Si vous suivez un peu les actualités autour de la sécurité informatique, vous avez certainement entendu parler de deux nouvelles failles critiques répondant aux doux noms de Spectre et Meltdown. Même si elles sont différentes et ne sont pas exploitables de la même manière, elles restent liées à des problèmes similaires. Comme je vous le disais dans notre vidéo pour les voeux 2018, « je veille au grain » ! C’est la raison pour laquelle je souhaitais vous en dire plus sur ces deux failles et leur (non) impact sur les infrastructures de Julie Desk.
Spectre et Meltdown : de quoi s’agit-il ?
Pour rentrer un peu dans la technique, lorsque ces failles sont exploitées, elles vont permettre à une application d’accéder aux données mises en cache par le processeur, tout en ignorant la vérification des permissions. En d’autres termes, n’importe quelle application peut consulter le cache du processeur, même si ce n’est pas elle qui l’a créé !
La criticité de ces failles vient de l’explosion de la barrière qui permet d’isoler les applications utilisant le même processeur. Et qui dit accès à de la mémoire partagé, dit accès potentiel à des données sensibles, comme des mots de passe !
Cependant, pour exploiter ces failles il faut avoir la possibilité de lancer un programme sur le même processeur que le programme cible.
L’infrastructure Julie Desk est-elle impactée ? Y a t’il un risque pour mes données ?
Ces failles concernent les processeurs Intel, AMD, ARM et Qualcomm et ce, depuis 1995 pour certains ! Autant dire la quasi totalité des machines. Chez Julie Desk, nous avons des serveurs Intel et AMD. De ce point de vue, nous pourrions être impactés si un attaquant arrivait à faire tourner une application sur le même processeur que l’application cible. Mais notre infrastructure tourne sur des machines dédiées, avec un réseau dédié et des stockages dédiés, c’est à dire que seul Julie Desk a accès et utilise ces ressources physiques. Notre service n’est pas hébergé “dans le cloud public”. Ceci réduit déjà considérablement le risque d’exploitation ; un attaquant doit arriver à avoir un accès à une de nos machines avant même de pouvoir procéder à l’attaque.
Nous utilisons de la virtualisation via ESXI de vMware qui est non vulnérable à la faille Meltdown. En ce qui concerne la faille Spectre, des mises à jour sont déjà disponibles et ont été appliquées avant la divulgation publique dans nos process de mises à jour régulières. Donc non, l’infrastructure Julie Desk n’est pas vulnérable.
Profitons de cette actualité pour rentrer un peu dans les détails de la manière dont nous gérons la sécurité chez Julie Desk.
Une infrastructure dédiée en France
Une des premières mesures de sécurité que nous avons mise en place est l’utilisation de ressources (serveurs, stockage et réseau) dédiées. Nous avons choisi d’héberger ces ressources en France à la fois pour :
- le contexte réglementaire applicable quant à la protection des données : nous ne sommes pas soumis à des lois de juridictions étrangères (par exemple le Patriot Act aux Etats-Unis) ;
- la proximité de nos fournisseurs : support en heures ouvrées françaises, en langue français et contact facile ;
- les exigences de nos clients en terme de localisation des données ;
En plus d’améliorer la sécurité, ce système dédié nous permet d’avoir la main sur la configuration fine des machines. Nous pouvons couvrir au plus près nos besoins, sans être impactés par l’utilisation de ressources physiques par d’autres clients de notre hébergeur.
Comment sont gérées les vulnérabilités et les mises à jour ?
En ce qui concerne les deux vulnérabilités présentées dans cet article, des mises à jour sont disponibles et doivent être appliquées afin de corriger les failles détectées. Il est donc important de pouvoir facilement déployer des mises à jour sur la totalité de l’infrastructure. L’infrastructure Julie Desk est assez complexe et répartie sur un nombre important de machines virtuelles. Nous suivons une logique de « 1 machine virtuelle = 1 tâche ». Cette redondance nous garantit un niveau de service, même en cas de panne. Nous avons déployé des outils afin de gérer ce type d’infrastructure et procéder à des mises à jour à chaud sans aucune interruption de service.
Tout cela nous permet d’appliquer les mises à jour des systèmes régulièrement, et réagir en avance de phase des publications de vulnérabilités. Nous limitons ainsi les risques d’exploitation de nouvelles failles de sécurité. Nous avons aussi la possibilité d’appliquer des mises à jour en urgence, dans le cas où des failles critiques seraient publiées.
En plus de ces réactions, nous testons régulièrement nos systèmes de manière préventive, à la recherche d’éventuelles erreurs de configuration : tests automatisés de vulnérabilité, analyse des erreurs de nos applications, test de toutes les modifications avant de procéder à leur publication…
Ces quelques mesures ne sont que des exemples de ce que nous faisons chez Julie Desk pour garantir la sécurité des données, nous allons évidemment bien plus loin.
N’hésitez pas à me contacter directement si vous avez des questions de sécurité spécifiques 🙂
