Protection de vos appareils Windows contre les attaques par canal auxiliaire d’exécution spéculative

S’applique à : Windows 10Windows 10 MobileWindows 8.1

Résumé



Cet article contient des informations et des mises à jour en ce qui concerne une nouvelle classe d’attaques appelées « attaques par canal auxiliaire d’exécution spéculative ». Il fournit également une liste exhaustive de ressources sur les clients et serveurs Windows permettant d’assurer la protection des appareils à domicile, au travail et dans l’ensemble de l’entreprise.

Le 3 janvier 2018, Microsoft a publié un avis et des mises à jour de sécurité en ce qui concerne une nouvelle classe de vulnérabilités matérielles (appelées « Spectre » et « Meltdown ») impliquant les canaux auxiliaires d’exécution spéculative et touchant les processeurs AMD, ARM et Intel à différents degrés. Cette classe de vulnérabilités repose sur une architecture de puces commune qui était conçue à l’origine pour accélérer les ordinateurs. Pour en savoir plus sur ces vulnérabilités, consultez le site Google Project Zero.

Le 21 mai 2018, Google Project Zero (GPZ), Microsoft et Intel ont divulgué deux nouvelles vulnérabilités de puce liées aux problèmes Spectre et Meltdown et appelées « Speculative Store Bypass » (SSB) et « Rogue System Registry Read ». Les risques inhérents à ces vulnérabilités sont faibles pour les clients.

Pour plus d’informations sur ces vulnérabilités, consultez les ressources mentionnées à la section Mises à jour du système d’exploitation Windows de mai 2018, ainsi que les avis de sécurité suivants :

Le 13 juin 2018, une vulnérabilité supplémentaire impliquant l’exécution spéculative par canal auxiliaire, appelée « Lazy FP State Restore », a été annoncée et attribuée à la CVE-2018-3665. Pour plus d’informations sur cette vulnérabilité et sur les actions recommandées, consultez l’avis de sécurité suivant :

Le 14 août 2018, la nouvelle vulnérabilité de canal auxiliaire d’exécution spéculative L1 Terminal Fault (L1TF) a été annoncée et attribuée à plusieurs CVE. La vulnérabilité L1TF touche les processeurs Intel® Core® et Intel® Xeon®. Pour plus d’informations sur L1TF et sur les actions recommandées, consultez l’avis de sécurité suivant :

    Remarque : nous vous conseillons d’installer les dernières mises à jour de Windows Update avant d’installer les mises à jour du microcode.

    Le 14 mai 2019, Intel a publié des informations concernant une nouvelle sous-classe de vulnérabilités de canal auxiliaire d’exécution spéculative appelées « Microarchitectural Data Sampling ». Ces vulnérabilités ont été attribuées aux CVE suivantes :

    Important : ces problèmes concernent d’autres systèmes tels qu’Android, Chrome, iOS et Mac OS. Microsoft conseille à ses clients de rechercher des instructions auprès de leur fournisseur correspondant.

    Microsoft a publié des mises à jour pour contribuer à atténuer ces vulnérabilités. Pour bénéficier de toutes les protections disponibles, des mises à jour du microprogramme (microcode) et des mises à jour logicielles sont requises. Cela peut concerner notamment le microcode des fabricants d’appareils OEM. Dans certains cas, l’installation de ces mises à jour a un impact sur les performances. Microsoft a également pris des mesures pour sécuriser ses services cloud.

    Remarque : Microsoft vous recommande d’installer toutes les dernières mises à jour de Windows Update avant d’installer des mises à jour du microcode.

    Pour plus d’informations sur ces problèmes et sur les actions recommandées, consultez l’avis de sécurité suivant :

    ADV190013 | Instructions de Microsoft pour atténuer les vulnérabilités « Microarchitectural Data Sampling »

    Le 6 août 2019, Intel a publié des détails sur une vulnérabilité de divulgation d’informations dans le noyau Windows. Cette vulnérabilité est une variante de la vulnérabilité de canal auxiliaire d’exécution spéculative nommée « Variante 1 de Spectre » ; elle a été attribuée à la CVE-2019-1125.

    Le 9 juillet 2019, Microsoft a publié une mise à jour de sécurité pour le système d’exploitation Windows afin d’atténuer ce problème. Les clients ayant activé Windows Update et appliqué les mises à jour de sécurité publiées le 9 juillet 2019 sont automatiquement protégés. Cette vulnérabilité ne nécessite pas de mise à jour du microcode du fabricant de l’appareil (OEM).

    Pour plus d’informations sur cette vulnérabilité et sur les mises à jour applicables, consultez la page CVE-2019-1125 | Vulnérabilité de divulgation d’informations dans le noyau Windows dans le guide des mises à jour de sécurité Microsoft.

    Mesures permettant de protéger vos appareils Windows


    Mises à jour du système d’exploitation Windows de juillet 2019


     

    Mises à jour du système d’exploitation Windows de mai 2019


     

    Mises à jour du système d’exploitation Windows de novembre 2018


    Mises à jour du système d’exploitation Windows de septembre 2018


    Mises à jour du système d’exploitation Windows d’août 2018


    Mises à jour du système d’exploitation Windows de juillet 2018


    Nous sommes heureux d’annoncer que Microsoft a publié des protections supplémentaires sur toutes les versions prises en charge du système d’exploitation Windows pour les vulnérabilités via Windows Update :

    • Variante 2 de Spectre pour processeurs AMD
    • Speculative Store Bypass pour processeurs Intel

    Mises à jour du système d’exploitation Windows de juin 2018


    Mises à jour du système d’exploitation Windows de mai 2018


    Mises à jour du système d’exploitation Windows d’avril 2018


    Mises à jour du système d’exploitation Windows de mars 2018


    23 mars, TechNet Security Research & Defense : KVA Shadow: Mitigating Meltdown on Windows (en anglais uniquement)

    14 mars, Security TechCenter : Speculative Execution Side Channel Bounty Program Terms (en anglais uniquement)

    13 mars, blog: March 2018 Windows security update – Expanding our efforts to protect customers (en anglais uniquement)

    1er mars, blog : Update on Spectre and Meltdown security updates for Windows devices (en anglais uniquement)

    Mises à jour du système d’exploitation Windows de février 2018


    Blog : Windows Analytics now helps assess Meltdown and Spectre protections (en anglais uniquement)

    Mises à jour du système d’exploitation Windows de janvier 2018


    Blog : Understanding the Performance Impact of Spectre and Meltdown Mitigations on Windows Systems (en anglais uniquement)

    Ressources et conseils techniques


    Selon le cas, les articles de support suivants peuvent vous aider à identifier et à atténuer les environnements client et serveur concernés par les vulnérabilités Spectre et Meltdown.

    Liens vers les fabricants d’appareils OEM et serveurs proposant des mises à jour assurant une protection contre les vulnérabilités Spectre et Meltdown


    Pour corriger ces vulnérabilités, vous devez mettre à jour votre matériel et vos logiciels. Utilisez les liens ci-dessous pour obtenir les mises à jour appropriées du microprogramme (microcode) auprès du fabricant de votre appareil.

    Forum aux questions