Les chercheurs de Google ont découvert que la temporisation du cache de données des processeurs modernes peut être utilisée de manière abusive pour récupérer illégalement les informations sur un ordinateur. Cette fonctionnalité est utilisée par la plupart des processeurs modernes pour optimiser les performances, mais elle peut également occasionner de graves problèmes de sécurité, car des attaquants pourraient tirer parti de l’exécution spéculative afin de lire le contenu de la mémoire du noyau d’un ordinateur qui en temps normal aurait dû leur être inaccessible.
Contrairement aux premières informations indiquant que ces vulnérabilités critiques causées par des problèmes de conception de microprocesseurs affectent uniquement les CPU Intel, la firme de Santa Clara n’est pas le seul acteur du marché des microprocesseurs à être touché par ce problème. Intel l’a d’ailleurs confirmé dans un communiqué paru récemment sur son site Web.
La réponse d’Intel au sujet des vulnérabilités critiques
Le fondeur de Santa Clara estime que « ;ces exploits n’ont pas le potentiel de corrompre, modifier ou supprimer des données ;». L’entreprise technologique américaine a tenu à préciser qu’il est incorrect de penser que les failles dont il est question n’affectent que ses produits, et insisté sur le fait que « ;de nombreux dispositifs informatiques équipés d’une grande variété de processeurs et de systèmes d’exploitation développés par différents fournisseurs sont sensibles à ces exploits ;».
La firme de Santa Clara « ;avait prévu de divulguer ce problème la semaine prochaine ;», mais aurait été prise de cours par l’apparition de rapports médiatiques inexacts. Elle a assuré collaborer avec les autres acteurs de l’industrie technologique concernés par ce problème, notamment AMD, ARM et les éditeurs d’OS populaires comme Android, les distributions Linux ou Windows, afin de trouver dans les meilleurs délais une solution constructive à ce problème.
Les premières informations fournies par certains rapports laissaient supposer que les correctifs qui seront déployés par la suite pour régler le problème pourraient causer des baisses de performances non négligeables sur les machines concernées (jusqu’à 30 %). Mais de l’avis d’Intel, « ;les impacts sur les performances dépendent de la charge de travail et, pour l’utilisateur moyen d’un ordinateur, ils ne devraient pas être significatifs et seront atténués au fil du temps ;».
Intel a recommandé aux utilisateurs de se référer aux consignes des vendeurs et des éditeurs d’OS pour obtenir plus de détails en ce qui concerne la procédure à suivre. L’entreprise a également tenu à rassurer en déclarant que « ;ses produits sont les plus sécurisés au monde et que, avec le soutien de ses partenaires, les solutions actuelles à ce problème offrent la meilleure sécurité possible à ses clients ;».
Intel était au courant depuis le 1er juin 2017 et son PDG a décidé de vendre ses actions
Cependant, la firme de Santa Clara était au courant depuis plusieurs mois déjà de l’existence de cette situation, et ce serait Google qui aurait pris soin de l’en informer. À ce propos, l’éditeur d’Android a confirmé sur son site qu’il a prévenu AMD, ARM et Intel de cette situation depuis le 1er juin 2017 et clarifié les détails relatifs à cette affaire en fournissant une liste des différentes variantes de la faille critique dont il est question.
Il faut souligner que le 29 novembre dernier, le PDG d’Intel, Brian Krzanich, a vendu les actions qu’il possédait dans la firme américaine pour 24 millions USD. Cette opération est survenue après qu’Intel a été informé par Google de vulnérabilités majeures affectant ses puces, celles-là mêmes qui ont été rendues publiques cette semaine. La société affirme que cette vente d’actions n’était pas liée à la découverte de la faille en question, mais qu’elle faisait partie d’un programme de cession planifié. Le PDG, dans son opération de vente, n’aurait conservé que 250 ;000 actions au sein du groupe, le strict minimum que l’entreprise lui exige de posséder en vertu de son contrat de travail.
Les résultats des investigations menées par Google
Grâce aux précisions fournies par une étude menée par le projet Zero de Google, on sait désormais que les vulnérabilités critiques touchant les CPU modernes affectent non seulement les CPU x86 64-bits d’Intel, mais aussi les puces basées sur l’architecture ARM. Les processeurs conçus par AMD sont aussi concernés, mais dans une moindre mesure seulement puisque Google estime le risque proche de 0 pour les CPU du fondeur de SunnyVale. Red Hat a prévenu de son côté que même certains CPU IBM sont concernés par cette annonce. Même si les entreprises AMD et ARM sont désormais affectées par cette faille de sécurité, leurs CPU sont beaucoup moins gravement touchés que ceux d’Intel.
Il existe trois variantes principales des exploits que Google a détaillées avec leurs mécanismes d’action respectifs dans un article : variante 1 (CVE-2017-5753), variante 2 (CVE-2017-5715), variante 3 (CVE-2017-5754). Deux d’entre elles ont été respectivement baptisées Meltdown et Spectre, elles affecteraient les processeurs depuis 1995. La variante 1 affecte presque tous les processeurs modernes (AMD, ARM et Intel notamment), alors que les variantes 2 et 3 de la faille affectent principalement les CPU Intel et une partie des CPU ARM. Google estime que « ;Spectre est plus difficile à exploiter que Meltdown, mais qu’il est également plus difficile à atténuer ;».
Alors qu'AMD avait affirmé que ses processeurs n'étaient pas affectés par les vulnérabilités critiques évoquées, la société précise maintenant que « l'ampleur de la menace et la nature des mesures à adopter concernant les trois variantes diffèrent selon le fabricant de microprocesseurs considéré, et AMD n'est pas sensible aux trois variantes ». La firme de SunnyVale soutient également que le risque serait quasi nul pour ses processeurs les plus récents.
ARM, de son côté, a reconnu que la fonctionnalité d’exécution spéculative de nombreux processeurs haute performance modernes, bien que fonctionnant comme prévu, présente également un risque non négligeable pour la sécurité. La société a précisé avoir développé des patchs spécifiques qu’elle recommande d’utiliser. En outre, ARM a inclus des informations au sujet d’une variante notée 3a qui figure dans le tableau ci-dessous. Ce tableau liste les puces ARM et les variantes de la faille susceptibles de les affecter.
Source : Intel, AMD, Google Project Zero, ARM, Business Insider
Et vous ?
Qu’en pensez-vous ?
Voir aussi
Les grands éditeurs et fournisseurs de cloud s'activent pour patcher leurs produits contre les vulnérabilités dans les puces d'Intel, AMD et ARM
Les processeurs Intel x86 souffrent d'un défaut qui permet d'installer des logiciels malveillants dans l'espace protégé des puces
Bogues critiques touchant les CPU modernes : Google a informé Intel depuis des mois
Et confirmé qu'ils affectent plus Intel et ARM qu'AMD
Bogues critiques touchant les CPU modernes : Google a informé Intel depuis des mois
Et confirmé qu'ils affectent plus Intel et ARM qu'AMD
Le , par Christian Olivier
Une erreur dans cette actualité ? Signalez-nous-la !