Google détaille trois failles, qui ont leur site dédié : après Intel, ARM confirme être touché

Intel is not alone 235
Accès libre
image dediée
Crédits : AKodisinghe/iStock
Processeurs MàJ
David Legrand

Mise à jour : Le projet Zero de Google a détaillé les trois variantes de la faille qui a mené à la mise en place de KPTI et confirme certaines de nos informations, sans attendre la levée de l'embargo du 9 janvier. Elles sont désormais connues sous le nom de Meltdown et Spectre. Cette dernière semble spécialement problématique car exploitable via du JavaScript. AMD, ARM et Intel ont été prévenus dès le 1er juin. ARM a listé ses architectures concernées et publié un document technique détaillé. Un site et une vidéo ont été mis en ligne. Red Hat prévient de son côté que même des puces IBM sont concernées.

Une série de correctifs améliore la séparation entre les espaces mémoire du noyau Linux et de l'utilisateur. Elle semble surtout concerner les processeurs Intel et pourrait avoir un impact fort sur les performances. Les autres systèmes seraient également touchés.

Le monde de la sécurité s'interroge depuis quelques jours sur une série de patchs du noyau Linux prévus pour la version 4.15. Une série connue au départ sous le nom de KAISER, mais depuis renommée plus précisément Kernel page-table isolation (KPTI).

Du changement dans vos noyaux en raison d'une faille hardware

KPTI isole complètement l'espace mémoire du noyau de celui de l'utilisateur, plutôt que d'opter pour des adresses aléatoires (KASLR). Le tout est expliqué par LWN (voir ici ou ), la documentation officielle de la fonctionnalité (active par défaut mais optionnelle) étant accessible par là.

L'idée est de proposer une solution à différentes attaques sur l'approche KASLR, notamment celle publiée récemment par des chercheurs de l'université de Graz (Autriche), qui exploite des défaillances côté processeur. De quoi inciter les développeurs du noyau à déclarer tous les processeurs x86 « insecure » pour le moment, tout en laissant la porte ouverte à des exceptions le temps venu.

Outre Linux, des patchs doivent arriver pour les principaux systèmes d'exploitation, tels que Windows comme le rapporte le blog Python sweetness, l'un des premiers à couvrir l'affaire. Intel, qui a participé aux correctifs, semble directement concerné, AMD ayant de son côté indiqué ne pas être touché. 

Plusieurs rumeurs entourent pour le moment ces mises à jour, certains évoquant un embargo en cours sur une faille d'importance (peut être chez Xen). D'autres ont constaté qu'Azure a annoncé une maintenance de ses services pour le 10 janvier, contre le 5 janvier chez AWS, les deux pointant une mise à jour de sécurité.

En fin de matinée, OVH annonçait à travers le compte Twitter de son PDG que le patch allait être déployé dans les heures à venir. Les clients de l'offre mutualisée ne devraient pas rencontrer d'interruption, ceux sur du Public Cloud VPS vont devoir faire avec. De nouvelles images leur seront également proposées.

CPU x86 Insecure

Un impact important côté performance

Tout se passerait donc pour le mieux si cela ne risquait pas d'impacter assez durement les processeurs d'Intel. En effet, selon les premiers relevés, les effets de ce patch pourraient être dramatiques pour les performances du fondeur. 

Des pertes allant jusqu'à 35 % sont constatées par les premiers tests, qui semblent surtout concerner les usages de type serveur, des actions comme la compilation, etc. Selon Phoronix, les jeux ne seraient pas impactés.

On imagine néanmoins que des secteurs entiers risquent d'être touchés : sociétés de services en ligne, hébergeurs et autres fournisseurs de solution « Cloud ». On imagine d'ailleurs que des sociétés comme Shadow, qui reposent massivement sur de la virtualisation sous Linux de systèmes Windows, pourraient voir des effets assez importants dans certaines situations.

De nombreux points restent à éclaircir

Pour le moment, il est assez difficile de se faire une idée de l'impact réel, notamment du fait de l'absence de communication officielle, ce qui semble confirmer la théorie de l'embargo (mais nous sommes également le 3 janvier). Intel n'a ainsi pas encore réagi publiquement pour le moment. On ne sait donc pas si tous ses processeurs sont concernés ou non, et si les patchs en excluront certains, auront des impacts plus ou moins forts, etc.

En cas de confirmation, ce serait une mauvaise nouvelle de plus pour le constructeur qui a déjà fait face à de nombreuses failles dans son Management Engine ces derniers temps. Avec AMD préservé, c'est tout un écosystème qui pourrait être fortement bousculé. Ce, à quelques jours de l'ouverture du CES de Las Vegas...

On s'attend ainsi à ce qu'un vent de panique souffle sur le secteur, même en l'absence d'informations concrètes. De notre côté, nous avons bien entendu interrogé Intel et plusieurs de ses partenaires afin d'en savoir plus et de recueillir leur avis. Dès que nous aurons plus de détails à partager, nous reviendrons sur le sujet avec une analyse plus complète.

Dernière mise à jour le 04/01/2018 06:07:58

chargement
Chargement des commentaires...