Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des chercheurs révèlent de nouveaux défauts de fabrication dans les CPU
Une nouvelle génération de vulnérabilités Spectre et Meltdown ?

Le , par Blondelle Mélina

80PARTAGES

14  0 
Les vulnérabilités connues sous le nom de Spectre et Meltdown ont ébranlé le monde informatique en janvier. Les chercheurs ont prouvé qu'il y avait un défaut de conception fondamental dans tous les processeurs modernes avec de graves répercussions sur la sécurité du système. Ces deux problèmes permettraient aux pirates informatiques de voler tout le contenu de la mémoire des ordinateurs, y compris les appareils mobiles, les ordinateurs personnels et les serveurs fonctionnant dans des réseaux informatiques dits en nuage. Après la publication de plusieurs patchs, il semblait que tout irait bien après, bien que certains experts aient averti que d'autres révélations pourraient suivre. « Considérant ce que nous avons vu avec Meltdown et Spectre, nous devrions nous attendre à un long et pénible cycle de mises à jour, voire de performance ou de stabilité », a déclaré Yuriy Bulygin, PDG de la société de sécurité matérielle Eclypsium. Mais l'espoir est resté que les fabricants pourraient résoudre le problème avec quelques mises à jour de sécurité.


En fin de compte, nous pouvons enterrer cet espoir. Un total de huit nouvelles failles de sécurité dans les processeurs Intel ont déjà été signalées au fabricant par plusieurs équipes de chercheurs. Pour l'instant, les détails sur les failles sont gardés secrets. Toutes les huit sont essentiellement causées par le même problème de conception. On pourrait dire qu'elles sont peut-être des « Specter Next Generation (NG) ».

Chacune de ces vulnérabilités a son propre numéro dans le répertoire CVE (Common Vulnerability Enumerator) et chacune requiert ses propres correctifs. Intel travaille déjà sur les correctifs pour Spectre-NG. Il prévoit deux vagues de patchs. La première devrait commencer en mai ; une seconde est actuellement prévue pour août.

Bien sûr, Intel doit corriger les faiblesses actuelles le plus rapidement possible. Et c'est ce qui se passe. D'après certains chercheurs, la conception du CPU doit être fondamentalement repensée. Werner Haas de la société allemande Cyberus Technology et l'une des personnes ayant découvert les vulnérabilités Spectre/Meltdown, considère qu'il est tout à fait possible d'équiper les processeurs haute performance d'un design de sécurité solide. Cependant, cela impliquerait que les aspects de sécurité soient pris en compte dans l'architecture dès le départ. Paul Kocher, qui a également participé au dévoilement de Spectre, a suggéré d'implémenter des cœurs de processeurs supplémentaires spécialement sécurisés en utilisant une méthode comme la modélisation des menaces.

D'après des chercheurs, les risques et les scénarios d'attaques à Spectre-NG sont similaires à ceux de Spectre juste à une exception près. Un attaquant pourrait lancer un code malveillant dans une machine virtuelle (VM) et attaquer le système hôte à partir de là ; le serveur d'un hébergeur de cloud, par exemple. Alternativement, il pourrait attaquer les machines virtuelles d'autres clients fonctionnant sur le même serveur. Les mots de passe et les clés secrètes pour une transmission de données sécurisée sont des cibles très recherchées sur les systèmes de cloud computing et sont extrêmement menacées par ce type d'attaque. Les extensions SGP (Software Guard Extensions) d'Intel, conçues pour protéger les données sensibles sur les serveurs cloud, ne sont pas non plus protégées contre les virus.

Bien que les attaques sur d'autres VM ou sur le système hôte étaient déjà possibles en principe avec Spectre, la mise en œuvre dans le monde réel nécessitait néanmoins tellement de connaissances préalables qu'il était extrêmement difficile de l'implémenter, tel que l'avaient déclaré certains chercheurs. Cependant, la vulnérabilité Spectre-NG mentionnée ci-dessus peut être exploitée assez facilement pour des attaques à travers les frontières du système, élevant le potentiel de menace à un nouveau niveau. Les fournisseurs de services cloud tels que Amazon ou Cloudflare et leurs clients sont particulièrement touchés.

Microsoft préparerait également des correctifs de CPU. À l'origine, la société s'attendait à ce que les problèmes soient résolus grâce à des mises à jour du microcode. Elle offre jusqu'à 250 000 dollars dans un programme de primes de bogue pour les failles Spectre. Les développeurs de noyau Linux travaillent continuellement sur des mesures de renforcement contre les attaques Spectre.

Comme Intel l'a annoncé, les premiers correctifs seront mis à disposition d'ici quelques jours. Cependant, même lorsque des correctifs ont été déployés pour résoudre le problème du Spectre, il y a eu plusieurs problèmes, malgré un délai de plus de six mois. En outre, certains correctifs réduisent les performances. Ce qui pousse certaines entreprises à refuser les mises à jour du BIOS pour les ordinateurs datant de quelques années seulement.

Source : Heise Online

Et vous ?

Qu'en pensez-vous ?
Croyez-vous que les correctifs que livrera Intel pourront résoudre le problème ? Ou pensez-vous plutôt qu'ils pourront empirer la situation ? Si oui, pourquoi ?
Partagez-vous l'avis selon lequel la conception des CPU doit être entièrement repensée ? Si oui, partagez vos idées.

Voir aussi :

Bogues critiques touchant les CPU modernes : Google a informé Intel depuis des mois, et confirmé qu'ils affectent plus Intel et ARM qu'AMD
Les processeurs Intel x86 souffriraient d'un défaut, qui exposerait la mémoire noyau et impacterait surtout sur le marché serveur
CES 2018 : Intel dévoile cinq CPU KBL-G équipés de GPU Radeon RX Vega M, pour un usage polyvalent, mais attention à la consommation

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 13/05/2018 à 20:10
En tant que "Responsable de service informatique" j'espère que tu ne prends pas toutes les vulnérabilités autant à la légère...
1  0 
Avatar de MaximeCh
Membre éclairé https://www.developpez.com
Le 04/05/2018 à 19:38
Qu'en pensé-je?
Que le jour n'est pas arrivé où j'enlèverai le sparadrap de ma webcam, et que je me languis du Librem5
0  0 
Avatar de melka one
Membre éprouvé https://www.developpez.com
Le 04/05/2018 à 21:03
on comprend mieux pourquoi ils on récupéré jim keller
0  0 
Avatar de Bestel74
Membre confirmé https://www.developpez.com
Le 13/05/2018 à 21:51
Justement, si : il est responsable du service, pas de sa sécurité
0  0 
Avatar de
https://www.developpez.com
Le 05/05/2018 à 1:19
Citation Envoyé par Blondelle Mélina Voir le message

Croyez-vous que les correctifs que livrera Intel pourront résoudre le problème ? Ou pensez-vous plutôt qu'ils pourront empirer la situation ? Si oui, pourquoi ?
C'est quand déjà la prochaine génération de CPU ?
Leur nouvelle équipe dédié à cette tâche aurait déjà corrigé le problème.

Je pense bien que la notion de sponsor n'est pas vraiment importante.
0  1 
Avatar de cirle78
Membre régulier https://www.developpez.com
Le 13/05/2018 à 18:59
Cette faille est la fin du monde... ;-)

Une tempête dans un verre d'eau
0  2