Un groupe de chercheurs de l’université de Colombia aux États-Unis vient de découvrir une faille exploitable à partir de la mémoire cache des ordinateurs pourvus de processeurs Intel. Comme le souligne le rapport produit par les chercheurs « contrairement à d’autres travaux de ce genre, cette attaque ne nécessite pas de l’attaquant qu’il installe un logiciel sur la machine de la victime — pour faciliter l’attaque, la victime n’a besoin que de parcourir une page Web non sécurisée avec le contenu contrôlé par l’attaquant ».
Dans le principe, les attaques side channel ou canal auxiliaire en français permettent aux attaquants d’extraire des données cachées dans des équipements en analysant les signaux physiques tels que la chaleur, la lumière, les radiations … Cela signifie que les attaques ne sont pas menées directement en cherchant une faille logicielle, mais plutôt exploite une faille matérielle peu commune. Il faut également préciser que ce type d’attaques vise généralement à détecter les clés cryptographiques sur un terminal. S’appuyant donc sur les possibilités de faille exploitable à ce niveau, les chercheurs ont réussi non pas à casser une clé de chiffrement, mais à suivre toutes les activités sur l’équipement infecté, en surveillant simplement le cache du processeur avec un algorithme JavaScript conçu au préalable.
Pour que l’attaque puisse réussir, certaines conditions doivent être réunies. L’ordinateur ciblé doit être pourvu d’un processeur Intel assez récent et le navigateur doit être compatible avec la norme HTML5. Une fois que ces conditions sont remplies et que l’internaute visite une page web contenant le malware dissimulé, par exemple, dans une publicité, le code malicieux se répand sur l’ordinateur de la victime.
À partir de cette étape, l’attaquant accède à un ensemble d’emplacements de la mémoire. Celui-ci permet de prendre le contrôle de la mémoire cache en y accédant. En utilisant le code dans les emplacements mémoires, la mémoire cache serait contrainte de passer à un état bien défini. L’étape suivante consiste à attendre que l’utilisateur déclenche un évènement avec le clavier ou la souris pour que la personne mal intentionnée sonde le cache à partir des emplacements mémoires qui avaient été créés.
L’attaquant peut maintenant suivre les faits et gestes de l’utilisateur. Et puisque le dernier niveau de la mémoire cache est partagé avec tous les noyaux du processeur, des utilisateurs, des traitements et des dispositifs de protection, la personne malveillante a accès à l’ensemble des informations systèmes détaillées de la machine infectée.
Un temps d’accès à cette mémoire assez bas suggère que les données ou le code de l’attaquant sont toujours dans la mémoire cache, tandis qu’un temps d’accès plus élevé présuppose que la mémoire cache est utilisée par les données de la victime, ce qui donne à l’attaquant l’état de l’ordinateur de la victime.
Les expériences ont été effectuées sur des ordinateurs Intel utilisant des processeurs Ivy Bridge, Sandy Bridge et de familles de processeurs Haswell avec les dernières versions de navigateurs Safari et Firefox sur les systèmes d’exploitation Mac OS Yosemite et Ubuntu 14.04 LTS. Le code malicieux JavaScript de moins de 500 lignes fut capable d’accéder à plus de 25 % de la mémoire cache en mois de 30 secondes. Et vu que les processeurs Intel équipent la majorité des ordinateurs, les chercheurs affirment que les attaques peuvent s’étendre à des millions d’ordinateurs.
Toutefois, en raison de l’architecture des processeurs AMD, cette attaque ne serait pas applicable à cette plateforme.
Source : rapport des chercheurs (PDF)
Et vous ?
Que pensez-vous de ces attaques ?
Des chercheurs découvrent une faille dans la mémoire cache
Permettant à un code JavaScript d'infecter les ordinateurs pourvus de processeurs Intel
Des chercheurs découvrent une faille dans la mémoire cache
Permettant à un code JavaScript d'infecter les ordinateurs pourvus de processeurs Intel
Le , par Olivier Famien
Une erreur dans cette actualité ? Signalez-nous-la !