Vidéo : les processeurs Intel touchés par une nouvelle faille LVI
Publié le 13/03/2020 - Source : Tom's Hardware
Régulièrement, des chercheurs découvrent des vulnérabilités affectant les processeurs Intel. Tout récemment, des membres de Positive Technologies ont par exemple trouvé une faille irrémédiable touchant les processeurs Intel de ces cinq dernières années. Désormais, c’est au tour d’une faille basée sur l’exécution spéculative et qui touche le LVI (Load Value Injection) de faire parler d’elle. Elle concerne notamment tous les processeurs Core, depuis Ivy Bridge jusqu’à Comet Lake, soit de la troisième à la dixième génération. Bitdefender la qualifie de « particulièrement dévastatrice » pour les environnements de travail en réseau. Cette faille permet le piratage des données transitant par l’Intel SGX.
Elle utilise les mêmes vulnérabilités que Meltdown mais serait impossible à corriger totalement de manière logicielle. De plus, l’atténuation ne serait pas sans conséquence sur les performances. Selon des modifications expérimentales, cela ralentirait entre « 2x et 19x » la vitesse de calcul. En outre, les chercheurs affirment que l’attaque est possible via JavaScript, même s’ils n’ont pas testé ce vecteur d’attaque. Ils précisent toutefois que la vulnérabilité est extrêmement difficile à exploiter et qu’elle ne constitue donc pas une menace imminente pour la majorité des utilisateurs.
Pour Intel, la faille est trop complexe à exploiter pour être un réel danger
D’ailleurs, c’est aussi l’argument avancé par Intel. La société précise que « en raison de la complexité à mettre en œuvre de telles attaques […] Intel ne pense pas que la LVI soit une méthode praticable sur les systèmes du monde réel […]. De nouvelles directives et de nouveaux outils d’atténuation pour la LVI sont disponibles dès maintenant et fonctionnent conjointement avec les mesures d’atténuation précédemment publiées. Tout ceci réduit de manière substantielle la surface d’attaque globale ».
Vous pouvez accéder à plus d’informations via les liens ci-dessus et sur GitHub.