Les déboires d’Intel avec la sécurité n’en finissent plus, et pour cause, le fondeur fait face une fois de plus à des défauts de sécurité dans ses puces similaires aux vulnérabilités Spectre. Pour rappel, la semaine dernière, des chercheurs ont révélé un total de huit nouvelles failles de sécurité dans les processeurs d’Intel, ces failles seraient causées par un problème de conception similaire à celui de Spectre, ce qui a poussé les chercheurs à les nommer Spectre Next Generation. Si les détails sur ces failles sont toujours gardés au secret, Intel chercherait à retarder davantage la divulgation coordonnée de ces failles pour au moins 9 jours, après avoir manqué à rendre disponibles les premiers correctifs le 7 mai comme il a été prévu auparavant.
Il semblerait qu’Intel a rencontré des difficultés lors de la mise en place des correctifs, en conséquence, le fondeur cherche à retarder la divulgation des vulnérabilités pour au moins le 21 mai, voire au-delà de cette date s’il le faut. Le premier patch d’Intel devrait corriger quatre failles à risque moyen, alors que les autres failles à haut risque ne devraient pas être corrigées avant le mois d'août.
« Intel prépare désormais une diffusion coordonnée le 21 mai 2018. Les nouvelles mises à jour de microcode devront être rendues disponibles durant cette date, » a informé Jürgen Schmidt.
Selon Heise Security, le nombre de systèmes qui ont besoin de ces correctifs est tout simplement énorme. Et pour cause, ces failles dites Spectre NG affectent non seulement tous les processeurs Core-i, mais aussi leurs variantes de la famille Xeon et les processeurs Atom (y compris Pentium et Celeron) depuis 2013.
Si les premiers patchs de sécurité arrivent pendant ce mois de mai, ils ne seront pas suffisants pour endiguer complètement les bogues, a informé Schmidt.
Pour combler la faille Specre NG la plus dangereuse, les utilisateurs d’Intel devront patienter plus de temps. Cette faille qui affecte les processeurs Core-i et Xeon permettrait à un attaquant de lancer un code malveillant dans une machine virtuelle (VM) et attaquer le système hôte à partir de là. Alternativement, il pourrait attaquer les machines virtuelles d'autres clients fonctionnant sur le même serveur. Une faille fatale donc surtout pour les utilisateurs de systèmes cloud. Les correctifs d’Intel pour adresser cette faille n’arriveront pas avant le troisième trimestre.
Avec de tels délais, certains clients d’Intel, surtout les fournisseurs cloud, ne seront pas contents d’apprendre qu’ils devront attendre jusqu’à mi-août pour recevoir les correctifs de sécurité. En effet, ils devront continuer à fonctionner sans solutions entièrement sécurisées pendant au moins 3 mois, une éternité si l’on juge par la sensibilité des données qu’ils hébergent.
Pour les utilisateurs réguliers, on serait curieux de savoir si cette nouvelle batterie de correctifs va affecter la performance des processeurs, poussant certains utilisateurs à investir dans de nouvelles puces plus performantes. On serait curieux aussi de savoir si d’autres processeurs, notamment ceux d’AMD sont affectés par ces failles. Certains commentateurs ont informé qu’AMD et ARM suivent une approche bien plus conservatrice avec l’exécution spéculative, ce qui fait que même si une portion de ces bogues fonctionnent sûrement sur du matériel non Intel, ils n’auront pas la même sévérité. Pour le moment, AMD a informé dans un communiqué qu’elle suit de près cette affaire et que la firme est consciente de l’existence de ces failles liées à l’exécution spéculative.
En plus des correctifs microcode qui seront publiés par Intel, d’autres patchs au niveau des systèmes d’exploitation seront nécessaires et devront être implémentés par les vendeurs pour sécuriser l’architecture.
Source : Heise security
Et vous ?
Pensez-vous que les correctifs qui seront proposés par Intel vont affecter la performance des processeurs ? Pensez-vous que ces failles affectent aussi les autres puces non-Intel ? Que pensez-vous de la manière avec laquelle Intel gère cette crise ?Voir aussi :
Des chercheurs révèlent de nouveaux défauts de fabrication dans les CPU, une nouvelle génération de vulnérabilités Spectre et Meltdown ? AMD promet des correctifs pour les processeurs EPYC et Ryzen tout en minimisant l'impact des trouvailles de CTS Labs 
