security : Mon portefeuille est-il affecté par les vulnérabilités Meltdown et Spectre ?


Si vous utilisez un ordinateur moderne (c'est-à-dire doté d'un processeur sorti il ​​y a au moins 10 ans), vous êtes affecté par les vulnérabilités Meltdown et Spectre. En fait, même si vous utilisez un ordinateur plus ancien, vous pourriez toujours être affecté, car il est théorisé que les processeurs Intel datant de 1995 pourraient encore être vulnérables. Cependant, les processeurs aussi anciens n'ont pas été testés. Meltdown affecte principalement les processeurs Intel, tandis que Spectre affecte un large éventail de processeurs, notamment les processeurs Intel, AMD (y compris Ryzen) et ARM (utilisés dans les smartphones).

Fusion

Tous les logiciels de portefeuille sont affectés par la vulnérabilité Meltdown. Meltdown permet à un logiciel malveillant de lire n'importe quel morceau de mémoire dont il connaît l'emplacement. Il est capable de vider tout le contenu de la RAM physique de votre ordinateur. Cela signifie que tout portefeuille en cours d’exécution et dont les clés privées sont chargées en mémoire risque de se voir voler les clés privées. Le cryptage du portefeuille n'aide pas ici car les clés privées devront être déchiffrées en mémoire pour que vous puissiez signer des transactions. Ainsi, tout malware exploitant Meltdown pourra lire ces clés privées.

Atténuations

Meltdown nécessite que le code exploitant la vulnérabilité soit exécuté sur votre machine, de sorte que les explications habituelles sur la diligence raisonnable et la prévention des logiciels malveillants s'appliquent. Cependant, il est possible que l'attaque soit effectuée via un code JavaScript malveillant chargé à partir d'une page Web. Ainsi, comme d’habitude, vous devez éviter de visiter des sites Web suspects et désactiver complètement JavaScript ne serait pas une mauvaise idée.

security : Mon portefeuille est-il affecté par les vulnérabilités Meltdown et Spectre ?

De plus, il existe des mises à niveau du système d’exploitation qui peuvent atténuer le Meltdown et rendre l’exploitation de l’attaque presque inutile. Des modifications du navigateur sont également prévues qui rendront beaucoup plus difficile pour le code JavaScript la récupération des données de la mémoire de votre ordinateur. Vous devriez vous attendre à voir ces correctifs bientôt disponibles pour vos navigateurs et systèmes d’exploitation s’ils ne sont pas déjà disponibles.

Enfin, Meltdown semble affecter uniquement les processeurs Intel, donc si vous possédez un processeur AMD, vous ne devriez pas être affecté par cette vulnérabilité.

Spectre

Spectre a une portée plus limitée que Meltdown et cible des processus spécifiques. Cela nécessite également une connaissance spécifique du logiciel attaqué, ce qui rend l'attaque beaucoup plus difficile à réaliser. Spectre affecte chaque logiciel qui reçoit une entrée de quelque part, de sorte que tous les logiciels de portefeuille seront vulnérables.

De plus, les exemples d’attaques Spectre se sont principalement concentrés sur les machines virtuelles et les navigateurs. Il permet aux applications malveillantes de sortir du sandboxing fourni par les machines virtuelles et les navigateurs. Ceci est particulièrement mauvais pour les portefeuilles Web, car du JavaScript malveillant exécuté dans votre navigateur peut entraîner la fuite de vos clés privées (qui sont conservées dans la mémoire du navigateur) vers l'attaquant.

Atténuations

Spectre affecte une large gamme de processeurs et ne dispose d'aucun correctif logiciel connu. Il affecte tous les processeurs Intel, AMD et certains processeurs ARM modernes. Cela signifie que les ordinateurs et les smartphones sont vulnérables. Certaines variantes peuvent être atténuées mais d’autres variantes peuvent encore être exploitables. Comme d'habitude, vous devez éviter de visiter des sites Web suspects et de télécharger des fichiers suspects sur votre ordinateur. La diligence raisonnable habituelle s’applique.

Étant donné que JavaScript peut exploiter Spectre, des correctifs seront disponibles auprès des fournisseurs de navigateurs pour réduire l'efficacité de l'utilisation de JavaScript pour exploiter Spectre. Il y aura également d'autres mises à jour du système d'exploitation et des logiciels qui réduiront l'efficacité de Spectre. Malheureusement, cela ne peut pas disparaître complètement à moins que le matériel ne soit mis à niveau. Comme d'habitude, vous devez vous assurer que tous vos logiciels sont à jour afin d'éviter l'exploitation de ces vulnérabilités.

Malheureusement, il n'existe aucun moyen connu de corriger les vulnérabilités entièrement via un logiciel. Les propositions actuelles sont des mesures provisoires qui ne font que réduire leur efficacité, mais également au détriment de la performance. Étant donné que ces vulnérabilités sont basées sur le matériel du processeur, la seule façon de les corriger est d'utiliser un nouveau matériel qui n'est pas vulnérable. On ne sait pas si une mise à jour du microcode (c'est-à-dire le micrologiciel du processeur) corrigera les vulnérabilités ou non.

La seule façon de vous assurer que vous n'êtes pas affecté par ces vulnérabilités est d'utiliser du matériel affecté par les vulnérabilités ou d'utiliser du matériel sur lequel même si elles sont affectées, les données ne peuvent pas quitter l'appareil. Il n'y a en réalité que deux options pour cela : utiliser un portefeuille matériel ou utiliser un ordinateur hors ligne uniquement pour votre portefeuille.

Portefeuilles matériels

Les portefeuilles matériels ne présentent pas ces vulnérabilités car ils utilisent des processeurs qui ne sont pas vulnérables. Les processeurs ne disposent pas d'exécution dans le désordre, ce que Meltdown et Spectre exploitent pour lire les données. De plus, même s'ils étaient vulnérables, les logiciels qui s'exécutent sur le portefeuille matériel doivent soit être flashés en tant que nouveau firmware, soit être installés manuellement par l'utilisateur. Cela rend beaucoup plus difficile (fondamentalement impossible à faire sans que l'utilisateur ne s'en aperçoive) l'installation de logiciels malveillants sur l'appareil qui pourraient exploiter ces vulnérabilités. Mais comme indiqué précédemment, ils ne sont pas vulnérables et de tels logiciels seraient donc inutiles.

Les portefeuilles matériels ne transmettent également aucune information secrète (c'est-à-dire les clés privées) à l'ordinateur, de sorte que les clés privées ne sont jamais exposées et ne peuvent donc pas être volées.

Appareils de stockage frigorifiques hors ligne

Les périphériques de stockage à froid hors ligne qui ne sont pas des portefeuilles matériels sont généralement constitués d'ordinateurs à usage général plus anciens et de faible puissance. Ces ordinateurs sont susceptibles d'être vulnérables à Meltdown et Spectre. Mais comme ils sont hors ligne, il est beaucoup plus difficile pour un logiciel malveillant d’accéder à la machine et d’en extraire des données.

Bien qu’il soit plus difficile d’infecter et d’exfiltrer des données à partir d’appareils hors ligne, des logiciels malveillants sophistiqués existent et peuvent le faire. Pour ce faire, ils se cachent sur les clés USB généralement utilisées dans de telles configurations. En se cachant sur une clé USB, le logiciel malveillant peut passer d'un ordinateur en ligne infecté à l'ordinateur hors ligne, infecter l'ordinateur hors ligne et transmettre des données de l'ordinateur hors ligne infecté à l'ordinateur en ligne infecté via la clé USB. Cela permettrait à un attaquant de voler des informations privées (qui peuvent être lues en exploitant Meltdown ou Spectre) à partir d'un périphérique de stockage froid hors ligne.

Le seul moyen sécurisé d’envoyer des données entre un appareil hors ligne et un appareil en ligne serait quelque chose qui vous permettrait d’inspecter les données avant qu’elles n’atteignent la machine en ligne. Malheureusement, c'est assez difficile à faire.

Meltdown et Spectre sont deux vulnérabilités basées sur le matériel et difficiles à corriger via des correctifs logiciels. Ils ont le potentiel de divulguer des clés privées et d’autres informations secrètes d’un ordinateur à un attaquant tout en laissant peu ou pas de trace de ce qui s’est passé. Les vulnérabilités affectent tous les portefeuilles logiciels (y compris les portefeuilles Web) qui fonctionnent sur un ordinateur ou un smartphone. La seule façon de sécuriser vos pièces est de stocker les clés privées sur un appareil qui ne peut pas divulguer les clés privées sans que l'utilisateur ne le remarque. Je vous recommande donc d'utiliser un portefeuille matériel.