Zombieload : Une nouvelle vulnérabilité pour les puces Intel

Zombieload, c’est le nom poétiquement trouvé pour une nouvelle faille découverte sur les puces Intel que la marque produit depuis 2011. Comme pour Meltdown et Spectre, il s’agit d’une attaque qui permet de lire les données directement dans le processeur.

ZombieLoad affecte donc un grand nombre de processeurs Intel en activité. Il s’agit de tous ceux produits à partir de 2011. Si la faille ressemble à celle de Meltdown et Spectre, cette nouvelle vulnérabilité fonctionne de manière différente.

2019-05-15 12_38_57-minimachines.net

Puisque je vous parlais Pizza pour expliquer les failles Meltdown et Spectre, je vais recommencer ici. 

Notre pauvre Pizzaïolo a décidément bien des soucis. Si son business marche bien. Il a tout de même des concurrents assez jaloux qui aimeraient bien savoir ce qu’il vend. Comme, pour préserver ses secrets, il demande à ses clients de lui écrire leurs commandes sur des Post-It, les concurrents ne peuvent pas savoir exactement ce qu’il écoule.

Il enchaîne donc les commandes dans son camion de manière très secrète et donne les pizzas dans une boite opaque. Cependant, un concurrent plus malin que les autres veut absolument savoir ce qui sort de son four et décide donc de glisser de fausses commandes dans sa liste des vraies. Il dépose donc plein de post-it avec des pizzas incroyables qui arrivent au dessus de son plan de travail : Une pizza Fraise-Poulpe, une autre Fayots-Patate et plein d’autres du genre sont donc affichées dans sa liste de pizzas à préparer. Occupé qu’il est à enfourner ses pâtes les unes après les autres, notre Pizzaïolo ne lit pas le contenu des commandes au fur et à mesure. Elles arrivent à un rythme trop rapide. Seulement, au bout d’un moment, il n’a plus de place au dessus du plan de travail, tout est occupé par les commandes de pizzas pirates. Il colle donc les commandes suivantes ailleurs, là où elles pourront être lues par la clientèle. Et notre concurrent jaloux peut donc les lire et noter ce qui fonctionne. 

2019-05-15 12_39_34-minimachines.net

C’est exactement comme cela que fonctionne Zombieload. L’attaquant qui voudrait récupérer des infos dans votre machine en utilisant cette faille procéderait de la même manière en surchargeant votre processeur avec énormément de données que celui-ci ne pourrait pas interpréter. Afin d’éviter un plantage, la puce aurait alors recours à des solutions prévues par Intel dans ce cas de figure en délestant une partie des données. Les applications exécutées par le processeur ne sont pas censées pouvoir pouvoir lire autre chose que leurs propres données mais quatre failles matérielles rendent les éléments chargés dans le cœur du processeur accessibles lors de ce délestage… Un programme attaquant peut donc lire ces données qui transitent par le processeur comme notre concurrent jaloux peut lire les post-it de commandes de pizzas.

On parle de données qui sont consultées en direct, pas d’aller fouiller vos disques durs. Mais ces données peuvent être très sensibles : Mots de passe, codes secrets, mots précis, éléments dé navigation et même ce que votre machine affiche au sein d’une consultation web chiffrée de bout en bout. Tout le mécanisme est expliqué en détail sur zombieloadattack.com et sur cette note de Blog.

Il est donc possible de suivre l’historique de votre navigation, de savoir ce que vous recherchez en ligne et de transmettre ou stocker ces informations. On imagine l’impact que cela pourrait avoir entre les mains d’un gouvernement dictatorial par exemple.

Zombieload n’est pas une surprise pour Intel, les chercheurs ayant découvert cette faille ont contacté le fondeur il y a un mois pour qu’il puisse publier des correctifs et communiquer ses solutions à ses partenaires. Des mises à jour ont ainsi permis à différents constructeurs et développeurs de contrer ce type d’attaque. Apple, Microsoft et Google ont procédé à des distributions de ces patchs par les mises à jour habituelles. Vous ne devriez pas ressentir de perte de performances même si les patchs pourraient ralentir votre machine de 3% environ. 3% a ajouter aux pertes déjà subies par les patchs pour contrer Meltdown et Spectre.

Zombieload est une attaque complexe, les consommateurs particuliers n’ont a priori que peu de risque de se retrouver confronté à ce genre de faille. C’est cependant tout à fait possible théoriquement si vous ne protégez pas votre système avec les mises à jour adaptées. Le vrai problème concerne le professionnels. Entre les serveurs d’entreprise qui pourraient devenir des passoires d’informations et les serveurs gérant les données stockées dans les nuages, on imagine l’impact que cette faille pourrait avoir sur le secteur. Evidemment, les acteurs de ce marché, Google, Amazon & Co, ont rapidement rustiné leurs systèmes pour éviter toute fuite mais il est quasiment impossible de savoir si une telle attaque a pu être menée depuis la sortie de ces puces en 2011.

La principale conséquence des correctifs de microcode sera que, comme pour Spectre et Meltdown, les performances du processeur en seront affectées . Intel estime que, dans le pire des cas, les performances des appareils grand public pourraient être réduites de 3%.

13 commentaires sur ce sujet.
  • 15 mai 2019 - 14 h 39 min

    Sacré Pierre ! que de vertus pédagogiques tu possèdes ! Grâce à ton pizzaïolo, tu as su rendre intelligible cette cette problématique complexe!

    Répondre
  • 15 mai 2019 - 17 h 10 min

    C’est clair. Pour faire le kéké, s’il le faut je saurai expliquer maintenant, mais je dirais que c’est Pierre qui en est à l’origine. Rendons à césar ce qui appartient aux pizzaïolos

    Répondre
  • 15 mai 2019 - 17 h 21 min

    Je prendrais de la sauce piquante avec ma Pizza Fraise-Poulpe !

    Répondre
  • 15 mai 2019 - 21 h 55 min

    Parfois j’en viens a me demander si tout cela n’es pas là pour effrayer et quelques part relancé la vente de nouvelles machines.
    Franchement depuis 2011 il est trop tard pour s’en inquiéter, et puis si c’est pour ajouter un patch qui va en plus ralentir la machine comme les autres :/

    Répondre
  • 15 mai 2019 - 23 h 45 min

    @X3n0: Pour moi c’est une évidence. Tout comme la méchant DEL bleue qui nique les yeux… Comme par hasard, on le découvre/dévoile quand les nouveaux modèles sont disponibles. :/
    Je me pose aussi la question si ces failles n’était pas volontaires ou exploité par la NSA par exemple.

    Enfin, on peut voir le mal partout :p D’ailleurs je ne demande pourquoi mon PQ me gratte, c’est louche…

    Répondre
  • 16 mai 2019 - 4 h 09 min

    AMD les amis, AMD… Moins cher, et moins d’histoires. Une raison de plus qui me convainc de conseiller la gamme Ryzen à celles et ceux qui veulent renouveler leur matos (carte-mère comprise).

    Bref, je ne pense pas qu’un concurrent d’Intel aurait pu survivre dans le milieu pro avec une succession de failles comme celles-ci. OK, les ingés font du boulot pour corriger les failles, mais le problème est en amont, il est intrinsèque à l’architecture Intel, là où les “concurrents” (AMD, ARM) ont moins de failles confirmés, et selon les modèles. D’un point de vue sécu des données, Intel n’est pas fiable selon mon avis.

    Répondre
  • 16 mai 2019 - 6 h 42 min

    @prog-amateur: Je me mets a la place d’un méchant hacker qui veux pourrir un maximum de machines, pour trouver une faille ou créer un virus, mes efforts vont plus se concentrer sur Intel plutot que sur AMD, tout comme je le ferai avec Windows plutôt que linux…
    Si demain c’est AMD qui domine, c’est sûrement sur leur processeurs qu’apparaitront ce genre de problème, non?

    Ps: je dis ça mais je n’y connais pas grand chose lol

    Répondre
  • 16 mai 2019 - 8 h 17 min

    @prog-amateur: Je me dis qu’il est normal que ce genre de problème soit beaucoup plus présent chez Intel, tout comme les virus sur Windows, le but des hacker est développer une attaque de masse…. Si demain, AMD et linux étaient ultra dominants sur le marché (illusoir lol) c’est eux qui seraient victimes de failles ou virus, non?

    Répondre
  • 16 mai 2019 - 8 h 49 min

    ça me rappelle les recettes improbables de Gaston Lagaffe…

    Répondre
  • dja
    16 mai 2019 - 9 h 54 min

    @prog-amateur: Oui Intel se moque du monde, prix, pénurie, faible augmentation des perf cpu… ils comptent leurs sous depuis quelques années.
    Ensuite, AMD se mange des failles de sécu aussi.
    Pour leur défense, c’est cette plateforme x86-64, cisc, qui est pourrie par design. Depuis le temps, elle aurait du être enterrée quinze fois au profit de l’architecture risc… on peut féliciter Microsoft pour ca.
    Ca ne reste malgré tout que des failles locales et donc ce sont les hébergeurs de cloud ou mutualisé qui souffrent. Il n’y a pas vraiment d’intérêt pour des desktops ou des serveurs dédiés à patcher/mitiger ces failles avec la chute de perf qui va avec si l’environnement software est maitrisé.

    Pour revenir sur AMD, 100% de ton avis, tous nos derniers achats sont pour amd. Et cerise sur le gateau, le support de mémoire ECC est offert avec des puces desktop.
    Nous avons recu des cartes asrock rack X470D4U, 64Go de ram ECC, ryzen 2700x, IPMI… l’ensemble (CM,ram,proc) coutant le prix d’un simple processeur Xeon équivalent. Ca laisse réveur.
    Le marché domestique n’est pas en reste non plus, avec des asrock mini-itx B450 supportant aussi l’ECC de manière exemplaire.

    Répondre
  • 16 mai 2019 - 15 h 10 min

    Les attaques par débordement ont une longue liste de succès derrière elles.
    En voici une nouvelle.
    Il y a un peu plus de 20 ans c’était les premiers commutateurs (switches) qui en faisaient les frais en basculant en mode hub dés que la mémoire d’adresses MAC était pleine.

    db

    Répondre
  • to
    16 mai 2019 - 17 h 47 min

    C’est un peu comme le sketch de la chauve souris de Bigard, faut deja que le zombie il rentre dans le pc…

    Sinon, effectivement pour le cloud ou les intranets ca craint le boudin, y a des sysadmins qui doivent bien flipper.

    Répondre
  • 16 mai 2019 - 22 h 16 min

    Je ne pense pas qu’il y aurait autant de failles (et de si grosses) qui seraient trouvées chez AMD ou ARM si les parts de marché étaient inversées.

    Intel avait les CPU avec le meilleur IPC du marché. Cela s’obtient avec des optimisations complexes pour permettre d’exécuter un maximum d’instruction par cœur sans attendre le résultat d’autres opérations (ou la fin de la précédente) ou pour permettre de répartir les tâches sur les cœurs.
    Et ce type d’optimisation rend beaucoup moins fiable le fonctionnement puisque des instructions de processus différents sont “mélangés” au moment de leur exécution quitte à devoir annuler des opérations. Le principe étant d’occuper le CPU au lieu de le laisser attendre.

    Maintenant que ces vulnérabilités sont bien présentes et comprises, Intel est obligé de désactiver les optimisations et de faire baisser l’IPC. Ils vont finir par être rattrapé par les concurrents sur ce point.
    Ils en arrivent à ce point car ils sont au bout de ce que permet cette architecture et que c’est le moyen le moins cher pour continuer à progresser.

    Maintenant, il va leur falloir faire des changements plus importants sur l’architecture pour récupérer les performances perdues et les faire progresser. D’ailleurs, ils n’ont pas d’autres choix puisqu’ils n’ont plus beaucoup de marge de manœuvre au niveau des fréquences.

    Répondre
  • LAISSER UN COMMENTAIRE

    *

    *