A-t-on trouvé plus grave que Meltdown et Spectre ?
Début 2018, la révélation de ces deux failles affectant de nombreux processeurs avait agité le bocal de la sécurité informatique.
Leur découverte était le fruit d’un collectif de chercheurs issus d’universités et de sociétés technologiques.
Certains d’entre eux viennent de remettre le couvert avec une vulnérabilité qui semble ne toucher que des puces Intel.
Baptisée, selon ses variantes, ZombieLoad, Fallout ou encore RIDL, elle a fait l’objet de travaux coordonnés… mais pas d’une conclusion uniforme. Quand certains évoquent une faille très sévère, d’autres lui attribuent un niveau de criticité moyen, voire bas.
Le souci réside dans le mécanisme d’exécution spéculative, destiné à maximiser l’utilisation CPU. Il consiste à lancer des instructions de manière anticipée (typiquement, un saut conditionné à des valeurs non encore calculées).
Lorsque les prédictions se révèlent fausses, le processeur doit effectuer un retour en arrière.
Meltdown intervient à ce moment-là, pour permettre la récupération de données résidant en mémoire. ZombieLoad aussi, mais l’interception est faite au niveau des cœurs logiques des processeurs.
Chez Intel, l’implémentation de cette technologie se nomme Hyper-Threading. Elle permet d’optimiser l’utilisation du CPU en exécutant deux tâches en parallèle sur un même cœur physique.
ZombieLoad exploite le fait que le sous-système mémoire est partagé entre les cœurs logiques. Un programme peut, par ce biais, accéder aux données traitées par un autre programme résidant sur le même cœur physique.
La nature de la faille fait qu’elle touche l’ensemble des systèmes d’exploitation et des hyperviseurs. Les machines virtuelles n’apportent donc pas de protection. Il est même possible de passer outre les enclaves (régions de mémoire privées ; technologie Intel SGX).
Intel affirme que certains de ses processeurs récemment lancés embarquent un correctif. Le groupe américain assure que l’impact sur les performances est « relativement faible ». Une déclaration qui ne fait pas l’unanimité.
D’unanimité, il n’y a pas non plus chez les éditeurs de systèmes d’exploitation et d’hyperviseurs : tout le monde n’a pas encore publié les correctifs nécessaires.
Même désactiver la prise en charge de l’Hyper-Threading au niveau des logiciels ne suffit pas à obtenir une protection totale. Des données peuvent encore filtré entre l’espace noyau et l’espace utilisateur.
Parmi les démonstrations d’attaque rendues publiques, on notera celle qui permet de reconstituer les URL visitées par la victime ou encore de détecter des mots-clés qu’il saisit. La récupération se fait via un logiciel malveillant exécuté sur le même cœur physique que le navigateur ciblé.
Photo d’illustration © Intel
Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…
Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…