Meltdown et Spectre, une chance et une épine pour le Cloud

Dans l’affaire des failles de sécurité Meltdown et Spectre, les fournisseurs de Cloud ont été en première ligne. Ils se sont vantés de la rapidité dans l’application des correctifs, mais sur les clients ont été moins ravis.

La première alerte de sécurité de l’année 2018 concerne les processeurs. On croyait que l’intégration de couches de sécurité au sein des puces les mettait à l’abri d’attaques. Et bien non des chercheurs notamment du Project Zero de Google ont découvert 2 failles redoutables nommées Meltdown et Spectre touchant plusieurs constructeurs de processeurs dont Intel, mais aussi AMD et même Qualcomm. Ces défauts de sécurité ne sont pas anodins comme l’a laissé croire la communication d’Intel. Ils touchent l’architecture même des processeurs : Meltdown fait « fondre » la protection entre Kernel (le coeur du système d’exploitation) et applications. Spectre agit en cassant l’isolation entre les applications. La première faille peut être combler via un patch de l’OS (Windows, distribution Linux, MacOS), mais la seconde reste sans contre-mesures.

Automatisation des correctifs et coopération

Les fournisseurs de Cloud ont été particulièrement touchés par ces vulnérabilités. Disposant de centaines de milliers de serveurs, la surface d’attaque est grande. Mais ce qui pourrait être un handicap se révèle être aussi une force selon les différents acteurs Cloud. Microsoft, AWS et Google ont rapidement corrigé leurs serveurs en appliquant les patchs pour les différents OS. Le Cloud tire ainsi bénéfice de l’automatisation des déploiements et de la mutualisation des ressources. Un avantage non négligeable par rapport à des DSI obligés de connaître exactement leur parc serveur et d’enclencher des processus de déploiement des correctifs. Des tâches longues et difficiles.

La coopération a été par ailleurs de mise chez les fournisseurs de Cloud. Linode, Scaleway, Packethost et OVH mécontents de la communication des constructeurs, se sont associés pour partager les informations et travailler ensemble.

Ralentissement des instances et perte de productivité

Derrière cette apparente vitesse de correctifs se cache d’autres éléments moins reluisants. En premier lieu, les phases de tests sont réduites et les correctifs peuvent entraîner des désagréments. Ainsi, le patch proposé par Microsoft sur Windows engendre des ralentissements. Les instances EC2 d’Amazon perdrait dans certains cas 30% des performances. Sans parler d’incompatibilité du correctif avec des antivirus entraînant des écrans bleus de la mort (BSoD).

La correction au pas de charge a également traumatisé beaucoup de responsables informatiques. Un client du Cloud IBM nous a indiqué avoir reçu un SMS pendant ses vacances pour lui dire que la mise à jour de sécurité impose le reboot des serveurs. Après un échange vif avec le fournisseur, car l’upgrade se déroulait en pleine période d’activité, il a été impossible d’aménager la mise à jour. La consigne est globale, répond en boucle le prestataire. Les fournisseurs de Cloud vont certainement payer des pénalités pour ces interruptions de services. Ils sont prêts à sacrifier une partie de leur chiffre d’affaires. Un risque calculé par rapport à un piratage massif aux conséquences plus importantes, y compris financières.

Auteur : Jacques Cheminat

Journaliste pendant 15 ans sur les thématiques, télécoms, réseaux, datacenter, stockage, sécurité, virtualisation, etc..., j'ai choisi d'ouvrir ce blog pour écrire sur tous les sujets IT, les tendances et mes humeurs.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s