Les attaques « ZombiLoad », « Fallout » et « Ridl » permettent d’accéder aux données traitées par un puce Intel indépendamment des privilèges d’accès. Et donc d’exfiltrer des informations sensibles.
Les chercheurs qui avaient découvert les fameuses failles Meltdown et Spectre viennent de remettre le couvert avec « ZombieLoad », une faille d’une nouveau type sur les processeurs Intel. Similaire à Meltdown, elle permet à un processus malveillant d’accéder en temps réel aux données traitées par le cœur de calcul physique sur lequel il est exécuté, et cela, quels que soient les niveaux de privilèges. Il peut ainsi accéder aux données d’un processus ou d’une machine virtuelle qui s’exécuteraient sur le même matériel. Il peut même accéder aux données d’une zone d’exécution sécurisée Intel SGX.
Techniquement, cette attaque repose sur un mauvais design dans la gestion des données chargées en mémoire tampon (« load buffer »). Il peut arriver qu’un chargement de données provoque une erreur et génère des opérations erronées qui seront annulées par la suite (« transient operations »). L’attaque ZombieLoad permet de faire fuiter ces données provisoires. D’après les chercheurs, tous les processeurs construits depuis 2011 sont impactés par cette vulnérabilité. A titre d’exemple, les chercheurs ont réalisé une vidéo où l’on voit le processus malveillant récupérer en temps réel des données de navigation d’une personne utilisant Tor Browser dans une machine virtuelle.
Mais ce n’est pas tout. Deux autres groupes de chercheurs ont trouvé, en parallèle, des failles du même type. Baptisées « Fallout » et « Ridl », elles permettent de faire fuiter des données sensibles de manière similaire, en s’appuyant sur les défaillances d’autres espaces de mémoire d’un processeur Intel (« load port », « store buffer », « uncacheable memory »). Là encore, des vidéos de démonstration sont disponibles.
Il faut mettre à jour son système d’exploitation
Sur son site web, Intel a résumé cette funeste situation par quatre failles de sécurité listées sur son site web (CVE-2018-121226, CVE-2018-12127, CVE-2018-12130 et CVE-2019-11091). Pour être comblées, elles nécessitent des mises à jour du microcode des processeurs. Pour les modèles les plus récents, les mises à jour sont d’ores et déjà disponibles et seront, dans la grande majorité des cas, déployées par une mise à jour du système d’exploitation. Certaines mises à jour sont encore en cours de développement. Enfin, certains anciens modèles de processeurs ne seront pas patchés. Intel a mis en ligne sur son site web la liste des processeursimpactés.
Apple, Google et Microsoft ont d’ores et déjà répercuté ces correctifs dans des patchs qu’il suffira d’installer pour être en sécurité. Cela ne concerne évidemment que les équipements sous Intel, comme les MacBook, les Chromebook ou les PC Windows. Dans leur grande majorité, les smartphones, les tablettes et les montres connectées ne se sont pas concernés. Interrogé par TechCrunch, un porte-parole d’Intel estime que ces correctifs vont diminuer les performances des terminaux grand public d’au plus 3 %. Dans les datacenters, cette baisse pourrait aller jusqu’à 9 %. — Cet article a été modifié le 16 mai pour ajouter des informations sur les vairantes Fallout et Ridl.
Sources : CPU.fail