Alerte – Instructions concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative

Cette alerte fournit des instructions concernant les vulnérabilités de microcode de processeur relayées dans la presse depuis le mercredi 3 janvier 2018. Pour bénéficier de toutes les protections disponibles, les clients doivent installer des mises à jour disponibles auprès des fournisseurs de matériel et de logiciels.

Microsoft a connaissance d’une nouvelle classe révélée publiquement de vulnérabilités appelées « attaques par canal auxiliaire d’exécution spéculative » qui concernent de nombreux processeurs et systèmes d’exploitation modernes, notamment Intel, AMD et ARM. Remarque : ce problème concerne d’autres systèmes tels qu’Android, Chrome, iOS et Mac OS. Nous conseillons dès lors à nos clients de rechercher des instructions auprès du fournisseur correspondant.

Microsoft a publié plusieurs mises à jour pour contribuer à atténuer ces vulnérabilités. Nous avons également pris des mesures pour sécuriser nos services cloud. Voir ci-après pour plus d’informations.

À l’heure actuelle, Microsoft n’a reçu aucune information faisant état d’une utilisation de ces vulnérabilités dans le but d’attaquer des clients. Microsoft continue de collaborer étroitement avec des partenaires du secteur, notamment des fabricants de puces, des fabricants de matériel OEM et des fournisseurs d’application, afin de protéger ses clients. Pour bénéficier de toutes les protections disponibles, des mises à jour du matériel/microprogramme et des mises à jour logicielles sont requises. Cela concerne notamment le microcode des fabricants d’appareils OEM et, dans certains cas, des mises à jour de l’antivirus.

Cet avis concerne les vulnérabilités suivantes :

  • CVE-2017-5715 (injection cible de branche)
  • CVE-2017-5753 (contournement du contrôle de limites)
  • CVE-2017-5754 (chargement du cache de données non autorisé)

Actions recommandées – Particuliers

Si vous êtes un particulier, la meilleure protection est de maintenir vos ordinateurs à jour. Pour cela, utilisez la fonctionnalité de mise à jour automatique. Pour savoir comment activer les mises à jour automatiques, cliquez ici. Outre les mises à jour de sécurité Windows de janvier 2018, vous devrez peut-être installer des mises à jour du microprogramme disponibles auprès du fabricant de votre appareil pour bénéficier d’une protection renforcée. Contactez le fabricant de votre appareil pour obtenir les mises à jour appropriées.

Si les mises à jour automatiques sont activées, les mises à jour de sécurité Windows de janvier 2018 seront proposées aux appareils qui utilisent un antivirus pris en charge. Ces mises à jour peuvent être installées dans n’importe quel ordre.

  1. Si vous avez activé et configuré la mise à jour automatique de façon à recevoir les mises à jour pour Windows, celles-ci vous sont fournies au moment de leur publication, si votre appareil et vos logiciels sont compatibles. Nous vous recommandons de vérifier que ces mises à jour sont installées. Si la mise à jour automatique n’est pas activée, vérifiez et installez manuellement les mises à jour de sécurité du système d’exploitation Windows de janvier 2018.
  1. Installez la mise à jour applicable du microprogramme fournie par votre fabricant d’appareil OEM.

Actions recommandées – Entreprises

L’avis de sécurité 180002 comporte des sections fournissant des instructions spécifiques destinées aux clients Windows, aux serveurs Windows et aux plateformes Microsoft Cloud. Cet avis contient des instructions supplémentaires, entre autres un forum aux questions et les instructions à suivre pour vérifier que les protections sont activées.

Articles de support associés et ressources supplémentaires

Avis de sécurité 180002 – Instructions concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative : https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/ADV180002

KB 4073119 – Instructions des clients Windows destinées aux professionnels de l’informatique concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative : https://support.microsoft.com/fr-fr/help/4073119

KB 4072698 – Instructions Windows Server concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative : https://support.microsoft.com/fr-fr/help/4072698

KB 4072699 – Informations importantes concernant les mises à jour de sécurité Windows publiées en janvier 2018 (antivirus) : https://support.microsoft.com/fr-fr/help/4072699

KB 4073229 – Protection de votre appareil contre la faille de sécurité récente liée aux puces : https://support.microsoft.com/fr-fr/help/4073229

KB 4073225 – Instructions SQL Server concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative : https://support.microsoft.com/fr-fr/help/4073225

KB 4073235 – Protections Microsoft Cloud contre les vulnérabilités de canal auxiliaire d’exécution spéculative : https://support.microsoft.com/fr-fr/help/4073235

Blog Azure – Protection des clients Azure contre la vulnérabilité liée au processeur : https://azure.microsoft.com/fr-fr/blog/securing-azure-customers-from-cpu-vulnerability/

Guide des mises à jour de sécurité de Microsoft : http://aka.ms/securityupdateguide