Mozilla vient de sortir une mise à jour pour Firefox, son navigateur web. But de cette version ? Mieux protéger les internautes face à la menace que constituent les vulnérabilités de type Meltdown et Spectre.

Avec Meltdown et Spectre, le secteur informatique est désormais face à un nouveau type de risque affectant les ressources matérielles des ordinateurs. On le voit avec la vulnérabilité Meltdown, qui touche les processeurs Intel : dans des circonstances spécifiques, cette faiblesse peut aboutir à la récupération de données sensibles qui sont chargées en mémoire par anticipation.

Face à ce danger, l’industrie s’est mise en branle depuis l’été dernier, date à laquelle a été découverte cette nouvelle classe de menace, pour essayer de trouver la parade sans affoler le public ni donner des idées aux personnes malveillantes. Des correctifs sont en cours de conception, mais leurs effets et leur efficacité sont débattus. Google pense avoir mis au point une méthode qui n’affecte pas les performances.

intel-cpu-processeur-i7

CC Michael Saechang

Mais il n’y a pas qu’au niveau des processeurs que des actions peuvent être prises pour limiter au maximum l’exposition à Meltdown et Spectre ainsi qu’à toutes les autres faiblesses de même nature. Au niveau du web, les navigateurs peuvent aussi participer à l’effort général. La preuve : Mozilla vient de publier une mise à jour de Firefox (57.0.4) qui porte justement sur ces attaques.

Rien d’étonnant. « Ce qui permet à ces attaques de fonctionner, c’est que diverses ressources matérielles (et notamment des mémoires cache) sont partagées entre des logiciels privilégiés (noyau du système d’exploitation, navigateur web…) et non privilégiés (simple application, code JavaScript d’une page web…) », explique David Monniaux, directeur de recherche au CNRS, sur son site personnel.

L’expert en informatique et mathématiques ajoute qu’avec Spectre et Meltdown, « il est possible de faire exécuter à un logiciel disposant d’accès privilégié aux données des instructions qu’il ne devrait pas vraiment exécuter ». Or, dit-t-il, ces faiblesses sont difficiles à éviter, vu « la complexité des machines actuelles, due à la recherche de hautes performance, avec la présence de nombreuses ressources partagées ».

Mozilla sort un correctif pour Firefox

C’est pour cette raison que Mozilla intervient, même si le problème concerne avant tout Intel et ses processeurs.

Sur le blog de la fondation, Luke Wagner, qui officie en tant qu’ingénieur logiciel au niveau de JavaScript et de WebAssembly dans le navigateur Firefox, explique que des « tests internes confirment qu’il est possible d’utiliser des techniques similaires à partir de contenus web pour lire des informations privées entre différentes origines ». Et que des actions doivent donc être prises.

Pour l’instant, Mozilla le reconnaît : la mise à jour 57.0.4 est une rustine d’urgence. « l’ampleur de cette classe d’attaques est encore étudiée et nous travaillons avec des chercheurs en sécurité et d’autres fournisseurs de navigateurs pour bien comprendre la menace et les correctifs », écrit Luke Wagner. Pour l’instant, il s’agit de désactiver des composants à risque.

firefox-quantum

« Comme cette nouvelle classe d’attaques implique de mesurer des intervalles de temps précis, en tant qu’atténuation partielle, à court terme, nous désactivons ou réduisons la précision de plusieurs sources temporelles dans Firefox », ajoute-t-il. Deux éléments sont concernés : le premier est ralenti de 20 micro-secondes et le second est purement et simplement débranché.

« À plus long terme, nous avons commencé à expérimenter des techniques pour éliminer la fuite d’information au plus près de la source, au lieu de simplement cacher la fuite en désactivant les minuteries. Ce projet nécessite du temps pour comprendre, implémenter et tester, mais pourrait nous permettre d’envisager de réactiver [le second composant] et les autres minuteries de haute précision car ces fonctionnalités fournissent des capacités importantes à la plate-forme web », conclut Mozilla.

La mise à jour peut être récupérée depuis le navigateur web directement ou en passant par le site officiel de Mozilla.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !