De nouvelles failles de sécurité dans les processeurs Intel.
Une équipe de chercheurs en sécurité aurait découvert un total de huit nouvelles vulnérabilités de classe Spectre dans les processeurs Intel. Celles-ci affectent également un petit nombre de processeurs ARM et pourraient avoir un impact sur l’architecture des processeurs AMD.
Surnommés Spectre-Next Generation, ou Spectre-NG, les détails partiels des vulnérabilités ont d’abord été divulgués aux journalistes du magazine informatique allemand Heise, qui prétend qu’Intel a classé quatre des nouvelles vulnérabilités comme « à haut risque » et les quatre autres comme « moyennes ».
Les nouvelles failles du CPU proviendraient du même problème de conception qui a causé la faille originale de Spectre, mais le rapport prétend que l’une des failles nouvellement découvertes permet aux attaquants ayant accès à une machine virtuelle (VM) de cibler facilement le système hôte, ce qui le rend potentiellement plus menaçant que la vulnérabilité originale de Spectre.
« Un pirate pourrait attaquer les VMs d’autres clients fonctionnant sur le même serveur. Les mots de passe et autres clés de sécurité sont des cibles très recherchées sur les clouds et sont gravement menacés par cette lacune », peut-on lire dans le rapport. « La vulnérabilité Spectre-NG susmentionnée peut être exploitée et exportée facilement entre différents systèmes. Les fournisseurs de services cloud comme Amazon ou Cloudflare et, bien sûr, leurs clients sont particulièrement touchés ».
Si vous n’êtes pas au courant, le type Spectre, qui a été signalé plus tôt cette année, est une faille de sécurité des processeurs qui repose sur une attaque du moteur d’exécution spéculative, permettant à un programme malveillant d’y lire des informations sensibles, comme les mots de passe, les clés de cryptage ou les données du noyau.
Le site allemand n’a pas divulgué le nom des chercheurs en sécurité (ou de l’équipe/société) qui ont signalé ces failles à Intel, mais a révélé que l’une des faiblesses a été découverte par un chercheur en sécurité du Projet Zéro de Google.
Le site prétend également que le chercheur en sécurité de Google a signalé la faille aux fabricants de puces il y a presque 88 jours – ce qui indique que le chercheur pourrait révéler les détails d’au moins une faille le 7 mai, lorsque la fenêtre de divulgation de 90 jours sera fermée, soit la veille du jour des correctifs hebdomadaire Windows.
La divulgation responsable des vulnérabilités de Spectre NG aux fournisseurs est certainement une bonne pratique, mais il semble que les chercheurs, qui ont découvert la nouvelle série de failles de la classe Spectre, évitent que leurs noms sortent tôt – peut-être pour éviter des critiques médiatiques semblables à celle à laquelle sont confrontés les laboratoires CTS après avoir divulgué des détails partiels des failles d’AMD avec un site Web dédié, de beaux graphiques et des vidéos.
La réponse d’Intel
Interrogé par Intel sur les nouvelles découvertes, le géant de la fabrication de puces fournit la déclaration suivante, qui ne confirme ni ne nie l’existence des vulnérabilités de Spectre-NG :
« Protéger les données de nos clients et assurer la sécurité de nos produits sont des priorités critiques pour nous. Nous travaillons régulièrement en étroite collaboration avec les clients, les partenaires, les autres fabricants de puces et les chercheurs pour comprendre et atténuer les problèmes identifiés, et une partie de ce processus implique la réservation de blocs de numéros CVE ». « Nous croyons fermement à la valeur d’une divulgation coordonnée et nous partagerons des détails supplémentaires sur tout problème potentiel au fur et à mesure que nous finaliserons les mesures d’atténuation. En tant que meilleure pratique, nous continuons d’encourager tout le monde à maintenir leurs systèmes à jour. »
Correctifs de sécurité
Les vulnérabilités de Spectre-NG affecteraient les processeurs Intel, et également certains processeurs ARM. L’impact sur les processeurs AMD reste à confirmer.
Selon le site allemand, Intel a déjà reconnu les nouvelles vulnérabilités de Spectre-NG et prévoit de publier des correctifs de sécurité prochainement – l’un en mai et le second est actuellement prévu pour août.
Microsoft prévoit également de corriger les problèmes en publiant un correctif de sécurité avec les mises à jour de Windows dans les mois à venir.
Cependant, on ne sait pas encore si l’application de nouveaux correctifs aurait une fois de plus un impact sur les performances des dispositifs vulnérables, tout comme ce qui s’est passé avec les vulnérabilités originales de Spectre et Meltdown plus tôt cette année.
L’article en allemand disponible ici.
