Intel : deux failles critiques bientôt corrigées
Les processeurs Core et Xeon d'Intel vont bénéficier d'un correctif, pour la troisième fois en un an. Comme quoi en matière d'informatique, le risque zéro et la sécurité parfaite n'existent pas.
Prévenu depuis le mois de juin 2018 de l’existence de deux failles par les chercheurs, Intel a traîné des pieds avant de pouvoir les corriger. Appelé “Zombieload” ou “RIDL” selon les équipes de recherche, ces failles de type MDS (Microarchitectural Data Sampling) n’ont pu être corrigé par les différents correctifs majeurs publiés en mai et novembre 2019. Il restait possible de les exploiter, ce qui n’a guère plus aux lanceurs d’alerte : “L’ingénierie de la sécurité chez Intel (ou plutôt son absence) continue de fonctionner de la même manière. Ces problèmes ne sont pas triviaux. Mais après dix-huit mois, ils s’attendent toujours à ce que les chercheurs assemblent des preuves de concept de chaque petite variation de l’attaque pour eux ? C’est incroyable. Nous ne connaissons pas le fonctionnement interne de l’équipe d’Intel. Mais depuis l’extérieur ce n’est pas fameux.”
18 mois après l’alerte, Intel réagit
Ces mots écrits par Cristiano Giuffrida, un des chercheurs de l’université Vrije d’Amsterdam, à WIRED, qui rapporte l’affaire, dénonce le laissez-faire d’Intel. Le premier type de faille désigné sous l’appellation “L1DES” pour L1 data eviction sampling ou CacheOut par les chercheurs de l’Université du Michigan, ne fonctionne qu’avec les processeurs Intel vendu avant le quatrième trimestre 2018, ce qui représente malgré tout plusieurs centaines de millions de modèles, soit largement plus que ceux distribués depuis. La faille permet de corrompre des informations stockées dans la mémoire cache de niveau 1 du processeur à l’aide d’un logiciel, puis de les réinjecter — le processeur n’y voit que du feu.
Intel minimise les risques
Intel a évalué la faille et lui a attribué une note de 6,5/10 sur l’échelle des risques, ce que des chercheurs perçoivent comme une minimisation de problème. Les failles Spectre et Meltdown, très critiques, avaient reçu la même notation. Malgré tout, la possibilité que ces faille soient exploitées restent faibles, notamment car elles ne peuvent l’être à distance et donc à travers un navigateur web. Intel devrait déployer un correctif dans les semaines qui viennent.