Communiqué de LINAGORA concernant les failles de sécurité Meltdown et Spectre

les_failles_de_securite_meltdown_et_spectre

Bonjour à tous,

Comme vous le savez probablement, deux failles de sécurité critiques des processeurs ont été récemment découvertes et ont été rendues publiques par Google. Ces vulnérabilités, connues respectivement sous les noms de Meltdown et Spectre, regroupent 3 vecteurs d’attaque distincts :

  • CVE-2017-5715 (branch target injection – Spectre)
  • CVE-2017-5753 (bounds check bypass – Spectre)
  • CVE-2017-5754 (rogue data cache load – Meltdown)

Le site de l'ANSII énumère également toutes les annonces et précise en outre les impacts de ces failles : "Les vulnérabilités décrites dans cette alerte peuvent impacter tous les systèmes utilisant un processeur vulnérable et donc de façon indépendante du système d'exploitation. Selon les chercheurs à l'origine de la découverte de ces failles, il est ainsi possible d'accéder à l'intégralité de la mémoire physique sur des systèmes Linux et OSX et à une part importante de la mémoire sur un système Windows". Source : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2018-ALE-001/

Il est par conséquent important, pour la protection des données de chacun, de corriger ces vulnérabilités dans les meilleurs délais. Nous sommes mobilisés et suivons de très près le déploiement des correctifs et la mise en oeuvre de ceux-ci tant pour nos propres matériels et infrastructures que pour nos clients.

Dans le cadre de notre démarche constante de veille proactive, nous souhaitons, par le présent article, vous présenter un état des lieux pour les systèmes d'exploitations et navigateurs que vous êtes susceptible d'utiliser, afin le cas échéant que vous preniez les mesures requises afin de corriger ces vulnérabilités :

Systèmes de type GNU/Linux
Les principales distributions diffusent des mises à jour du noyau Linux (kernel) afin de corriger les failles de sécurité de bas niveau lorsqu'elles sont détectées. L'application de cette mise à jour nécessitera, une fois celle-ci déployée, un redémarrage des machines.
- CentOS / RedHat : Des correctifs pour les vulnérabilités Spectre et Meltdown ont été distribués par Red Hat  https://access.redhat.com/security/vulnerabilities/speculativeexecution et https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-004/
- Debian : Un premier patch a été appliqué, d'autres sont en cours. https://security-tracker.debian.org/tracker/source-package/linux
- Ubuntu : Des correctifs sont prévus pour systèmes 64 bits pour le mardi 9 janvier 2018 https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown

Systèmes Microsoft Windows
Microsoft publie des patch de sécurité pour les systèmes suivants :
- Serveur : Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2016
- Desktop : Windows 7, Windows 8.1, Windows 10

Systèmes Apple
Apple a publié des patchs de limitation des risques ("mitigations") pour la faille Meltdown dans les versions de ses systèmes d'exploitation iOS 11.2, macOS 10.13.2, et tvOS 11.2. WatchOS n'est pas affecté.
Pour le moment, aucun patch n'a été publié pour la vulnérabilité Spectre, mais Apple a annoncé la sortie d'une mise à jour pour son navigateur Safari. https://support.apple.com/en-us/HT208394

Mozilla Firefox
Mozilla de son côté a publié un patch de sécurité pour la dernière version stable de son navigateur afin de prévenir tout attaque exploitant ces failles depuis un script qui serait délivré par un site malveillant : https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/ La mise à jour vers cette dernière version est fortement conseillé.
La version ESR (Extended Support Release) n'a pour l'instant pas reçu de mise à jour.

Google

Navigateur Chrome : une mise à jour sera publié le 23 janvier 2018.  https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html et propose dès à présent un système d'isolation qu'il est possible de mettre en place http://www.chromium.org/Home/chromium-security/site-isolation

Concernant les téléphones Android, un patch de sécurité sera fourni dans le Security Update de Janvier 2018.

OVH
Notre infrastructure reposant sur OVH, nous suivons également les mises en oeuvres et impacts que les correctifs liés à ces failles pourraient avoir : https://www.ovh.com/fr/blog/vulnerabilites-meltdown-spectre-cpu-x86-64-ovh-pleinement-mobilise

Nous vous informerons au cas par cas pour l'application des patchs de sécurité et la planification de l'arrêt des services nécessaires pour le rédémarrage des serveurs.

Bien entendu, nous restons disponibles pour toute information complémentaire que vous pourriez souhaiter.

La Team LINAGORA.

Share: 

Press contact

Service Communication de Linagora
Tél : 01 46 96 63 63
Nous contacter

About LINAGORA

LINAGORA est l’un des éditeurs de Logiciels Libres les plus innovants au monde. En partageant ses logiciels, la mission que s'est donnée LINAGORA est de permettre à tout le monde d'accéder au meilleur du numérique grâce aux Logiciels Libres.

LINAGORA accompagne ses grands clients publics ou privés dans leur stratégie de transformation numérique sur un modèle de plateforme notamment grâce à son logiciel Open PaaS. LINAGORA apporte à ses clients des solutions qui permettent de s’affranchir des géants mondiaux des logiciels et des plateformes propriétaires et ainsi de développer sa souveraineté numérique.

Avec ses logiciels, comme OBM, logiciel de messagerie collaborative, et Linshare, logiciel de partages sécurisés de fichiers, LINAGORA équipe par exemple près de la moitié de l’État français.

LINAGORA est présente en France et dispose de bureaux en Belgique, au Canada, au Vietnam et en Tunisie. LINAGORA vend ses logiciels partout dans le monde mais cible en priorité les pays émergents à forte croissance, notamment en Afrique.

LINAGORA est une entreprise familiale innovante et de croissance de près de 200 personnes dont les fondateurs maîtrisent 100% du capital. Créée en 2000, elle est aujourd'hui l'un des champions français dans le domaine de l'édition de logiciels. A ce titre, elle a reçu de nombreuses récompenses et prix. Elle est membre du pôle de compétitivité Cap Digital et championne du pôle de compétitivité Systematic. Elle fait partie du réseau BPI Excellence et de l'Accélérateur BPI. Enfin elle soutient avec convictions le mouvement de la French Tech. Elle est aussi fière de faire partie de la French Tech que ce soit en France, en Afrique ou au Vietnam.