Comment activer l'atténuation complète pour MDS / Zombieload sur Mac
Table des matières:
- Comment activer l'atténuation complète contre Zombieload / MDS sur les Mac Intel
- Comment annuler l'atténuation complète de MDS et activer l'hyper-threading sur Mac
Les utilisateurs avancés de Mac qui se trouvent dans un environnement de menace contradictoire particulièrement fort peuvent ressentir le besoin d'activer une atténuation complète de la vulnérabilité du processeur Intel MDS sur leurs ordinateurs Mac (et PC d'ailleurs). MDS signifie Microarchitectural Data Sampling (MDS), familièrement appelé "Zombieload", et est essentiellement une vulnérabilité sur le processeur Intel lui-même qui pourrait théoriquement conduire un attaquant à accéder à des données sensibles sur n'importe quel ordinateur Intel, Mac ou PC impacté.(Si vous suivez de près l'actualité de la sécurité, la vulnérabilité Zombieload ressemble un peu aux failles de sécurité Spectre et Meltdown de l'année dernière).
Alors qu'Apple a appliqué des correctifs de sécurité à macOS Mojave 10.14.5 et à la mise à jour de sécurité 2019-003 pour High Sierra et Sierra qui devraient aider à éviter les problèmes pour la plupart des utilisateurs de Mac, d'autres utilisateurs de Mac fonctionnent avec une sécurité inhabituellement renforcée les environnements à risque peuvent ressentir le besoin d'aller plus loin et de permettre une atténuation complète contre MDS/Zombieload.
L'activation de l'atténuation complète de la vulnérabilité Intel MDS implique la désactivation de l'hyper-threading sur le processeur lui-même, ce qui peut entraîner une réduction des performances d'environ 40 % sur la machine. C'est évidemment un impact assez sérieux sur les performances, et donc la grande majorité des gens ne devraient pas s'en soucier, car la grande majorité des gens ne seront pas non plus dans un environnement de menace de sécurité qui les exposerait au risque d'être ciblés par ce type de vulnérabilité.
Néanmoins, si vous êtes particulièrement préoccupé par le vecteur d'attaque Zombieload / MDS sur un Mac avec un processeur Intel, nous verrons ci-dessous comment activer l'atténuation complète contre l'attaque.
Comment activer l'atténuation complète contre Zombieload / MDS sur les Mac Intel
N'oubliez pas que pour activer la compatibilité complète pour MDS/Zombieload sur un Mac, vous devez désactiver l'hyper-threading du processeur, ce qui entraîne une baisse importante des performances. La grande majorité des utilisateurs de Mac ne devraient pas s'en soucier.
Notez que le Mac doit exécuter MacOS Mojave, macSO Sierra, MacOS High Sierra ou une version plus récente.
- Premièrement, installez MacOS Mojave 10.14.5, ou la mise à jour de sécurité 2019 pour High Sierra, ou la mise à jour de sécurité 2019 pour Sierra (ou une version ultérieure) sur le Mac
- Allez dans le menu Pomme et choisissez "Redémarrer" pour redémarrer le Mac
- Appuyez immédiatement sur Commande + R au redémarrage pour démarrer le Mac en mode de récupération
- Lorsque vous arrivez à l'écran Utilitaires, déroulez le menu "Utilitaires" dans la barre de menus et choisissez "Terminal"
- Tapez la commande suivante, puis appuyez sur retour "
- Ensuite, tapez la commande suivante, puis appuyez à nouveau sur Entrée :
- Allez dans le menu Pomme et choisissez "Redémarrer" pour redémarrer le Mac
nvram boot-args=cwae=2"
nvram SMTDisable=%01
Ces instructions pour une atténuation complète proviennent directement d'Apple.
Comment annuler l'atténuation complète de MDS et activer l'hyper-threading sur Mac
Si vous souhaitez annuler l'atténuation complète de Zombieload / MDS et réactiver l'hyper-threading sur le processeur, vous devrez réinitialiser la NVRAM / PRAM Mac pour effacer le changement de nvram défini effectué dans le atténuation totale. C'est la même chose sur tous les modèles de Mac :
- Éteignez le Mac
- Allumez le Mac, puis appuyez immédiatement sur les touches COMMAND OPTION P R et maintenez-les enfoncées
- Maintenez les touches COMMAND OPTION P R enfoncées simultanément pendant environ 20 secondes, puis relâchez
- Relâchez les touches après avoir entendu le deuxième carillon de démarrage (sur les Mac qui émettent le son de démarrage) ou après avoir vu le logo Apple (Mac avec la puce T2)
Le Mac va maintenant démarrer comme d'habitude avec la réinitialisation de la NVRAM, l'hyper-threading activé à nouveau et l'atténuation complète du MDS n'est plus en place.
Vous pouvez également afficher les variables NVRAM sur un Mac à partir de la ligne de commande si vous n'êtes pas certain de ce qui est défini.
Notez que si vous utilisez un mot de passe de micrologiciel, vous devrez peut-être le désactiver temporairement avant de pouvoir réinitialiser efficacement la NVRAM.
Qu'est-ce que MDS / Zombieload de toute façon ?
Pour plus d'informations sur MDS/Zombieload ainsi que sur le processus d'atténuation, vous pouvez vous référer à l'article d'assistance d'Apple qui décrit le risque MDS et l'atténuation complète comme suit :
De plus, l'activation de l'atténuation complète implique la désactivation de l'hyper-threading sur le processeur Intel, ce qui peut réduire considérablement les performances. Apple décrit cela comme suit :
Vous pourriez également être intéressé à en savoir plus sur l'échantillonnage de données microarchitecturales (MDS) directement auprès d'Intel ici sur Intel.com.
Une autre source d'informations sur Zombieload / MDS est le site Web officiel de divulgation de Zombieload Attack ici, créé par les chercheurs qui ont trouvé la faille de sécurité. La vidéo ci-dessous de ces chercheurs en sécurité montre qu'une attaque Zombieload est utilisée pour recueillir des informations à partir d'une machine ciblée malgré l'utilisation de TOR contenu dans une machine virtuelle (une sécurité sérieuse !).
Encore une fois, la majorité des utilisateurs de Mac (et de PC) n'auront pas à s'inquiéter outre mesure de ces failles de sécurité et n'auront probablement pas à se soucier d'une atténuation complète en désactivant l'hyper-threading. L'installation simple de macOS Mojave 10.14.5 et de la mise à jour de sécurité 2019-003 correspondante pour High Sierra et/ou Sierra permet d'éviter les risques potentiels pour la plupart des utilisateurs de Mac. Et comme toujours, assurez-vous de ne jamais installer de logiciel sommaire ou non fiable, car cela devrait également aider considérablement, car presque tous ces types de vulnérabilités reposent sur une forme de logiciel malveillant pour s'enraciner en premier lieu.