Le 8 janvier, Apple a mis à disposition la version iOS 11.2.2, qui comprend une mise à jour sécurité Apple pour la faille Spectre, l’une des vulnérabilités au niveau du processeur qui a fait les gros titres dernièrement (si vous avez besoin d’un récapitulatif complet concernant les implications de ces bugs au niveau du processeur et de savoir comment ils fonctionnent, prenez un moment pour lire l’article détaillé de Paul Ducklin sur le sujet).
Cette mise à jour Apple iOS traite spécifiquement les vulnérabilités CVE-2017-5753 et CVE-2017-5715, deux vulnérabilités au niveau de la puce mieux connues sous le nom de Spectre. Toutes les vulnérabilités au niveau de la puce, telles que Spectre, à un niveau très élevé, tirent parti des failles au sein du hardware, qui permettent à un cybercriminel de potentiellement lire ou voler des données.
Heureusement, ces failles peuvent être atténuées au niveau du système d’exploitation ou d’un point de vue logiciel, lorsque les éditeurs mettent à disposition des correctifs. Dans le cadre de Spectre, les deux vulnérabilités peuvent être déclenchées via l’exécution de Javascript dans un navigateur web. Ainsi, la mise à jour Apple iOS 11.2.2 apporte des modifications bien spécifiques au niveau de Safari et WebKit, afin d’atténuer les effets potentiels.
Un certain nombre de vulnérabilités au niveau des puces ont été révélées simultanément au début de ce mois. Elles étaient similaires mais toutefois pas complètement identiques. Meltdown (CVE-2017-5754) a été souvent mentionnée avec Spectre. Alors que Meltdown affecte la plupart des processeurs Intel fabriqués depuis 1995, à savoir presque tous les ordinateurs de bureau, ordinateurs portables et serveurs dans monde à l’heure actuelle, Spectre, quant à lui, touche un éventail beaucoup plus large de processeurs. En effet, en plus des processeurs Intel, il vise également AMD et ARM.
La plupart des smartphones dans le monde, y compris les iPhones et les téléphones Samsung, fonctionnent avec des puces ARM. Même si techniquement Spectre rend effectivement nos smartphones vulnérables, heureusement que les vendeurs et autres chercheurs ont trouvé que les failles utilisées par Spectre étaient beaucoup plus difficiles à exploiter que celles utilisées par Meltdown. Ainsi, le développement d’un correctif n’a pas été jugé prioritaire.
Donc, si nous avons obtenu un patch pour Spectre hier, et que ce dernier n’était à priori pas prioritaire, où est donc le correctif pour Meltdown ? Après tout, Meltdown n’est pas traité par cette mise à jour Apple iOS. La raison est qu’une mise à jour de sécurité a déjà été mise à disposition par Apple pour atténuer Meltdown : en effet, le correctif pour Meltdown se trouvait dans la mise à jour de sécurité iOS 11.2 de décembre dernier, mais à l’époque nous ne le savions pas (si vous vérifiez les notes du correctif iOS 11.2, vous verrez que tous les détails sur la mise à jour au niveau du noyau, et la CVE correspondante, ont été ajoutés seulement le 4 janvier).
En fait, la plupart d’entre nous ne connaissait pas l’existence de Meltdown avant janvier. Cependant, selon le rapport officiel de recherche concernant Meltdown, les chercheurs qui ont découvert cette faille ont pu travailler efficacement durant la période de “divulgation responsable” avec les éditeurs pour développer des correctifs pour OSX, Windows et Linux, et ce avant la divulgation publique. Félicitations à toutes les personnes impliquées, et bravo pour cette divulgation coordonnée !
Si vous êtes un utilisateur iOS sur iPhone ou iPad, cette mise à jour Apple iOS 11.2.2 devrait déjà être disponible pour le téléchargement et l’installation. Comme toujours, nous vous recommandons de l’installer le plus tôt possible. J’espère que vous avez déjà installé la mise à jour Apple iOS 11.2 du mois de décembre dernier qui vous permet d’obtenir le correctif pour Meltdown !
Remarque : Êtes-vous un utilisateur de Google Android qui se demande où est passée sa mise à jour ? Google a publié un correctif pour vous le 5 janvier dernier, qui traitait les deux vulnérabilités Spectre et Meltdown !
Billet inspiré de Apple issues Spectre fix with iOS 11.2.2 update, sur Sophos nakedsecurity.