Deux graves failles de sécurité sur les PC et smartphones : les mesures à prendre

Deux failles informatiques d’importance ont été révélées en ce début d’année. Elles touchent tou-te-s les utilisateur-ice-s possédant un ordinateur ou un smartphone, quel que soit le système d’exploitation. Riseup, fournisseur auto-organisé de moyens de communication sécurisés, liste ici les mesures que chacun-e doit prendre dès à présent.

Comme vous l’avez probablement lu, il y a trois problèmes de sécurité majeurs avec les processeurs modernes. Trois exploitations possibles ont déjà été révélées : l’une d’entre elle permet par exemple d’avoir accès au cœur même du micro-processeur, à travers une simple pub sur un site que vous visitez (sans même que le site soit forcément au courant), et donc à toutes les informations sensibles possibles (comme l’ensemble des mots de passes stockées en mémoire). Ces vulnérabilités peuvent potentiellement permettre à un programme malveillant de voler vos mots de passe, vos données sensibles et vos informations personnelles sur votre ordinateur, même si le programme n’est qu’un simple script JavaScript sur une page web que vous visitez. Ces failles sont très préoccupantes et vous devriez prendre tous les moyens nécessaires pour mettre à jour vos logiciels.

  • La première faille, appelé « Meltdown, » touche presque tous les processeurs Intel et a été corrigé par les dernières mises à jour de la majorité des système d’exploitation.
  • Les deux autres failles, appelé « Spectre, » touchent presque tous les processeurs construit dans les 20 dernières années et pas seulement ceux d’Intel. Cependant, ces dernières sont plus difficile à exploiter. Il n’y a pas de correctif permanent pour Spectre en ce moment, mais si vous mettez à jour vos logiciels, vous rendrez ces attaques plus difficiles à effectuer. [Plus d’informations techniques en français, sur Hardware.fr]

Vous devriez effectuer les deux étapes suivantes pour tous vos appareils :

  1. Mettre à jour votre navigateur Web. Ces correctifs rendent ces nouvelles attaques contre les processeurs beaucoup plus difficile à effectuer.
  2. Mettre a jour votre système d’exploitation. Il y a des mises à jour disponibles pour Windows, MacOS et GNU/Linux qui corrigent la vulnérabilité Metldown pour les processeurs Intel. De plus, les dernières versions de iOS et de Android publiées réduisent la possibilité d’utiliser Spectre.

De meilleurs correctifs continueront d’être publiés dans les semaines et mois à venir afin de mieux protéger votre système d’exploitation et vos logiciels. S’il vous plait, gardez votre système à jour !


Navigateurs web (Firefox, Chrome, Safari, IE/Edge) PC et smartphone

En mettant à jour votre navigateur, vous pouvez rendre la tâche beaucoup plus difficile à une personne voulant voler vos données confidentiels à l’aide d’un script chargé sur une page web que vous consultez.

Les versions 57.0.1 et suivantes de Firefox intègrent des mesures d’atténuations de la faille Spectre [1]. [De nouvelles mesures ont été prises dans la dernière version 57.0.4 [2] ].

Edge a été mis à jour pour inclure des mesures d’atténuations. Lorsque vous allez faire les mises à jour Windows, vous allez obtenir la dernière version de Edge.

Safari sera mis à jour très prochainement, selon Apple. Consultez le App Store pour les dernières mises à jour.

Google Chrome intègrera des mesures d’atténuations dès la version 64 qui sera publiée le 23 janvier prochain. D’ici là, vous pouvez changer votre configuration pour réduire les risques de la faille Spectre en activant « l’isolation des sites » https://support.google.com/chrome/answer/7623121?hl=fr

De plus, veuillez consulter https://riseup.net/fr/security/network-security/better-web-browsing pour plus d’instructions sur les bonnes pratiques de navigation en ligne (ces bonnes pratiques aideront aussi à réduire les risques d’attaques).
[Ou la version adaptée ici :]

[Sur smartphone/iPhone, il faut également mettre à jour son navigateur via le gestionnaire dédié (Google Play, App Store, F-Droid...]

[TOR Browser est actuellement basé sur une version "support à long terme" de Firefox (version 52) où la principale mesure d’atténuation était déjà en place. Une mise à jour de cette version 52 aura lieu le 23 janvier pour inclure les autres patchs de mitigation. Et TOR Browser le sera certainement dans la foulée.]


Windows

Pour Windows 10, vous devez premièrement mettre à jour votre antivirus avant de mettre à jour Windows. En cas contraire, des erreurs pouvant faire en sorte que votre ordinateur arrête de fonctionner peuvent se produire [2].

Pour mettre à jour Windows 10 :

  1. Cliquez sur le bouton « Démarrer » et allez dans « Paramètres » > « Mise à jour & Sécurité » > « Windows Update » et sélectionné « Rechercher les mises à jour ». C’est aussi un bon moment pour activer les mises à jour automatiques.
  2. Cliquez sur le bouton « Démarrer » et allez dans « Paramètres » > « Mise à jour & Sécurité » > « Windows Update » > « Options avancées ». Sous le menu « choisissez comment les mises à jour sont installées » sélectionné « Automatiquement (Recommandé) ».

Si vous utilisez Windows 7 ou 8, des mises à jour sont aussi disponibles.


macOS

Si vous avez déjà la version 10.13.2 de macOS, vous êtes protégé contre Meltdown [3]. Si ce n’est pas le cas, mettez à jour OSX.

  1. Ouvrez l’App Store sur votre Mac et sélectionnez l’onglet « Mises à jour ». Puis cliquez sur le bouton « Mettre à jour » pour télécharger et installer les mises à jour disponibles. C’est aussi un bon moment pour activer les mises à jour automatiques.
  2. Cliquez sur la pomme en haut à gauche et allez dans « Préférences systèmes... » > « App Store » et cocher la case « Recherche des mises à jour automatique »

Apple planifie publier une mise à jour du navigateur Safari qui intègrera des atténuations pour la faille Spectre.


iPhone / iOS

Apple a confirmé que iOS était touché par Spectre et qu’une mise à jour avait été publié pour atténuer les possibilités d’attaques. Si vous avez les versions 11.2 ou plus récente de iOS vous êtes correct. Si ce n’est pas le cas, mettez à jour votre appareil [4].


Smartphone Android

La mauvaise nouvelle est qu’Android est vulnérable et qu’à moins d’avoir un téléphone ayant directement les mises à jour de Google ou utilisant un firmware modifié, il est possible que vous n’ayez pas de mise à jour avant des mois voire que vous n’en ayez jamais. Cependant, le consensus chez les chercheurs en sécurité, en ce moment, est que l’attaque Spectre est assez difficile qu’il y a probablement des façons plus faciles de compromettre un appareil Android. Yeah ?

Il y a une chose que vous pouvez faire pour rendre votre appareil Android plus sécuritaire face à ces attaques contre les processeurs :


Debian/Ubuntu GNU/Linux

Ouvrez le « Centre de logiciel » ou le « Centre de mise à jour » et faites vos mises à jour.

Sinon, vous pouvez ouvrir un terminal et tapez les commandes suivantes :

  sudo apt update
  sudo apt upgrade
  sudo reboot

Fedora GNU/Linux

Ouvrez un terminal et taper les commandes suivantes :

  sudo dnf --refresh update kernel
  sudo reboot

Restez en sécurité, restez fort
Les oiseaux Riseup

Publiez !

Comment publier sur Paris-luttes.info ?

Paris-luttes.info est ouvert à la publication. La proposition d'article se fait à travers l’interface privée du site. Quelques infos rapides pour comprendre comment y accéder et procéder !
Si vous rencontrez le moindre problème, n’hésitez pas à nous le faire savoir
via le mail paris-luttes-infos chez riseup.net

}