Passer au contenu

Google dévoile une attaque Spectre qui touche tous les navigateurs Chromium, Chrome y compris

Les chercheurs en sécurité du géant du Web ont créé un nouveau vecteur d’attaque qui montre que le risque de Spectre est réel. L’éditeur invite les développeurs à se familiariser avec les mécanismes de protection.

La faille Spectre revient nous hanter une nouvelle fois. Google vient en effet de publier un code qui utilise un nouveau vecteur d’attaque de cette vulnérabilité qui a été découverte en 2018 et qui s’appuie sur l’exécution prédictive des processeurs. Cette nouvelle technique permet à un pirate de lire le contenu de la mémoire du processeur au travers d’une simple page Web, comme le montre une vidéo de démonstration.

N’importe qui peut tester cette attaque sur son propre navigateur. Il suffit pour cela de se connecter sur le site leaky.page, créé par les chercheurs en sécurité de Google. Il semblerait que seuls les navigateurs Chrome et Chromium soient vulnérables, y compris Edge.
En revanche, l’extraction de données ne fonctionne pas sur Firefox. Interrogé par Wired, Apple estime que cette attaque ne pose pas de « risque immédiat » aux utilisateurs de macOS.

A lire aussi: Pourquoi la faille Spectre continuera longtemps de hanter nos processeurs

Google concède que cette attaque peut être parée au niveau logiciel, mais souligne que ce n’est pas le cas pour toutes les variantes de Spectre, et notamment la variante 4.
Selon le géant du Web, les différentes mesures de protection développées depuis 2018 ne protègent pas réellement contre Spectre, ils évitent simplement que des données sensibles puissent être siphonnées, grâce à des mécanismes de séparation et de blocage (isolation de site, blocage iframe, blocage cross-origin, etc.).

A découvrir aussi en vidéo :

 

Avec son code malveillant, Google veut montrer que le risque lié à Spectre est toujours là et invite les développeurs Web à se familiariser avec ces mesures de protection et à les implémenter au niveau de leurs applications.

Sources : Google, Wired

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN