Vulnérabilités du matériel informatique (Hardware)

Les failles de sécurité peuvent aussi bien être présentes dans les logiciels que dans le matériel. Lorsque des logiciels contiennent des failles, les éditeurs mettent en règle générale aussi vite que possible en place des correctifs permettant d'y remédier. L'application rapide des correctifs disponibles est ainsi une des mesures centrales en vue de garantir la sécurité des systèmes. La situation est un peu plus complexe lorsque des failles touchent la conception même du matériel (par exemple un microprocesseur, un routeur ou un objet connecté). L'exemple typique de cette problématique nous a été donné lors de la révélation des failles touchant des microprocesseurs connues sous le nom de Spectre et Meltdown, en janvier 2018.  

Conséquences et dangers

Les failles présentes dans du matériel peuvent différer en terme de gravité et de facilité d'exécution. Dans certains cas, comme par exemple pour Spectre et Meltdown, l'exploitation des failles peut permettre à un attaquant habile d'accéder à des informations privilégiées contenues dans la mémoire.  

Au niveau technique, les scénarios d'attaques suivants sont envisageables:

  • Accès à des zones protégées de la mémoire (p.ex. à travers l'exécution de code Javascript dans le cadre d'un navigateur). Ces zones peuvent par exemple contenir des mots de passe ou des clés cryptographiques.
  • Extension de privilèges à travers l'exécution locale de code.
  • Sortie d'une machine virtuelle (par exemple dans le Cloud) ou d'une "Sandbox", accès à des zones de mémoire appartenant à d'autres instances virtuelles ou même à un hyperviseur.

Lorsque ce type de faille est découverte, des correctifs seront la plupart du temps également publiés, mais ces derniers ne pourront pas résoudre le problème dans son intégralité et chercheront plutôt à minimiser son impact. En effet, lorsque la conception même du matériel est concernée, seul un remplacement de ce composant représentera une solution sur le long terme, par exemple suite au développement d'une nouvelle génération de produit.

Néanmoins, l'installation des correctifs disponibles reste une mesure de sécurité centrale. Leur mise en place, en particulier dans des environnements complexes, n'est cependant pas toujours simple et peut parfois engendrer des problèmes. Certains correctifs peuvent par exemple provoquer une baisse de performance du matériel concerné. Dans d'autres cas, des conflits avec d'autres matériels ou logiciels présents sur le système (antivirus par exemple) peuvent avoir lieu et causer des perturbations.

Recommandations

Pour les utilisateurs finaux

  • Mises à jour régulières. En plus des systèmes d’exploitation, n’oubliez pas de mettre à jour également toutes vos applications et plug-ins (tels que par exemple votre navigateur, Flash, Acrobat Reader, Quicktime). Lorsqu’elle est disponible, il est fortement recommandé d’utiliser la fonction de mise à jour automatique.
  • Lorsque vous n'utilisez plus un logiciel ou un plug-in, il est conseillé de le désinstaller.
  • Veillez à n'utiliser que des produits soutenus par des mises à jour.
  • Certaines mises à jour demandent aussi une mise à jour du BIOS et du firmware.  Informez-vous à ce sujet sur le site web du producteur du système d'exploitation et du matériel.
  • Même lorsque les mises à jour sont faites systématiquement, chaque utilisateur doit veiller à suivre les bonnes pratiques en matière de sécurité: https://www.melani.admin.ch/melani/fr/home/schuetzen.html

Pour les administrateurs et pour le management

  • Assurez-vous d'avoir prévu une gestion du cycle de vie ("Life Cycle Management") de tous les composants de votre réseau, afin qu'ils soient tous soutenus par des mises à jour de leur producteur respectif.
  • La mise en place des correctifs dans un environnement complexe ne va pas sans risques (conflits, problèmes de performance). Des tests préalables peuvent permettre d'anticiper ces difficultés et éviter que la mise en place des correctifs ne génère plus de problèmes qu'elle n'en résout.
  • Pour les mises à jour urgentes, il convient de disposer d'un processus ad hoc permettant l'installation des mises à jour dans un délai de 24h ou 48h.
  • Les vulnérabilités matérielles peuvent également poser la question de la sécurité des systèmes virtuels. Par exemple, une faille touchant un microprocesseur (comme dans le cas de Spectre) pourra sous certaines conditions permettre à un attaquant de se mouvoir sur d'autres machines virtuelles présentes sur le même matériel.  Une ségrégation physique est ainsi recommandée pour les informations les plus sensibles.
  • Il appartient à l'entreprise utilisant une solution cloud ou ayant des données dans un centre de données externe de s'assurer que son fournisseur de service a pris toutes les mesures possibles pour diminuer l'impact des failles. Des garanties quant aux mesures prises dans ce type de situation peuvent être exigées à la conclusion du contrat.
  • Les administrateurs de solutions de virtualisation doivent installer les mises à jour au plus vite et si nécessaire, déplacer les instances virtuelles sur des systèmes physiques. Des stratégies permettant si nécessaire de dissocier les systèmes virtuels, y compris au niveau réseau, devraient être prévues.
  • Plus globalement, la conscience que le matériel même présente ou peut présenter des failles souligne qu'aucun élément d'un système informatique ne doit être considéré comme absolument sûr. Une politique de sécurité devra ainsi être composée de différentes mesures (techniques et organisationnelles) afin de limiter l'impact d'une défaillance d'un des composant.  

Dernière modification 12.01.2018

Début de la page

https://www.melani.admin.ch/content/melani/fr/home/themen/hardwareluecken.html