La faille Spectre revient nous hanter une nouvelle fois. Google vient en effet de publier un code qui utilise un nouveau vecteur d’attaque de cette vulnérabilité qui a été découverte en 2018 et qui s’appuie sur l’exécution prédictive des processeurs. Cette nouvelle technique permet à un pirate de lire le contenu de la mémoire du processeur au travers d’une simple page Web, comme le montre une vidéo de démonstration.
N’importe qui peut tester cette attaque sur son propre navigateur. Il suffit pour cela de se connecter sur le site leaky.page, créé par les chercheurs en sécurité de Google. Il semblerait que seuls les navigateurs Chrome et Chromium soient vulnérables, y compris Edge.
En revanche, l’extraction de données ne fonctionne pas sur Firefox. Interrogé par Wired, Apple estime que cette attaque ne pose pas de « risque immédiat » aux utilisateurs de macOS.
A lire aussi: Pourquoi la faille Spectre continuera longtemps de hanter nos processeurs
Google concède que cette attaque peut être parée au niveau logiciel, mais souligne que ce n’est pas le cas pour toutes les variantes de Spectre, et notamment la variante 4.
Selon le géant du Web, les différentes mesures de protection développées depuis 2018 ne protègent pas réellement contre Spectre, ils évitent simplement que des données sensibles puissent être siphonnées, grâce à des mécanismes de séparation et de blocage (isolation de site, blocage iframe, blocage cross-origin, etc.).
A découvrir aussi en vidéo :
Avec son code malveillant, Google veut montrer que le risque lié à Spectre est toujours là et invite les développeurs Web à se familiariser avec ces mesures de protection et à les implémenter au niveau de leurs applications.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
