Les processeurs Intel tombent en panne depuis 2011 ; mettez votre PC à niveau

Les processeurs d’Intel commercialisés depuis 2011 présentent une faille récemment découverte : appelée “ZombieLoad”, cette vulnérabilité permet d’accéder à des données secrètes telles que les mots de passe, les messages et les sites web visités. Intel a corrigé son microcode pour résoudre le problème ; tandis que Microsoft, Apple, Google et Amazon ont publié des mises à jour pour Windows, MacOS et les services en nuage.

Selon TechCrunch, ZombieLoad est composé de quatre bugs utilisés en même temps. En gros, un attaquant peut envoyer des données que le processeur ne peut pas comprendre ou traiter correctement, le forçant à demander l’aide du microcode de l’unité centrale pour éviter une défaillance.

Normalement, une application ne peut voir que son propre contenu. ZombieLoad brise cette barrière et fait fuir les données qui sont chargées par les cœurs des processeurs. Lorsque cela se produit, l’attaquant peut voir des données provenant d’autres applications : les chercheurs l’ont démontré avec l’historique du navigateur, mais il peut s’agir d’un mot de passe, d’un jeton d’accès ou d’un message privé.

Intel Xe-LP : plus de performances graphiques dans les ordinateurs portables, même consommation

Intel a publié des corrections pour le microcode de son processeur : cela permettra de nettoyer la mémoire tampon, d’éviter une panne de débordement de la mémoire tampon et d’empêcher que des données secrètes soient lues par un intrus. Les chercheurs ont découvert la panne il y a un mois et l’ont signalée à la société.

La liste des transformateurs concernés est énorme : 14 pages sont disponibles sur ce lien, dont Xeon, Core i3/i5/i7/i9, Pentium, Celeron et Atom from the Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake, Whiskey Lake, Cascade Lake et autres. Les processeurs AMD et ARM ne sont pas vulnérables.

Malheureusement, les corrections de microcodes peuvent affecter les performances, comme ce fut le cas dans les affaires Spectre et Meltdown. Selon Intel, la plupart des appareils grand public seront au pire 3 % plus lents, tandis que les centres de données peuvent avoir un impact allant jusqu’à 9 %. Ce chiffre peut être plus élevé si l’hyperthreading est désactivé ; dans ce cas, Apple mentionne jusqu’à 40% de baisse de performance.

IBM crée un disque dur qui stocke les données dans un seul atome

Effet de l’atténuation sur un Core i9-9900K (avec hyperthreading toujours activé) :

ZombieLoad profite d’un défaut de conception au lieu d’utiliser un code malveillant. Intel affirme que ses processeurs Core de 8e et 9e générations bénéficient d’une atténuation matérielle, tout comme la deuxième génération de Xeon Scalable. “Nous attendons de tous les futurs processeurs Intel qu’ils incluent des mesures d’atténuation matérielles pour remédier à ces vulnérabilités”, déclare la société.

Microsoft met à jour Windows et Apple corrige macOS

Les corrections pour ZombieLoad ont été distribuées à plusieurs entreprises :

Microsoft : toutes les versions de Windows prises en charge, y compris 7, 8.1, 10 et Server, sont mises à jour ce mardi (14) ;

Apple : le macOS Mojave a été mis à jour (10.14.5), ainsi que le Sierra et High Sierra, alors que les systèmes d’iOS et d’autres sociétés ne sont pas concernés ;

Google : Chrome OS est déjà protégé, y compris lors de l’exécution d’applications Android, tandis que les utilisateurs du navigateur Chrome doivent mettre à jour leur système d’exploitation pour appliquer l’atténuation ; les appareils équipés d’Android et d’un processeur Intel devront être mis à jour par le fabricant (Intel a abandonné ce marché il y a quelques années) ;

Canonical, Red Hat, SUSE, Oracle : ces sociétés ont mis à jour leurs distributions Linux respectives, y compris Ubuntu.

Facebook obtient la peine maximale au Royaume-Uni dans l'affaire Cambridge Analytica

En outre, les services d’informatique en nuage ont appliqué le correctif d’Intel à leurs serveurs, tels que Amazon AWS, Microsoft Azure et Google Cloud.