Logo Parlement Buxellois

Question écrite concernant la faille critique des processeurs AMD et l'impact de cette faille sur l'informatique communale et régionale.

de
Emin Özkara
à
Bernard Clerfayt, ministre du gouvernement de la Région de Bruxelles-Capitale chargé de l'emploi et de la formation professionnelle, de la transition numérique, des pouvoirs locaux et du bien-être animal (question n°799)

 
Date de réception: 21/09/2021 Date de publication: 26/10/2021
Législature: 19/24 Session: 21/22 Date de réponse: 13/10/2021
 
Date Intitulé de l'acte de Référence page
27/09/2021 Recevable p.m.
 
Question   

Ce 21 septembre 2021, je souhaite vous questionner sur la faille critique des processeurs AMD découverte au mois d'avril 2021 et qui a été rendue publique récemment. Sans rentrer dans des considérations techniques qui sont consultables à cette adresse https://zeroperil.co.uk/cve-2021-26333/ , cette faille permettrait à une personne mal intentionnée (pirate/hacker) de mettre la main sur des éléments tels que des informations d'identification d'un utilisateur disposant de privilèges administratifs ou d'être utilisée dans des attaques de style pass-the-hash pour obtenir un accès supplémentaire à l'intérieur d'un réseau.

Je souhaiterais vous poser les questions suivantes en rapport avec l'Informatique communale et régionale :

Suite à la découverte de cette faille critique,

  1. Quelles sont les actions qui ont été mises en route pour prémunir les équipements informatiques de l'exploitation de cette faille ?

  2. Quelles sont les mesures qui ont été prises pour mesurer l'impact des correctifs sur les performances des systèmes ?

  3. Quelles sont les contre-mesures mises en place pour assurer la sécurité, l'intégrité et la confidentialité des données ?

  4. Quelles sont les mesures qui ont été prises pour expliquer les menaces liées à cette faille critique aux responsables IT et aux utilisateurs ?

 
 
Réponse   

1/

Pour information, la faille découverte sur certains types de processeur AMD (CVE-2021-26333) est actuellement considérée comme « medium » en termes de criticité selon l’échelle CVSS (Common Vulnerability Scoring  System).Ce n’est donc pas une faille critique à proprement parler suivant cette échelle. Cela s’explique par le fait que l’impact est seulement une divulgation d’information[1]

  

De plus, le CIRB confirme que les serveurs utilisés au niveau du Centre Régional des Données, y compris les serveurs du SPRB gérés par le CIRB, ne sont pas concernés par cette faille. En effet, le parc de serveurs du Centre Régional des Données n’est composé que de processeurs Intel.

La faille concerne plutôt une petite partie de notre parc de pc où un correctif sera déployé dans les semaines à venir.

 

2/

Le correctif proposé par AMD sera tout d’abord testé en laboratoire avant tout déploiement de celui-ci. Ensuite, un déploiement automatique sera effectué sans que l’utilisateur final n’en soit impacté.

3/

Les mesures de sécurité techniques actuelles (comme les pares-feux, isolation des environnements, Anti-virus, etc.) et organisationnels qui sont mises en œuvre par le CIRB au sein du Centre Régional des Données, ainsi que la mise à jour régulière des correctifs des systèmes d’exploitation et de VM (machines virtuelles), suffisent actuellement à assurer de manière adéquate la protection des données. 

 

Une autre mesure préventive déjà mise en place consiste en l’authentification à deux facteurs. Ce processus de sécurité est devenu le standard appliqué pour toute nouvelle application du CIRB.

4/

Aucune communication spécifique de sécurité relative à cette faille n’a été à ce jour diffusée pour les raisons invoquées au point 1. 

Toutefois, le CIRB n’est pas en reste et fait régulièrement de la communication et de la sensibilisation relative à la sécurité de l’information à ses utilisateurs et aux responsables IT régionaux. Le message préconisé pour ce type de faille et qui est périodiquement relayé auprès des équipes IT des institutions régionales est : « Gardez toujours vos systèmes à jour avec les dernières mises à jours de sécurité et suivez les instructions de vos fournisseurs de systèmes d’exploitation et VM».

 

 

Pour information, la dernière publication en date concerne l’annonce de Apple à propos de la faille que le logiciel espion Pegasus exploite. Celui-ci a fait l’objet d’une question parlementaire dernièrement.

 

[1] https://vuldb.com/fr/?id.182898