Décidément, Intel peine à en finir avec les vulnérabilités « ZombieLoad ». Le 27 janvier, le fondeur américain a signalé l’existence de deux failles dans ses processeurs, qui seront en principe corrigées d’ici quelques semaines. Il reste à savoir si ces patchs permettront enfin au groupe de passer à autre chose : en effet, c’est la troisième fois en moins d’un an qu’il intervient pour réparer ce type de vulnérabilités.
Intel avait déjà déployé des correctifs en mai et novembre 2019 mais, tel Sisyphe avec son rocher, le spécialiste des processeurs doit se retrousser encore une fois les manches pour tenter d’empêcher des fuites de données. Le descriptif des deux vulnérabilités parle de la possibilité pour « un utilisateur authentifié de potentiellement divulguer des informations via un accès local ».
Les deux failles n’ont toutefois pas le même degré de dangerosité : la première est jugée peu critique, tandis que la seconde est plus sérieuse. La bonne nouvelle, c’est qu’Intel n’a pas d’indice laissant entendre que des tiers les exploitent. Une chance, a priori, car le nombre de processeurs en cause est important : les générations Amber Lake, Cascade Lake, Coffee Lake, Kaby Lake, Skylake et Whiskey Lake sont citées.
Des patchs toujours insuffisants
Le problème auquel est confronté Intel est désigné sous l’appellation d’échantillonnage de données micro-architecturales ou Microarchitectural Data Sampling (MDS). Il affecte les processeurs Intel qui font appel à l’Hyper-Threading, un procédé qui permet de mettre en parallèle des tâches à exécuter, afin qu’elles soient traitées en même temps. Ce serait très bien, si aucune fuite ne survenait.
Problème, une attaque « demeure possible contre les processeurs ayant des mesures d’atténuation matérielle contre le MDS », écrivent les chercheurs qui ont baptisé la série de failles ZombieLoad. « En outre, nous montrons […] que, sur certains processeurs, les mesures d’atténuation logicielles, y compris les mises à jour de microcodes nécessaires, n’empêchent pas totalement l’attaque.»
Ils ajoutent qu’avec les plus récentes divulgations au sujet de ces vulnérabilités (la dernière en date remonte au 26 janvier et est appelée L1D Eviction Sampling), « les mesures d’atténuation contre ZombieLoad sont incomplètes et les adversaires continuent de divulguer des données qui sont en train d’être expulsées de la mémoire cache de premier niveau du processeur ». D’où la réaction d’Intel.
La conception des processeurs en cause
Les vulnérabilités MDS tirent profit de l’exécution spéculative, terme qui regroupe les opérations de calcul que les processeurs font « par anticipation » sur des tâches qui n’ont pas encore eu lieu — les processeurs tentent de prévoir les prochaines instructions : si elles surviennent effectivement, le PC gagne du temps sur les traitements à exécuter. Sinon, il les abandonne.
Le problème, c’est que l’exécution spéculative s’avère aussi une source sans fin de soucis pour Intel. Ce type d’approche était déjà à l’origine des attaques Spectre et Meltdown qui avaient défrayé la chronique en janvier 2018. Depuis, le fondeur américain bataille tant bien que mal pour essayer de colmater toutes les brèches qui affectent ses processeurs, y compris les plus récents — quitte à devoir réduire leurs performances.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !