 Si jusqu'à présent dans le monde du hardware, la faille de sécurité OpenSSL a exclusivement concerné les fabricants de NAS qui utilisent cette librairie pour sécuriser les accès distants aux données, c'est ce coup-ci les cartes graphiques NVIDIA qui sont concernées par le biais de l'application GeForce Experience.
Quasiment un mois après l'annonce officielle de la faille de sécurité CVE-2014-0160 qui touche la librairie OpenSSL et plus particulièrement l'extension Heartbleed du protocole TLS, NVIDIA vient seulement d'admettre que son logiciel GFE est affecté.
La firme annonce en effet que la technologie GameStream, qui permet de jouer sans fil depuis la console portable SHIELD à un jeu installé sur un PC avec un GPU GeForce GTX, utilise la librairie OpenSSL et se voit donc vulnérable à cette faille comme tant d'autres logiciels. L'exploitation de la vulnérabilité permettrait théoriquement à un pirate d'intercepter la connexion GameStream entre l'ordinateur et la console et de récupérer les informations de session. Votre nombre de frags à Call of Duty n'intéressera sans doute pas le malveillant personnage. En revanche, il pourra ainsi récupérer des données plus confidentielles comme votre mot de passe (Steam ?) et ouvrir de nombreuses portes.
Rappelons d'ailleurs que depuis la dernière version 2.0, le GeForce Experience permet d'utiliser la fonction GameStream via Internet et plus seulement sur le réseau local. La portée de la vulnérabilité n'en est que plus importante. Paradoxalement, c'est en voulant renforcer la sécurité des sessions sur le web avec OpenSSL que NVIDIA a implémenté cette faille...
Pour autant, NVIDIA affirme que la possibilité que cette faille puisse être exploitée avec le GFE 2.0 et la console SHIELD est extrêmement faible. En matière de sécurité informatique, mieux vaut cela dit ne pas raisonner comme cela mais au contraire se dire que toute vulnérabilité connue publiquement peut être utilisée !
Rappelons également que la console SHIELD n'est pas encore commercialisée en Europe donc à priori, seuls les utilisateurs Nord-Américains seraient vulnérables. La faille est théoriquement seulement exploitable lors d'une session GameStream.
Quoi qu'il en soit, NVIDIA propose d'ores et déjà une mise à jour, la 2.0.1.0, de son application GeForce Experience qui intègre le correctif pour la faille Heartbleed grâce à l'intégration de la bibliothèque OpenSSL 1.0.1g. Nous recommandons donc à tous les utilisateurs de l'appliquer dès que possible que vous possédiez ou non une SHIELD, mieux vaut ne pas jouer avec le feu...
Seule la version 2.0 du GeForce Experience sortie le 7 avril 2014 est vulnérable et non les versions 1.x qui sont dépourvues d'OpenSSL. Pas de chance, à quelques heures près, NVIDIA aurait pu intégrer dans le GFE 2.0 la version corrigée d'OpenSSL.
Pour rappel, le GeForce Experience 2.0 est inclus en standard dans les drivers génériques GeForce 337.50 et d'après NVIDIA dans certaines éditions OEM des drivers de la série R331. Toutes les installations de ces drivers GeForce contiennent donc le code défaillant et devraient donc être actualisées immédiatement par leurs utilisateurs.
Pour le moment, NVIDIA ne propose pas de nouveau pilote GeForce intégrant le patch 2.0.1.0 du GFE mais seulement ce dernier en téléchargement séparé ce qui risque de faire passer un certain nombre d'utilisateurs à côté de la mise à jour.
Pour finir, on peut tout de même se questionner sur le délai mis par NVIDIA d'une part pour publier un simple correctif d'OpenSSL que de très nombreux développeurs ont déployé au bout de quelques heures après l'annonce de la faille mais aussi et surtout du délai pour reconnaître publiquement sa présence dans les drivers graphiques GeForce installés par des millions de personnes à travers le monde. NVIDIA savait parfaitement dès le début que la version d'OpenSSL utilisée dans le GFE 2.0 était vulnérable. Le strict minimum aurait été d'en informer les utilisateurs et de ne pas les exposer pendant près d'un mois complet sans aucun avertissement. Carton rouge sur ce coup !
Téléchargement de l'application NVIDIA GeForce Experience 2.0.1.0 pour Windows Vista/7/8/8.1
|
Modérateur TLD
|
|
Actualités
25/04/24 Crucial publie l'ISO du firmware M3CR046 pour certains SSD Crucial MX500
25/04/24 Intel Arc Graphics 101.5445 WHQL
25/04/24 Fujifilm X100VI 1.10
24/04/24 Thermalright Core Vision/Frozen Warframe 1.2.4
24/04/24 Crucial MX500 CD/USB M3CR04x M3CR046
24/04/24 Pioneer DJ DJM-A9 1.04
