Pour gérer vos consentements :

Faille ZombieLoad : les processeurs Intel touchés à cœur

A-t-on trouvé plus grave que Meltdown et Spectre ?

Début 2018, la révélation de ces deux failles affectant de nombreux processeurs avait agité le bocal de la sécurité informatique.

Leur découverte était le fruit d’un collectif de chercheurs issus d’universités et de sociétés technologiques.

Certains d’entre eux viennent de remettre le couvert avec une vulnérabilité qui semble ne toucher que des puces Intel.

Baptisée, selon ses variantes, ZombieLoad, Fallout ou encore RIDL, elle a fait l’objet de travaux coordonnés… mais pas d’une conclusion uniforme. Quand certains évoquent une faille très sévère, d’autres lui attribuent un niveau de criticité moyen, voire bas.

Le souci réside dans le mécanisme d’exécution spéculative, destiné à maximiser l’utilisation CPU. Il consiste à lancer des instructions de manière anticipée (typiquement, un saut conditionné à des valeurs non encore calculées).

Lorsque les prédictions se révèlent fausses, le processeur doit effectuer un retour en arrière.

Meltdown intervient à ce moment-là,  pour permettre la récupération de données résidant en mémoire. ZombieLoad aussi, mais l’interception est faite au niveau des cœurs logiques des processeurs.

ZombieLoad ou la logique des cœurs

Chez Intel, l’implémentation de cette technologie se nomme Hyper-Threading. Elle permet d’optimiser l’utilisation du CPU en exécutant deux tâches en parallèle sur un même cœur physique.

ZombieLoad exploite le fait que le sous-système mémoire est partagé entre les cœurs logiques. Un programme peut, par ce biais, accéder aux données traitées par un autre programme résidant sur le même cœur physique.

La nature de la faille fait qu’elle touche l’ensemble des systèmes d’exploitation et des hyperviseurs. Les machines virtuelles n’apportent donc pas de protection. Il est même possible de passer outre les enclaves (régions de mémoire privées ; technologie Intel SGX).

Intel affirme que certains de ses processeurs récemment lancés embarquent un correctif. Le groupe américain assure que l’impact sur les performances est « relativement faible ». Une déclaration qui ne fait pas l’unanimité.

D’unanimité, il n’y a pas non plus chez les éditeurs de systèmes d’exploitation et d’hyperviseurs : tout le monde n’a pas encore publié les correctifs nécessaires.

Même désactiver la prise en charge de l’Hyper-Threading au niveau des logiciels ne suffit pas à obtenir une protection totale. Des données peuvent encore filtré entre l’espace noyau et l’espace utilisateur.

Parmi les démonstrations d’attaque rendues publiques, on notera celle qui permet de reconstituer les URL visitées par la victime ou encore de détecter des mots-clés qu’il saisit. La récupération se fait via un logiciel malveillant exécuté sur le même cœur physique que le navigateur ciblé.

Photo d’illustration © Intel

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago