La lecture d’un message Skype sur un smartphone pourrait révéler sa position à des pirates. Un correctif sera finalement publié, mais Microsoft ne dit pas exactement quand.
Attention aux messages lus dans Skype, du moins à partir d’un smartphone. Une faille dans l’application mobile peut révéler l’adresse IP d’un utilisateur à une autre personne à son insu. Il suffit pour cela d’ouvrir un message contenant un lien. Apparemment, Microsoft ne considère pas ce problème comme une faille de sécurité prioritaire. Malheureusement, selon un rapport du média indépendant 404 Media, il n’est pas nécessaire de cliquer sur le lien pour que la localisation soit révélée. De plus, l’utilisation d’un VPN, censé masquer l’adresse IP réelle de l’utilisateur, ne le protégera pas non plus contre cette faille. Et pour ne rien arranger, n’importe quelle URL légitime peut faire l’affaire. Comme l’explique Yossi, le chercheur indépendant à l’origine de la découverte, pour exploiter la faille, il suffit juste de modifier un paramètre de lien.
En règle générale, les applications de chat servent de tampon entre les individus sur la plateforme. Le service connaît l’emplacement de chaque personne, mais ne le partage pas tout en facilitant la communication. 404 Media dispose d’autres détails sur le fonctionnement de la vulnérabilité, mais le média indépendant s’abstient pour l’instant de les divulguer, car la faille n’a pas encore été corrigée par Microsoft. On ne sait pas à quelle date le correctif sera disponible (peut-être lors d’une future mise à jour du produit), même si le fournisseur affirme que la version professionnelle de Skype n’est pas affectée. 404 Media dit qu’aucun correctif n’avait été annoncé jusqu’à la demande de commentaire de la part de l’organe de presse.
Harcèlement facilité
Même si la faille n’est pas jugée prioritaire par Microsoft – elle ne répondrait pas à la définition d’une faille de sécurité, comme elle l’a laissé entendre au moment où Yossi a partagé sa découverte – cette question de la protection de la vie privée reste problématique pour la sécurité. Comme l’a fait remarquer un autre chercheur en sécurité contacté par 404 Media, une adresse IP peut servir à du harcèlement physique ou numérique. Tout individu qui s’intéresse à une personne en particulier peut utiliser Skype pour se faciliter la tâche. Dans des situations dangereuses, par exemple un harceleur qui traque sa victime, un agresseur qui traque un partenaire qui l’a quitté ou une personne qui cherche à démasquer un journaliste ou un dissident anonyme, la faille de Skype peut faciliter les tentatives de harcèlement. Enfin, une adresse IP peut servir à confirmer d’autres données relatives à la localisation d’une personne ou affiner une recherche en cours.
Alors, comment se protéger ? La solution la plus simple est de ne pas utiliser Skype et de basculer sur l’une des nombreuses solutions alternatives. Mais si ce n’est pas possible, il faut faire attention aux messages que l’on consulte dans Skype, le temps pour Microsoft de livrer un correctif. Cette solution n’est pas idéale, mais c’est la seule disponible pour le moment.
Un chercheur a découvert une faille dans l’architecture Zen 2 des puces Ryzen et Epyc d’AMD. Exploitable à distance, elle peut aboutir à des vols de données sensibles. Le fournisseur prévoit une mise à jour du firmware, mais pas avant l’automne pour les puces grand public.
Spectre, Meltdown, ces noms de vulnérabilités touchant les puces Intel et AMD résonnent encore dans la tête des spécialistes de la cybersécurité. Il faudra peut-être compter sur une autre faille répondant au nom de « Zenbleed ». Découverte par Tavis Ormandy, chercheur chez Google, elle touche les puces sous architecture Zen 2 d’AMD et permet de voler des mots de passe et des clés de chiffrement.
La brèche affecte les puces grand public sous l’appellation Ryzen et celles dédiées aux serveurs sous la marque Epyc. Dans le détail, la famille Ryzen touchée comprend la série 3000 (classique, pro et threadripper), la série 4000 (Pro, avec Radeon Graphics), la série 5000 avec Radeon Graphics, la série 7020 avec Radeao Graphics. Pour la gamme Epyc, seule la série Rome semble concernée.
Une extraction de données sensibles à distance
Tavis Ormandy souligne dans un message avoir informé AMD du l’existence de la faille Zenbleed à la mi-mai. Ce qui la distingue des autres failles connues, c’est qu’il n’est pas nécessaire d’avoir un accès physique au PC. Elle peut-être activée via un Javascript sur une page Web. Une fois exécutée, un attaquant est capable de voir n’importe quelle opération du processeur, y compris celles qui se déroulent dans des sandbox ou des machines virtuelles.
La faille est identifiée comme CVE-2023-20593 et elle est causée par la mauvaise gestion d’une instruction appelée « vzeroupper » lors de l’exécution spéculative, une technique d’amélioration des performances courante utilisée dans tous les processeurs récents. Le chercheur a mis au point un exploit capable « d’extraire des datas à 30 Ko par cœur, par seconde ». Et d’ajouter « c’est assez rapide pour surveiller les clés de chiffrement et les mots de passe lorsque les utilisateurs se connectent ! »
Des mises à jour du firmware d’ici la fin de l’année
Aujourd’hui, AMD n’a publié qu’une mise à jour du firmaware pour les puces serveurs Epyc de seconde génération, ainsi qu’un bulletin de sécurité et un calendrier de publication des mesures d’atténuation. Par contre pour les puces à destination du grand public, un patch sera livré d’ici la fin de l’année par l’intermédiaire des constructeurs de PC (comme Dell ou HP) et les fabricants de carte-mère. Les puces Threadripper 3000 seront les premières à recevoir la mise à jour du firmware en octobre, puis les puces mobiles Ryzen 4000 en novembre. Pour les autres, il faudra attendre décembre 2023.
Pour ceux qui ne souhaitent pas attendre, Tavis Ormandy donne une solution de contournement en modifiant certains paramètres logiciels. Cependant, il prévient que l’impact sur les performances des CPU n’est pas connu. Il recommande aussi aux utilisateurs de vérifier régulièrement les mises à jour proposées par AMD.