Comment permettre une atténuation complète du MDS / Zombieload sur Mac

Les utilisateurs avancés de Mac qui se trouvent dans un environnement particulièrement dangereux peuvent ressentir le besoin de permettre une atténuation complète de la vulnérabilité du processeur Intel MDS sur leurs ordinateurs Mac (et PC d'ailleurs). MDS signifie "Microarchitectural Data Sampling" (échantillonnage de données micro-architecturales), familièrement appelé "Zombieload", et est essentiellement une vulnérabilité sur le processeur Intel lui-même qui pourrait théoriquement conduire un attaquant à accéder à des données sensibles sur n'importe quel ordinateur Intel, Mac ou PC touché. (Si vous suivez de près l'actualité en matière de sécurité, la vulnérabilité de Zombieload est un peu comme les failles de sécurité de Spectre et Meltdown l'année dernière).

Alors qu'Apple a appliqué des correctifs de sécurité à macOS Mojave 10.14.5 et à la mise à jour de sécurité 2019-003 pour High Sierra et Sierra qui devraient aider à prévenir les problèmes pour la plupart des utilisateurs de Mac, d'autres utilisateurs de Mac opérant dans des environnements à risque de sécurité inhabituellement élevé peuvent ressentir le besoin d'aller plus loin et de permettre une atténuation complète contre MDS / Zombieload.

Pour atténuer pleinement la vulnérabilité d'Intel MDS, il faut désactiver l'hyperthreading sur le processeur lui-même, ce qui peut entraîner une réduction des performances d'environ 40 % sur la machine. C'est évidemment une atteinte assez grave aux performances, et donc la grande majorité des gens ne devrait pas s'en préoccuper puisque la grande majorité des gens ne seront pas non plus soumis à un environnement de menace de sécurité qui les exposerait au risque d'être visés par ce genre de vulnérabilité.

Néanmoins, si vous êtes particulièrement préoccupé par le vecteur d'attaque Zombieload / MDS sur un Mac équipé d'un processeur Intel, nous discuterons ci-dessous de la manière de permettre une atténuation complète de l'attaque.

Comment permettre une atténuation complète des effets de Zombieload / MDS sur les Macs Intel

N'oubliez pas que pour activer la fitigation complète du MDS / Zombieload sur un Mac, vous devez désactiver l'hyper-threading du CPU, ce qui entraîne un sérieux problème de performances. La grande majorité des utilisateurs de Mac ne devraient pas s'embêter avec cela.

Notez que le Mac doit fonctionner avec MacOS Mojave, MacSO Sierra, MacOS High Sierra, ou plus récent.

  1. Tout d'abord, installez MacOS Mojave 10.14.5, ou Security Update 2019 for High Sierra, ou Security Update 2019 for Sierra (ou plus récent) sur le Mac
  2. Allez dans le menu Pomme et choisissez "Redémarrer" pour redémarrer le Mac
  3. Maintenez immédiatement la touche Command+R enfoncée au redémarrage pour mettre le Mac en mode de récupération
  4. Lorsque vous arrivez à l'écran "Utilitaires", déroulez le menu "Utilitaires" dans la barre de menus et choisissez "Terminal"
  5. Tapez la commande suivante, puis appuyez sur return
  6. nvram boot-args="cwae=2"

  7. Tapez ensuite la commande suivante, puis appuyez à nouveau sur retour :
  8. nvram SMTDisable=%01

  9. Allez dans le menu Pomme et choisissez "Redémarrer" pour redémarrer le Mac

Ces indications pour une atténuation complète proviennent directement de Pomme .

Comment inverser l'atténuation complète du MDS et activer l'hyperfusion sur Mac

Si vous souhaitez revenir à l'atténuation complète de Zombieload / MDS et réactiver l'hyper-threading sur le CPU, vous devrez réinitialiser la NVRAM / PRAM du Mac pour effacer le changement de nvram défini effectué dans l'atténuation complète. Cette procédure est la même sur tous les modèles de Mac :

  • Fermez le Mac
  • Allumez le Mac, puis appuyez immédiatement sur les touches COMMAND OPTION P R et maintenez-les enfoncées ensemble
  • Maintenez les touches COMMAND OPTION P R enfoncées simultanément pendant environ 20 secondes, puis relâchez-les
  • Relâchez les touches après avoir entendu le deuxième carillon de démarrage (sur les Macs qui émettent le son de démarrage), ou après avoir vu le logo Apple (Macs avec la puce T2)

Le Mac va maintenant démarrer comme d'habitude avec la réinitialisation de la NVRAM, l'hyper-threading à nouveau activé et l'atténuation complète du MDS qui n'est plus en place.

Vous pouvez également afficher les variables NVRAM sur un Mac à partir de la ligne de commande si vous n'êtes pas certain de ce qui est défini.

Notez que si vous utilisez un mot de passe de microprogramme, vous devrez peut-être le désactiver temporairement avant de pouvoir réinitialiser efficacement la NVRAM.

Qu'est-ce que le MDS / Zombieload ?

Pour plus d'informations sur le MDS / Zombieload ainsi que sur le processus d'atténuation, vous pouvez vous référer à l'article de soutien d'Apple qui décrit le risque de MDS et l'atténuation complète comme suit :

Intel a révélé des vulnérabilités appelées "Échantillonnage de données micro-architecturales" (MDS) qui s'appliquent aux ordinateurs de bureau et portables équipés de processeurs Intel, y compris tous les ordinateurs Mac modernes.

Bien qu'il n'y ait pas d'exploits connus affectant les clients au moment de la rédaction du présent document, les clients qui pensent que leur ordinateur présente un risque accru d'attaque peuvent utiliser l'application Terminal pour activer une instruction supplémentaire du processeur et désactiver la technologie de traitement hyper-threading, ce qui assure une protection totale contre ces problèmes de sécurité.

Cette option est disponible pour macOS Mojave, High Sierra et Sierra et peut avoir un impact significatif sur les performances de votre ordinateur.

De plus, pour permettre une atténuation complète, il faut désactiver l'hyperthreading sur le CPU Intel, ce qui peut réduire considérablement les performances. Apple décrit cela comme suit :

L'atténuation complète, qui comprend la désactivation de l'hyperthreading, empêche les fuites d'informations à travers les threads et lors de la transition entre le noyau et l'espace utilisateur, ce qui est associé aux vulnérabilités MDS pour les attaques locales et distantes (web).

Les tests menés par Apple en mai 2019 ont montré une réduction de 40 % des performances avec des tests incluant des charges de travail multithreads et des références publiques. Les tests de performance sont effectués sur des ordinateurs Mac spécifiques. Les résultats réels varient en fonction du modèle, de la configuration, de l'utilisation et d'autres facteurs

Vous pourriez également être intéressé à en savoir plus sur l'échantillonnage de données micro-architecturales (MDS) en vous adressant directement à Intel ici à Intel.com .

Une autre source d'information sur Zombieload / MDS est le site officiel de divulgation de l'attaque Zombieload , créé par les chercheurs qui ont découvert la faille de sécurité. La vidéo ci-dessous, réalisée par ces chercheurs en sécurité, montre une attaque Zombieload utilisée pour recueillir des informations à partir d'une machine ciblée, malgré l'utilisation de TOR contenus dans une machine virtuelle (un sérieux problème de sécurité !).

Là encore, la majorité des utilisateurs de Mac (et de PC) n'auront pas à se préoccuper outre mesure de ces vulnérabilités de sécurité et n'auront probablement pas à se soucier de les atténuer complètement en désactivant l'hyperfixation. La simple installation de macOS Mojave 10.14.5 et de la mise à jour de sécurité 2019-003 pour High Sierra et/ou Sierra permet d'écarter les risques potentiels pour la plupart des utilisateurs de Mac. Et comme toujours, veillez à ne jamais installer de logiciels sommaires ou non fiables, car cela devrait également être très utile, puisque presque tous ces types de vulnérabilités reposent sur une forme de logiciel malveillant qui prend racine au départ.

Click to rate this post!
[Total: 1 Average: 4]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *