Daniel Genkin, Yuval Yarom, Mike Hamburg

[1]

[2]

[3]

v · m Hacking dans les années 2010
Incidents	Opération Titstorm (en) (2010) Opération Shady RAT (2006-2011) Operation Payback (2010) Piratage de DigiNotar (2011) Operation Tunisia (2011) Piratage du PlayStation Network (2011) Operation AntiSec (en) (2011-12) United States v. Swartz (en) (2010) Fuites de Stratfor par Wikileaks (en) (2012-13) Piratage LinkedIn (2012) Cyberattaque contre la Corée du Sud (2013) Piratage Snapchat (2014) Opération Tovar (en) (2014) Fuite des photos de personnalités d'août 2014 Cyberattaque contre JPMorgan Chase (2014) Piratage de Sony Pictures Entertainment (2014) Cyberattaque contre TV5 Monde (2015) Violation de données de l'OPM (2015) Cyber-braquage de la banque centrale du Bangladesh (2016) Cyberattaque WannaCry (2017) Cyberattaque Adylkuzz (2017) Cyberattaque NotPetya (2017)
Groupes	AnonGhost Anonymous (événements associés) Armée électronique syrienne Bureau 121 Dark Basin Derp Equation Group GNAA (simple) Goatse Security Hacking Team LulzRaft LulzSec NullCrew (en) OurMine RedHack TeaMp0isoN (en) Tailored Access Operations UGNazi Unité 61398 The Shadow Brokers
Hackers individuels	Donncha O'Cearbhaill Jeremy Hammond George Hotz Guccifer « Sabu » Hector Monsegur (en) Topiary (en) The Jester weev Jan Krissler (Starbug)
Vulnérabilités découvertes	Heartbleed (2014) Shellshock (2014) POODLE (2014) JASBUG (en) (2015) Stagefright (2015) DROWN (2016) Badlock (en) (2016) Dirty COW (2016) EternalBlue (2017) Meltdown (2018) Spectre (2018) ZombieLoad (2019) Kr00k (2019)
Logiciels malveillants	Babar Careto / The Mask (en) CryptoLocker Dexter Duqu FinFisher Flame Jigsaw Gameover ZeuS (en) Mahdi Metulji botnet (en) NSA ANT catalog (en) R2D2 (trojan) Regin Shamoon (en) Stars virus Stuxnet TeslaCrypt Petya Triton VPNFilter Wirelurker