Meltdown et Spectre : Apple prend des mesures contre les failles

Mickaël Bazoge |

Après la quasi-totalité de l'industrie, Apple sort finalement de son silence en communiquant sur les failles Spectre et Meltdown qui concernent le constructeur au premier chef : la Pomme exploite aussi bien des processeurs Intel que des puces basées sur l'architecture ARM (lire : Meltdown et Spectre : tout savoir sur les failles historiques des processeurs).

Dans une note technique, Apple reconnait que tous les appareils Mac comme iOS sont touchés par ces vulnérabilités. Cependant, il n'y a eu à sa connaissance aucune exploitation de ces deux failles chez ses utilisateurs. « L'exploitation de ces vulnérabilités nécessite un malware qui doit être téléchargé sur le Mac ou l'appareil iOS. Nous recommandons de télécharger des logiciels depuis des sources fiables, comme l'App Store».

Des correctifs pour Meltdown et Spectre

Des garde-fous contre Meltdown ont été mis en place dans macOS 10.13.2, iOS 11.2 et tvOS 11.2. L'Apple Watch n'est pas concernée par Meltdown. Dans les prochains jours, Safari va recevoir un correctif contre Spectre. Pas un mot en revanche sur des systèmes plus anciens. Mise à jour — Apple a indiqué qu'OS X El Capitan et macOS Sierra étaient immunisés. Pour les anciennes versions d'iOS, pas d'annonce pour le moment.

D'après les recherches d'Apple, Meltdown est la faille la plus susceptible d'être exploitée. Le correctif appliqué à iOS, macOS et tvOS semble indiquer que les performances des appareils ne sont pas dégradées, selon des mesures réalisées en décembre avec Geekbench 4, ou durant la navigation web (avec Speedometer, JetStream et ARES-6).

Spectre est plus complexe et « extrêmement difficile à exploiter ». La vulnérabilité peut cependant servir au sein de JavaScript fonctionnant dans un navigateur web. C'est pourquoi Safari va recevoir sous peu un correctif, que ce soit sur macOS et iOS. Selon des benchmarks, les performances du navigateur ne seront pas impactées par cette mise à jour, si ce n'est de 2,5% avec JetStream.

Apple continue de développer et de tester des correctifs, qui seront intégrées dans de futures mises à jour d'iOS, de macOS, de tvOS et de watchOS.

avatar Bigdidou | 

« Pas un mot en revanche sur des systèmes plus anciens. »
C’est hard, quand même.
Je ne peux pas imaginer une absence de mesure au moins pour Sierra.
Ça représenterait une quasi-obligation à passer sous HS, ce que je ne souhaite à personne en l’état.

avatar ovea | 

@Bigdidou

Idem pour ne pas passer à iOS 11,
qui n'est pas encore acceptable tant que tous les iPhone/iPad ne sont pas supportés.

Le retour du son de «tais toi, et joue toi du bug de l'industrie de la conception de bugs»

avatar whocancatchme | 

Vous vous inquiétez de quoi ? Qu'un hackeur vous prenne votre mot de passe FB ? Franchement

avatar occam | 

Pour comparaison avec la note technique d'Apple :

https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

Rarement les différences d'approche face au même problème ont été mises en évidence de manière si tranchante. Logothérapie et séance de wellness ou session de génie logiciel ? Au choix.

avatar Dark Templar | 

Pour la peine je trouve la note d'Apple pas mal du tout en ce qu'elle explique simplement le problème et l'impact des corrections.
Ce qui est beaucoup moins bien comme relevé par d'autres est qu'il n'y a pas un mot pour les anciennes versions du système.

Notez aussi que l'apple watch n'est pas concernée mais qu'ils continuent à développer des correctifs y compris pour watchOS.... :/

avatar occam | 

@Dark Templar

"Ce qui est beaucoup moins bien comme relevé par d'autres est qu'il n'y a pas un mot pour les anciennes versions du système."

La fiche technique mentionnée dans l'article qui suit celui-ci en fait bien état :
https://support.apple.com/en-ca/HT208331
Et là, du coup, on trouve des informations valables et pour la plupart, suffisantes. Quant Apple veut, Apple peut.

Apple a donc bien un problème de communication, mais surtout un problème d'attitude, en cas de crise à l'égard des clients professionnels qui doivent gérer un parc de machines disparates, avec plusieurs générations d'OS, et qui sont responsables de la sécurité des autres utilisateurs.

Le temps perdu à glaner les informations nécessaires est disproportionné par rapport à la base utilisateurs et au nombre de générations d'OS maintenues. Grâce à sa concentration et centralisation, Apple devrait être le premier à réagir et à informer. L'exemple montre que c'est le moins prompt, et au premier abord le moins explicite.
Les clients d'Apple auraient pu et dû être les premiers rassurés ; ils sont les derniers.

avatar Dark Templar | 

Ha oui, effectivement, et tout à fait d'accord.

avatar Nesus | 

Voilà, ça critique Apple parce que ça ne communique pas assez vite à votre goût, en même temps c’est déjà plié pour Apple. Donc il n’y avait vraiment pas urgence à communiquer. Ils auraient été largement dans les temps de l’annonce officielle.
Mais ça personne ne veut le voir.

Quant aux anciens systèmes, Apple à communiqué dessus depuis très longtemps. 2 versions majeures sont supportées sur Mac (la seconde met toujours beaucoup plus de temps, en même temps les utilisateurs qui font ça, font clairement un doigt à Apple en lui expliquant « rien à foutre de la sécurité »), sur iOS dès que ce n’est plus signé, ça n’existe plus.
Continuez d’être très heureux de ne pas faire les mises à jour, sous prétexte fallacieux.

avatar pacou | 

@Nesus

"Continuez d’être très heureux de ne pas faire les mises à jour, sous prétexte fallacieux."

Pourquoi serait on obligé de passer à une version supérieure de l’OS si elle ne plait pas ou que l’on trouve compte tenu des retours qu’elle posent des problèmes non encore stabilisés ?
Pourquoi des responsables d’entreprise devraient perdre plusieurs heures à faire des mises à jour de systèmes qui fonctionnent très bien et changer des habitudes de travail de façon inutile ?
Comment passer à une version supérieure quand le matériel qui ronronne très bien est trop ancien pour le super meilleur incroyable nouveau système qu’Apple a jamais produit?

avatar melen | 

Je partage complètement ce point de vue.

Je rajoute que certaines lignes internet, même en 2018, sont très faibles en débit et compliquent encore davantage l'opération.

avatar Shralldam | 

@pacou

Vous demandez ici à une industrie extrêmement dynamique de ralentir, voire de stagner. C’est inconcevable. Votre intérêt réside peut-être dans la conservation d’une configuration qui vous convient, mais les constructeurs ont besoin d’un renouveau permanent. Si on réfléchit en tant que consommateur, on se dit qu’Apple a plein de cash, tout ça tout ça, et qu’elle peut bien prendre en charge les frais d’un support prolongé (appliquez ce principe à tous les sujets sur lesquels Apple est critiquée). Mais ça ne fonctionne pas comme ça.

avatar pacou | 

@Shralldam
Pourquoi dire que l’on demande de ralentir? Prise en compte du parc machine logiciel ne signifie pas demander à Apple de ralentir.
On change les freins même sur des voitures de 100 ans, ça n’empêche pas les constructeurs d’avancer sur les nouvelles technologies.
Sous Linux, monter en version de noyau ou patcher le noyau ne signifie pas obligatoirement monter en version de l’OS.
L’ingénierie logiciel permet en principe de changer des briques sans changer toutes les fondations. Sauf chez Apple ?
Pas très unixien comme démarche.

avatar Zara2stra (non vérifié) | 

@Nesus

Vous êtes un crétin congénital ou votre mère vous a oublié sur le radiateur alors qu’elle se faisait trousser par le gueux pour deux sesterces ?

"c’est déjà plié pour Apple"
Merci de bien vouloir relire le communiqué, ce n’est pas plié pour Apple.
Pour Spectre, Apple livrera un correctif ("Apple will release an update") pour Safari UNIQUEMENT.
Pour Meltdown, les versions courantes des OS incluent du code limitant les effets de cette faille (mitigation <> fix).

"la seconde met toujours beaucoup plus de temps, en même temps les utilisateurs qui font ça, font clairement un doigt à Apple en lui expliquant « rien à foutre de la sécurité »"
Vous n’avez aucune notion de déploiement et de production.
Avant de déployer une nouvelle version d’OS il est d’usage de dérouler des tests de non-régression sur les applications qui devront être utilisées sur cette nouvelle version d’OS, de réaliser le(s) "package(s)" nécessaire(s) à son déploiement (OS, applications, etc.), et de déployer. Ce qui peut prendre plusieurs mois en fonction du volume de poste concernés, de leur distribution géographique, etc.
Et surtout, tout ceci a un coût.
Il est donc normal que les éditeurs supportent la version en cours et la version précédente, et être 3 mois après sa sortie sur Sierra ce n’est pas faire un doigt à Apple (mais plutôt un doigt à votre intelligence restreinte).

Concernant le "mets beaucoup plus de temps", ce n’est ni acceptable ni normal (pour les raisons exposées ci-devant).

avatar Guibel | 

« Des garde-fous contre Meltdown ont été mis en place dans macOS 10.13.2, iOS 11.2 et tvOS 11.2 »
J’avais cru comprendre que Meltdown ne touchait que les processeurs Intel, pourquoi MAJ iOS et tvOS alors ?

avatar Bigdidou | 

@boobscity

« J’avais cru comprendre que Meltdown ne touchait que les processeurs Intel, pourquoi MAJ iOS et tvOS alors ? »
Vous avez mal cru ;)
Relisez l’excellente synthèse de MacG un peu plus has : les anciens ARM sont aussi touchés.

avatar Guibel | 

@Bigdidou

Justement c’est de cet article que je tirais ma conclusion. D’ailleurs le dernier article en date de macg sur le sujet confirme ce que je pensais :
« Intel n'est pas le seul constructeur de processeurs à être touché par ces vulnérabilités. Si Meltdown ne touche effectivement que les puces du fondeur, Spectre frappe également AMD et ARM. »

avatar Bigdidou | 

@boobscity

Je répondais à ça : « J’avais cru comprendre que Meltdown ne touchait que les processeurs Intel, pourquoi MAJ iOS et tvOS alors ?J’avais cru comprendre que Meltdown ne touchait que les processeurs Intel, pourquoi MAJ iOS et tvOS alors ? »

Et bien parce d’anciennes version d’ARM sont touchées ;)

avatar Guibel | 

@Bigdidou

D’accord :) mais je ne comprends pourquoi préciser à chaque article que la faille Meltdown ne touche que les proco Intel, alors qu’elle affecte également d’anciennes générations de puces ARM visiblement

avatar Bigdidou | 

@boobscity

Moi non plus, ceci dit :D
Tout le monde patauge, je crois.

avatar loupsolitaire97 | 

Avec tout ça le jailbreak est bel et bien enterré :)

avatar poco | 

Tout çà c'est très bien mais j'espère que Apple fera l'effort de remonter à Leopard ou Snow Leopard pour supporter les clients qui tournent sur ces systèmes tout comme Microsoft, qui remonte le patch jusque sur Windows 7.

A un moment où Apple annonce vouloir refaire du matos pour les pros ils devraient savoir que les pros ne changent pas spécialement tout leur parc informatique pour profiter des derniers gadgets en vigueur sur les OS annuels. Surtout quand on paye la machine au prix premium.

Qu'est-ce qu'on apportés les 3 dernières versions d'OS X de fondamental?

avatar poulpe63 | 

Pas énormément de truc (surtout pour des mac moins récents), beaucoup de modifs en interne et quelques problèmes de compatibilités SSD/TRIM (je ne peux pas installer HS sur mon MBA sous Sierra à cause de ça).
De toute façon, on voit bien qu'Apple se concentre surtout sur iOS and co... suffit de voir comment a évolué le Finder depuis 10 ans, et l'explorateur de fichier de Windows sur la même période... (idem pour Safari vs Edge)
Content de mon iPad pro 12.9 2017, en tout cas (mais je préfère surfer sur mon PC/Win10/Chrome/Edge avec des protections (merci Pollock) qui vont bien que sur iPad où je doit m'appuyer sur la bonne volonté d'Apple)

avatar 0MiguelAnge0 | 

Pour Meltdown, ce n’est pas clair du tout: ils indiquent que ARM est aussi touché ce qui contredit les coms d’hier.

Et donc quid des devices sous iOS9 et iOS10?!!

CONNEXION UTILISATEUR