bxl.indymedia.org - 2018 - Deux graves failles de sécurité sur les PC et smartphones : les mesures à prendre

2018 - Deux graves failles de sécurité sur les PC et smartphones : les mesures à prendre

posté le 08/01/18 par riseup Mots-clés luttes numériques / internet

Deux failles informatiques d’importance ont été révélées en ce début d’année. Elles touchent tou-te-s les utilisateur-ice-s possédant un ordinateur ou un smartphone, quel que soit le système d’exploitation. Riseup, fournisseur auto-organisé de moyens de communication sécurisés, liste ici les mesures que chacun-e doit prendre dès à présent :

Comme vous l’avez probablement lu, il y a trois problèmes de sécurité majeurs avec les processeurs modernes. Trois exploitations possibles ont déjà été révélées : l’une d’entre elle permet par exemple d’avoir accès au cœur même du micro-processeur, à travers une simple pub sur un site que vous visitez (sans même que le site soit forcément au courant), et donc à toutes les informations sensibles possibles (comme l’ensemble des mots de passes stockées en mémoire). Ces vulnérabilités peuvent potentiellement permettre à un programme malveillant de voler vos mots de passe, vos données sensibles et vos informations personnelles sur votre ordinateur, même si le programme n’est qu’un simple script JavaScript sur une page web que vous visitez. Ces failles sont très préoccupantes et vous devriez prendre tous les moyens nécessaires pour mettre à jour vos logiciels.

- La première faille, appelé « Meltdown, » touche presque tous les processeurs Intel et a été corrigé par les dernières mises à jour de la majorité des système d’exploitation.
- Les deux autres failles, appelé « Spectre, » touchent presque tous les processeurs construit dans les 20 dernières années et pas seulement ceux d’Intel. Cependant, ces dernières sont plus difficile à exploiter. Il n’y a pas de correctif permanent pour Spectre en ce moment, mais si vous mettez à jour vos logiciels, vous rendrez ces attaques plus difficiles à effectuer. [Plus d’informations techniques en français, sur Hardware.fr]

Vous devriez effectuer les deux étapes suivantes pour tous vos appareils :

- Mettre à jour votre navigateur Web. Ces correctifs rendent ces nouvelles attaques contre les processeurs beaucoup plus difficile à effectuer.

- Mettre a jour votre système d’exploitation. Il y a des mises à jour disponibles pour Windows, MacOS et GNU/Linux qui corrigent la vulnérabilité Metldown pour les processeurs Intel. De plus, les dernières versions de iOS et de Android publiées réduisent la possibilité d’utiliser Spectre.

De meilleurs correctifs continueront d’être publiés dans les semaines et mois à venir afin de mieux protéger votre système d’exploitation et vos logiciels. S’il vous plait, gardez votre système à jour !

▶Navigateurs web : ( Firefox, Chrome, Safari, IE/Edge) PC et smartphone -

[Sur smartphone/iPhone, il faut également mettre à jour son navigateur via le gestionnaire dédié (Google Play, App Store, F-Droid...]

[TOR Browser est actuellement basé sur une version "support à long terme" de Firefox (version 52) où la principale mesure d’atténuation était déjà en place. Une mise à jour de cette version 52 aura lieu le 23 janvier 2018 pour inclure les autres patchs de mitigation. Et TOR Browser le sera certainement dans la foulée.]

▶ Pour Windows 10, vous devez premièrement mettre à jour votre antivirus avant de mettre à jour Windows. En cas contraire, des erreurs pouvant faire en sorte que votre ordinateur arrête de fonctionner peuvent se produire [2].

Pour mettre à jour Windows 10 :

Cliquez sur le bouton « Démarrer » et allez dans « Paramètres » > « Mise à jour & Sécurité » > « Windows Update » et sélectionné « Rechercher les mises à jour ». C’est aussi un bon moment pour activer les mises à jour automatiques.
Cliquez sur le bouton « Démarrer » et allez dans « Paramètres » > « Mise à jour & Sécurité » > « Windows Update » > « Options avancées ». Sous le menu « choisissez comment les mises à jour sont installées » sélectionné « Automatiquement (Recommandé) ».

Si vous utilisez Windows 7 ou 8, des mises à jour sont aussi disponibles.

▶macOS

Si vous avez déjà la version 10.13.2 de macOS, vous êtes protégé contre Meltdown [3]. Si ce n’est pas le cas, mettez à jour OSX.

Ouvrez l’App Store sur votre Mac et sélectionnez l’onglet « Mises à jour ». Puis cliquez sur le bouton « Mettre à jour » pour télécharger et installer les mises à jour disponibles. C’est aussi un bon moment pour activer les mises à jour automatiques.
Cliquez sur la pomme en haut à gauche et allez dans « Préférences systèmes... » > « App Store » et cocher la case « Recherche des mises à jour automatique »

Apple planifie publier une mise à jour du navigateur Safari qui intègrera des atténuations pour la faille Spectre.

▶iPhone / iOS

Apple a confirmé que iOS était touché par Spectre et qu’une mise à jour avait été publié pour atténuer les possibilités d’attaques. Si vous avez les versions 11.2 ou plus récente de iOS vous êtes correct. Si ce n’est pas le cas, mettez à jour votre appareil [4].

▶Smartphone Android

La mauvaise nouvelle est qu’Android est vulnérable et qu’à moins d’avoir un téléphone ayant directement les mises à jour de Google ou utilisant un firmware modifié, il est possible que vous n’ayez pas de mise à jour avant des mois voire que vous n’en ayez jamais.

Cependant, le consensus chez les chercheurs en sécurité, en ce moment, est que l’attaque Spectre est assez difficile qu’il y a probablement des façons plus faciles de compromettre un appareil Android.

Yeah ?

Il y a une chose que vous pouvez faire pour rendre votre appareil Android plus sécuritaire face à ces attaques contre les processeurs :

Activer « l’isolation des sites Web » dans Chrome : https://support.google.com/chrome/answer/7623121?hl=fr
Mettre à jour Chrome après le 23 janvier prochain.
Ou utiliser Firefox for Android.