Cette semaine, Spectre et Meltdown ont fait la une des médias. Mais pas de panique. Voici quelques mesures pratiques à la portée de tout un chacun pour sécuriser ses mots de passe et ses données sensibles.
Quel est le problème ?
D'abord, un point rapide sur les failles. En termes simples, les données sensibles d’un mobile, d’un ordinateur portable ou d’un PC ne devraient pas être exposées quand elles sont dans le processeur principal, le CPU. De plus, les applications courantes ne sont pas censées accéder aux données inscrites dans la mémoire de l'ordinateur, aussi bien celles utilisées par le système d'exploitation que par d'autres applications. Or c’est justement ce que rendent possible les vulnérabilités Spectre et Meltdown. Cela signifie qu'en exploitant ces failles avec des logiciels malveillants un pirate pourrait récupérer des numéros de carte de crédit, des mots de passe et autres données sur un périphérique non corrigé. Les processeurs d’Intel, d’AMD et ARM, qui font tourner la plupart des smartphones et des tablettes sont concernés par ces failles, de même que les principaux systèmes d'exploitation Windows, MacOS et Linux. Il semble que les experts en sécurité et les concepteurs de puces et de logiciels avaient connaissance de ces vulnérabilités depuis des mois, voire des années. Mais ce n'est que le 3 janvier 2018 que ces informations ont été rendues publiques. Cependant, la plupart des fabricants de puces ont livré des correctifs et des mises à jour logicielles pour corriger les failles.
Après cet épisode, la confiance dans les produits Intel sera sérieusement écornée. (Crédit IDG)
Que faire ?
Le meilleur conseil est de s’assurer que le logiciel de son périphérique est à jour. Même si la plupart des mises à jour logicielles sont aujourd’hui automatiques, il est important de revérifier que les appareils utilisent la dernière version disponible du système d'exploitation et que tous les logiciels sont également à jour. C'est un principe de base de la sécurité. Donc, rien de nouveau et de compliqué. C’est équivalent aux mesures de protection que l’on doit prendre pour se protéger des ransomware. Les correctifs pour Windows, MacOS/iOS (Apple a publié une note très pédagogue sur le sujet) et Linux sont tous attendus sous peu, mais Google indique que les appareils Android ayant effectué les dernières mises à jour sont déjà protégés. Une mise à jour pour le navigateur web Chrome est attendue le 23 janvier.
Un antivirus est-il efficace ?
En théorie, un programme antivirus à jour devrait bloquer toute attaque, mais, selon les experts en sécurité, dans la pratique ces attaques sont extrêmement difficiles à détecter. La bonne nouvelle c’est qu'il n'y a pas de malware connu qui exploite ces failles aujourd’hui. Mais il est préférable d’avoir un antivirus, un système d'exploitation et des applications à jour. Enfin, la vigilance est toujours de mise. Il faut éviter de cliquer sur les liens de courriels inconnus ou suspects et de surveiller les téléchargements non désirés sur les sites Web, autre mode de propagation de logiciels malveillants par les pirates.
Quid des données stockées dans le cloud ?
Oui, les données stockées dans le cloud sont vulnérables. Les processeurs qui font tourner les serveurs cloud sont également affectés par ces failles. Cela signifie qu’il faut éviter de stocker des données sensibles dans le cloud. Mieux vaut également prévoir de sauvegarder ses données les plus précieuses sur un disque dur portable ou un autre type de stockage non connecté à un ordinateur, un réseau ou à Internet. Une fois encore, ce n’est qu’une bonne pratique pas toujours facile à mettre en œuvre..