Vulnérabilités de canal auxiliaire « Meltdown » et « Spectre » affectant les processeurs Intel, AMD et ARM

Les Technologies de l’information souhaitent informer les responsables informatiques que des avis de vulnérabilités affectant différents processeurs d’ordinateurs et de téléphones intelligents ont été publiés par Intel.

Ces vulnérabilités, nommées « Meltdown » et « Spectre », utilisent un canal auxiliaire pour exploiter des processeurs accédant à l’ensemble des informations se trouvant en mémoire sur l’ordinateur ou sur le téléphone intelligent.  Les informations confidentielles sont donc potentiellement à risque. 

« Meltdown » et « Spectre » affectent les ordinateurs ayant un processeur INTEL ou AMD, quel que soit le système d’exploitation utilisé (Windows, Linux ou MacOS). De plus, les téléphones intelligents ayant un processeur ARM (Samsung, Apple, etc.) sont également touchés.

Pour corriger ces vulnérabilités, les actions ci-dessous doivent être entreprises :

• Déploiement des correctifs Microsoft :
• https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/ADV180002
• https://support.microsoft.com/fr-fr/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in
  • https://support.microsoft.com/fr-fr/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

• Déploiement des correctifs émis par les fabricants des processeurs :
• Se renseigner sur les sites des manufacturiers de processeurs.

Pour plus d’informations, veuillez consulter les liens ci-dessous :

• https://www.securitepublique.gc.ca/cnt/rsrcs/cybr-ctr/2018/al18-001-fr.aspx
• https://spectreattack.com
• https://meltdownattack.com/
• http://www.kb.cert.org/vuls/id/584653
• https://securitytracker.com/id/1040071
• https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
• Références CVE : 
  • « Spectre » :
    • 1519778 - CVE-2017-5753 : speculative execution bounds-check bypass https://nvd.nist.gov/vuln/detail/CVE-2017-5753
    • 1519780 - CVE-2017-5715 : speculative execution branch target injection https://nvd.nist.gov/vuln/detail/CVE-2017-5715
  • « Meltdown » :
    • 1519781 - CVE-2017-5754 : speculative execution permission faults handling https://nvd.nist.gov/vuln/detail/CVE-2017-5754

Veuillez noter que les Technologies de l’information prennent en charge les mises à jour sur les postes gérés.  De plus, un communiqué sera émis à la communauté universitaire afin que les détenteurs de postes non gérés puissent apporter les correctifs nécessaires sur leurs postes.

Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel, à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.