Des chercheurs de l'EPFZ mettent en garde contre une dangereuse faille
Des chercheurs de l'Ecole polytechnique fédérale de Zurich (EPFZ) ont découvert une «grave faille de sécurité» dans le matériel informatique. La faille, appelée «Retbleed», concernerait les microprocesseurs des leaders du marché Intel et AMD.
En quoi consiste la faille?
Tous les systèmes d'exploitation disponibles dans le commerce et utilisant ces processeurs sont concernés, a fait savoir l'EPFZ mardi soir.
La faille de sécurité se produit dans les microprocesseurs qui exécutent les instructions d'un programme informatique et effectuent les calculs correspondants. Les unités centrales de calcul effectuent parfois des étapes qui raccourcissent le temps de calcul.
Selon les chercheurs de l'EPFZ, c'est justement là que réside le problème: ces étapes laisseraient des traces dans la mémoire, que les pirates pourraient exploiter «pour obtenir un accès non autorisé à n'importe quelle information dans le système», par exemple des codes de cryptage ou des mots de passe importants pour la sécurité.
Cela est particulièrement risqué dans les environnements de cloud computing, où plusieurs entreprises partagent des systèmes informatiques.
Qui est concerné?
Selon toute vraisemblance, les microprocesseurs Intel âgés de 3 à 6 ans ou les processeurs AMD âgés de 1 à 11 ans.
Comme l'écrit encore l'EPFZ, le Centre national de cybersécurité (NCSC) à Berne considère la vulnérabilité comme «grave», car les processeurs concernés sont utilisés dans le monde entier. Mardi, le centre a mis en ligne les numéros CVE des processeurs concernés (voir l'infobox ci-dessous).
Les chercheurs de l'EPFZ écrivent que les utilisateurs de PC devraient installer les dernières mises à jour du système d'exploitation. Et ceux qui ont des «secrets sur des machines virtuelles avec du matériel partagé (par exemple dans le cloud)» devraient être conscients du problème. Mais il n'est pas bon pour la santé de se faire trop de soucis. (dsc)
Quelles sont les prochaines étapes?
Les fabricants ont déjà pris les premières mesures pour combler la faille de sécurité, indique l'EPFZ. Comme il est d'usage dans de tels cas, les fabricants concernés ont d'abord été informés avant que la faille de sécurité ne soit publiée.
Les entreprises Microsoft, Oracle, Google, Linux, Intel, AMD et ARM auraient déjà travaillé sur des mesures de protection.
Qui a découvert la faille?
La faille de sécurité a été découverte par le doctorant Johannes Wikner et Kaveh Razavi, professeur de sécurité informatique, tous deux à l'EPFZ. En février, ils auraient apporté la preuve que Retbleed représentait un problème sérieux.
Dans un article spécialisé, les deux chercheurs ont examiné la première approche des fabricants Intel et AMD pour résoudre le problème.
Le Centre national de cybersécurité (NCSC) de Berne, en collaboration et en accord avec les chercheurs de l'EPFZ, a attribué à Retbleed les numéros CVE-
2022-29900 (pour les processeurs du fabricant AMD) et CVE-
2022-29901 (pour les processeurs du fabricant Intel).
(dsc)
Sources
- ethz.ch: «Spekulative Berechnungen öffnen eine Hintertür zum Informationsklau» (communiqué de presse)
- comsec.ethz.ch: Retbleed: Arbitrary Speculative Code Execution with Return Instructions (étude)
- heise.de: retbleed: CPU-Sicherheitslücke Spectre V2 nicht vollständig geschlossen
(dsc/aargauerzeitung.ch)