Vulnérabilités Meltdown/Spectre affectant les CPU x86-64 : OVH pleinement mobilisé

Temps de lecture estimé : 7 minute(s)

[Article mis à jour le mardi 9 janvier à 22 h 00]

Comme l’ensemble des acteurs du secteur IT, OVH a été informé des failles de sécurité consécutives à la découverte par des chercheurs de vulnérabilités hardware sur les processeurs x86-64. Ces vulnérabilités permettent la réalisation à large échelle d’un type d’attaques jusque-là peu répandues (side-channel attacks) en raison de leur complexité de mise en œuvre.

[Mise à jour du 9 janvier à 22 h 00]

Les opérations de sécurisation des infrastructures OVH se poursuivent. Les clients concernés par un redémarrage de leurs services sont avertis par e-mail.

Les deux documents publiés le 7 janvier par OVH pour informer en temps réel du statut de chacun de nos services vis-à-vis des failles de sécurité Meltdown et Spectre et de la disponibilité des correctifs pour chaque système d’exploitation ont été mis à jour très régulièrement au cours des dernières 48 heures, ceci pour vous fournir l’information la plus exhaustive possible.

Nous avons publié ce jour un billet, rédigé par l’un de nos architectes en sécurité, à propos des différentes variantes de Spectre et de Meltdown, pour que vous puissiez en appréhender les détails techniques. Attention, lecture réservée à un public averti !

Enfin, pour ceux qui l’auraient manqué, l’un de nos ingénieurs en sécurité a partagé sur GitHub un outil permettant de tester la vulnérabilité de votre distribution Linux aux 3 variantes de Spectre et Meltdown.

[Mise à jour du 7 janvier à 14 h 00]

Les équipes d’OVH ont été à pied d’œuvre toute la semaine, y compris ce week-end.
Nous avons déjà protégé certains services, via le déploiement des correctifs disponibles à ce jour.
Pour d’autres services la sécurisation est en cours ou à venir.
L’ensemble des opérations associées à ce plan d’action apparaîtra sur le site travaux.ovh.net.

Globalement, la situation est sous contrôle.

Nous avons cependant conscience de la difficulté que les utilisateurs peuvent rencontrer pour apprécier la situation, et savoir ce qu’ils doivent faire de leur côté pour sécuriser leurs services face aux vulnérabilités Metldown et Spectre.

Cette complexité s’explique par la variété des configurations logicielles et matérielles, et par le fait que vos services sont partiellement ou totalement managés par OVH, ce qui implique qu’il n’y a parfois aucune opération à mener côté utilisateur, tandis que votre participation sera nécessaire dans certains cas. Ce à quoi s’ajoute que, lorsque les correctifs sont déjà disponibles, ils peuvent ne protéger qu’un ou deux des 3 vecteurs d’attaque.

Nous avons donc travaillé sur une page qui récapitule, service OVH par service OVH, deux informations importantes :
-ce qu’OVH fait pour sécuriser le service ;
-ce que vous avez à faire pour sécuriser le service (lorsque cela est nécessaire).

Nous allons mettre cette page à jour régulièrement, dès que la situation évolue.
Nous vous tenons ainsi au courant de l’évolution des opérations de sécurisation et, lorsque vous avez des choses à faire, nous vous indiquons de quoi il s’agit et surtout quand il est recommandé de passer à l’action.

Consulter le statut, service par service

Pour aller un peu plus loin dans l’accompagnement que nous pouvons vous fournir, nous avons mis en ligne une seconde page qui explicite ce qu’il y à faire, le cas échéant, en fonction du système d’exploitation de vos serveurs pour appliquer le correctif nécessaire au kernel.

Consulter le statut par système d’exploitation

Outre la mise à jour régulière des informations mises à votre disposition, notre défi est maintenant de rendre cette masse de données la plus digeste possible, pour que chacun d’entre vous, quelle que soit sa situation, puisse aisément trouver ce dont il a besoin.

Merci pour votre compréhension.


Communiqué du 4 janvier 2018

Ces vulnérabilités, rendues publiques dans la nuit du 3 au 4 janvier par le Projet Zéro de Google, sont désormais connues sous les noms de Meltdown et Spectre. Elles regroupent 3 vecteurs d’attaque distincts :

  • CVE-2017-5715 (branch target injection – Spectre)
  • CVE-2017-5753 (bounds check bypass – Spectre)
  • CVE-2017-5754 (rogue data cache load – Meltdown)

À cet instant, OVH n’a reçu aucune information démontrant que les vulnérabilités concernées ont été exploitées en dehors des laboratoires de recherche. Leur exploitation requiert aujourd’hui des procédés techniquement complexes, mais il ne fait pas de doute que des procédés plus simples vont apparaître.

Intel, leader mondial des microprocesseurs, a confirmé l’existence des vulnérabilités sur ses CPU. Avec ses partenaires, et en premier lieu les éditeurs de systèmes d’exploitation, l’entreprise travaille à des solutions pour réduire l’exposition de ses puces à ce type d’attaque, via des correctifs à implémenter à plusieurs niveaux :

  • système d’exploitation et Virtual Machine Manager
  • microcode processeur (via BIOS/UEFI)

Chez OVH, une équipe dédiée d’experts en sécurité est pleinement mobilisée. Nous sommes en contact étroit avec les principaux acteurs concernés par la mise au point de correctifs, c’est-à-dire les principaux éditeurs de systèmes d’exploitation libres (distributions GNU/Linux notamment) ou propriétaires (Microsoft, VMware), ainsi que les fabricants de cartes mères.

La plupart de ces acteurs ont été prévenus des vulnérabilités découvertes il y a plusieurs semaines, et travaillaient déjà sur des mises à jour correctives sous embargo. Des patchs commencent donc à être annoncés et diffusés par les différents éditeurs et communautés. Nos équipes les testent au fur et à mesure, afin de pouvoir les rendre disponibles le plus rapidement possible, après s’être assuré de leur stabilité. Les correctifs apportant des modifications lourdes dans la conception du kernel, les risques d’instabilité ne sont pas négligeables.

Il est encore trop tôt pour identifier avec exactitude l’impact des correctifs disponibles et à venir sur les performances des serveurs. Nos tests internes indiquent que les éventuels impacts sur les performances sont extrêmement variables en fonction de l’environnement de travail (workload) ainsi que des services exécutés. De plus, il est probable que l’efficacité des premières mises à jour disponibles sera améliorée au fil du temps, atténuant progressivement les effets induits par ce changement de design au niveau du noyau.

Étant donné le temps de développement inhabituellement court de ces correctifs, rendant improbables des tests sur l’ensemble des configurations du marché, il y a fort à parier que d’autres mises à jour suivront, corrigeant les bugs apparus. Nous savons d’ores et déjà que les correctifs officiels ne seront disponibles, sauf exception, que pour les versions encore maintenues des kernels et systèmes d’exploitation (en fonction de l’éditeur).

En parallèle, nous étudions dans le détail l’exploitation possible des vulnérabilités révélées, de sorte à mesurer les risques avec davantage de précision et partager à nos clients nos recommandations. Nos équipes sont également attentives aux mesures correctives à adopter pour protéger les éventuelles vulnérabilités des processeurs autres qu’Intel.

Nous sommes également en lien avec l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui a publié une alerte de sécurité au sujet de Meltdown et Spectre.

Enfin, nous étudions en parallèle les différents scénarios permettant le déploiement des correctifs officiels le plus rapidement possible, tout en minimisant l’impact sur la disponibilité de vos services. Un redémarrage de certaines infrastructures est à prévoir, pour permettre la mise à jour des serveurs affectés par les vulnérabilités.

Nous vous tiendrons informés dans les plus brefs délais du plan d’action et du planning des opérations de mise à jour associées. Nous vous fournirons, le moment venu, davantage de détails pour les éventuelles opérations que vous auriez à mener de votre côté pour appliquer les correctifs sur vos machines physiques ou virtuelles.