Une faille majeure découverte dans les processeurs Intel

Un défaut de conception des puces Intel ouvre une faille de sécurité permettant d’accéder aux données du kernel. Les correctifs sont en cours de déploiement, mais ont impliqué de revoir le fonctionnement des processeurs : des ralentissements sont à attendre.

 

Un défaut de conception affecte les processeurs Intel x86-64 fabriqués ces dix dernières années. Selon The Register, ce problème au niveau de la mémoire tampon de la puce ouvre une faille méchamment critique dans les machines équipées par le fondeur. D’autant que la vulnérabilité ne peut pas être corrigée par une simple mise à jour du microcode.

« Elle doit être corrigée dans le logiciel au niveau de l’OS, ou par l’achat d’un nouveau processeur sans le défaut de conception » expliquent nos confrères. Les équipes de la fondation Linux ont d’ores et déjà publié des correctifs, quand Microsoft proposera son patch mardi prochain. OVH, AWS et d’autres fournisseurs de services d’hébergement ont averti qu’ils procéderaient au déploiement des correctifs sur leurs infrastructures dans les prochains jours. D’autres OS, macOS 64 bits par exemple, devront également être mis à jour

Une très vilaine faille

Car la correction de cette vulnérabilité n’est pas sans conséquences. Les détails techniques du défaut de conception sont pour l’heure sous embargo. Mais The Register livre quelques sérieuses pistes quant à sa nature. Car la solution consiste à « séparer complètement la mémoire du noyau des processus utilisateur en utilisant ce qu’on appelle Kernel Page Table Isolation, ou KPTI ».

Les correctifs vont « déplacer » le kernel vers un espace de la mémoire totalement séparé et isolé des processus utilisateurs. Ce qui implique qu’auparavant, « pour faire la transition du mode utilisateur au mode kernel et revenir au mode utilisateur aussi rapidement et efficacement que possible, le kernel est présent dans tous les espaces d’adresses de mémoire virtuelle de tous les processus, bien qu’il soit invisible pour ces programmes ».

Cacher le kernel ≠ isoler le kernel

Ainsi, la faille peut être exploitée pour récupérer la masse d’informations sensibles contenues dans le kernel ou pour exploiter plus facilement d’autres vulnérabilités. Elle peut être utilisée afin de déterminer où dans la mémoire le kernel a placé son code et ses données et complètement compromettre une machine.

Or la fonction KTPI va, comme son nom l’indique, isoler le kernel plutôt que de l’avoir un peu partout en mémoire, hors de vue mais bien là. En conséquence, les appels système devront basculer entre deux espaces d’adressage bien distincts, ce qui force le processeur à « vider les données mises en cache et à recharger les informations de la mémoire ». Conclusion : les patches vont ralentir les machines. Aucun benchmark n’est sorti à ce jour mais The Register annonce des tâches entre 5 et 30% plus lentes.

Source L’Informaticien.