Processeurs Intel : ce « défaut de conception fondamental » qui perdure

Rénald Boulestin,
intel-faille-critique-processeur

Coup de massue : les processeurs 64 bits Intel de dernières générations (moins de 10 ans) seraient affectés par une faille critique que seuls des correctifs au niveau OS pourraient combler.

Les processeurs x86 64 bits signés Intel de la dernière décennie seraient affectés par un problème fondamental de sécurité lié au design des puces.

Selon le site média IT The Register, un problème au niveau même du silicium des puces ne pourrait être corrigé que par des patches des différents systèmes d’exploitation.

Il est question d’un « défaut de conception fondamental » qui est décrit comme une « fuite de mémoire du noyau ». Les éditeurs d’OS sont contraints et forcés de proposer fissa des correctifs pour combler la faille hardware.

Là où le bât blesse, c’est que ces correctifs vont se traduire par une baisse des performances comprise entre 5 % et jusqu’à 30 %, selon la tâche concernée et le modèle de processeur.

Cette faille, si elle n’est pas comblée, peut permettre à des programmes malveillants de lire les zones protégées de la mémoire du kernel. Des informations confidentielles et normalement protégées, telles que les mots de passe, sont ainsi potentiellement exposées.

Cette faille de sécurité accorde aux applications utilisateurs, telles que des applications de base de données ou du code JavaScript de pages Web, un certain niveau d’accès aux données de la mémoire protégée du noyau.

Aucune mise à jour du micrologiciel (firmware) n’est en mesure de pallier au problème. La balle est dans le camp des éditeurs de système d’exploitation.

Microsoft se prépare ainsi à publier des correctifs pour Windows dans une prochaine version de Patch Tuesday. Une mise à jour devant arriver dès la semaine prochaine.

Les récents correctifs apportés au système de mémoire virtuelle du noyau de Linux donnent des indices sur ce qui ne va pas et sur les solutions que les développeurs prévoient de mettre en œuvre dans les prochains jours.

Du côté de Linux, les développeurs ont ainsi opté pour une séparation complète de la mémoire du noyau d’un système des processus du système en utilisant l’isolation KPTI (Kernel Page Table Isolation).

Les correctifs KPTI déplacent le noyau des espaces d’adresses de mémoire virtuelle dans son propre espace d’adressage distinct.

Du côté d’Apple, les versions 64 bits de macOS sont également ouvertes à cette vulnérabilité.

De plus, au-delà des ordinateurs personnels, certains experts estiment que les services cloud tels que Amazon EC2, Microsoft Azure et Google Compute Engine sont affectés par le bogue et devront de ce fait être également mis à jour.

(Crédit photo : @Intel)