Apple corrige ZombieLoad, la nouvelle faille des processeurs Intel de tous les Mac

Mickaël Bazoge |

Quasiment tous les ordinateurs équipés d’un processeur Intel depuis 2011 sont concernés par la nouvelle faille de sécurité ZombieLoad. Cette vulnérabilité, qui comporte en fait quatre bugs, fait écho aux failles Spectre et Meltdown qui avaient elles aussi affecté de nombreuses puces produites par le fondeur. Cette fois cependant, seuls les processeurs Intel sont touchés, alors que Spectre visait également AMD et Arm.

ZombieLoad est une attaque par canal auxiliaire exploitant les techniques d’exécution spéculative. Celles-ci visent à accélérer les processeurs, qui tentent de deviner l’action à effectuer après une commande, en spéculant sur la nature de cette action.

De fait, ZombieLoad se rapproche de Spectre, puisqu’il s’agit de forcer le processeur à exécuter une commande qu’il ne ferait pas habituellement, et de récupérer ensuite les informations qui ne devraient pas être disponibles.

Cette vulnérabilité permet à un malandrin de récupérer l’historique de navigation web de sa victime, mais cela peut aller encore plus loin, par exemple siphonner des mots de passe et des tokens d’accès aux services web de l’utilisateur. Cette vulnérabilité, dont la référence est CVE-2018-12130, affecte non seulement les ordinateurs Intel, mais aussi les machines virtuelles présentes sur des serveurs.

Les chercheurs proposent sur le site web spécialement créé pour l’occasion le code du proof of concept ainsi qu’un document PDF expliquant par le menu ce dont il retourne. Intel, prévenu il y a un mois, a bouché la faille sur les processeurs vulnérables, à savoir ceux des gammes Xeon, Atom et Knights, ainsi que les puces Broadwell, Sandy Bridge, Skylake, Haswell, Kaby Lake, Coffee Lake, Whiskey Lake et Cascade Lake. Apple, Microsoft, Google et Mozilla ont (ou vont) proposer des correctifs.

À l’instar de Spectre et Meltdown, les correctifs sont susceptibles d’avoir un impact négatif sur les performances des processeurs : une dégradation pouvant aller jusqu’à 3% sur les ordinateurs grand public, jusqu’à 9% sur les serveurs. Étant donné que ni Intel, ni les chercheurs n’ont publié le code source permettant d’exploiter la faille, l’utilisateur lambda n’a normalement rien à craindre. Aucune attaque basée sur ZombieLoad n’a été rapportée.

Le correctif déjà livré par Apple

macOS 10.14.5, dont la version finale est disponible depuis hier, contient précisément un correctif contre ZombieLoad. Apple fournit également ce patch via les mises à jour de sécurité 2019-003 pour Sierra et High Sierra. La faille n’affecte pas les appareils iOS, ni l’Apple Watch.

Le correctif concerne Safari, désormais protégé pour l’exploitation de ZombieLoad via JavaScript ou la navigation sur un site malveillant. Apple relève l’absence d’impact sur les performances du navigateur, et conseille de télécharger des applications uniquement sur le Mac App Store, afin d’éviter l’installation d’un logiciel pouvant être exploité par ZombieLoad.

À la connaissance d’Apple, la faille n’a pas été utilisée par des malandrins. Les utilisateurs de Mac dans des milieux à hauts risques ou qui se servent de logiciels non certifiés par Apple ou le système ont la possibilité d’activer une réduction complète des risques en jouant du Terminal (toutes les infos sont disponibles sur cette note technique).

Cette opération ne peut toutefois être réalisée que sur un Mac sous Mojave, High Sierra ou Sierra, sur lesquels auront été installés au préalable macOS 10.14.5 ou les mises à jour de sécurité 2019-003. Il faut savoir que les performances des Mac sur lesquels cette mesure de réduction complète des risques aura été appliquée sont susceptibles d’être réduites jusqu’à 40%… L’impact le plus important se sentira sur les tâches exploitant intensivement le processeur.

Enfin, si le correctif livré par Apple sur Mojave, High Sierra et Sierra peut s’appliquer sur les Mac plus anciens (MacBook, MacBook Air, MacBook Pro, iMac, Mac mini et Mac Pro sortis entre 2009 et 2010), Intel ne fournit pas de mises à jour du microcode : les processeurs de ces ordinateurs ne sont en effet pas concernés par ZombieLoad.

avatar Almamida | 

Jusqu’à 40% d’impact sur les performances des processeurs??!
Mon MacBook Pro 2017 juste double cœur va manger cher...

avatar Mickaël Bazoge | 
Uniquement si tu mets en place la mesure de réduction supplémentaire, ceci dit.
avatar Almamida | 

@MickaëlBazoge

Je risque devoir la faire. Je code pas mal avec cette machine.

avatar ThonyF | 

Je pense pas que coder est un environnement a aux risques.
Il faut vraiment que tu sois une personne importante ou qui possède des données important pour que quelqu'un veuillent prendre tes données de cette façon.
Je pense que du fishing et un keylogger devrais suffire dans ton cas et si, il utilise ça c'est qu'il y a vraiment quelque chose sur ton ordinateur qui est intéressent.

avatar Ali Ibn Bachir Le Gros | 

Une attaque de masse pourrait tout à fait exploiter ces vulnérabilités en étant agnostique vis à vis des cibles si l'idée c'est de récolter un maximum d'informations de connexion et de données bancaires.

Un cheval de Troie basé sur la vulnérabilité du processeur en fait une arme de collecte d'informations à grande échelle redoutable. Pas besoin d'être une personnalité pour être victime.

avatar saoullabit | 

@ThonyF

Phishing (c’est pas pour troll)

avatar Marco787 | 

@ Almamida

Une fois que vous l'aurez fait, il serait utile d'avoir votre retour d'expérience.

avatar byte_order | 

@Mickaël Bazoge
> Uniquement si tu mets en place la mesure de réduction supplémentaire, ceci dit.

C'est pas exactement *complémentaire*.
La mesure mise en place par défaut s'applique uniquement au moteur Javascript de Safari.
Cette mesure est permanente.

La mesure de protection réelle, qui marche donc quelque soit l'application de l'utilisateur, c'est bien celle optionnelle, qu'Apple appele à juste titre "full mitigation".
Elle entraine la perte de l'HyperThreading, une latence supplémentaire dans chaque transition noyau / application, ce qui abouti à des pertes importantes de l'enveloppe de ressource CPU disponible.

Après, selon les usages, l'enveloppe, même amputée ainsi, peut rester largement suffisance.
Mais si vos usages flirtaient occasionnellement avec les limites de cette enveloppe, cela se verra assurément à la prochaine occasion, et pas qu'un peu.

avatar MrPaul30 | 

@Almamida

C’est si tu fais la manipulation

avatar pim | 

En même temps, 40 % de réduction, sur un processeur utilisé à 1 % de ses capacités la plupart du temps, ce n'est pas grand chose... J'exagère à peine : en compilant sans cesse, j'ai du mal à atteindre Peak Loaded qui dépasse 1,5.

avatar Almamida | 

@pim

Je ne sais pas quelle machine tu utilises mais je suis loin des 1% avec mon i5 double cœur.

avatar macinoe | 

Avec un raisonnement comme celui là, autant s'acheter un PC avec un processeur bas de gamme qui sera toujours utilisé à 1/20eme ou 1/30eme de ses possibilités.

avatar pocketalex | 

@macinoe

J'ai un iMac Pro au taf, mais là, je suis à Cannes, pas au taf

J'ai descendu une station de travail hackintosh en core i7 3770K, GTX970, 16 Go RAM / 256 Go SSD, mais elle est pas à jour sur l'OS, donc je peux pas installer CC 2019 dessus (pour le moment)

Du coup, je bosse avec .... Mon Macbook 12" de 2015

Au menu : pas mal de photoshop sur les assets photographes (de la photo bien HD) et énormément de rendus motion design pour des photos à animer pour les réseaux sociaux, et des shorts vidéos

C'est un peu plus lent, je dis pas, c'est un Macbook 12", pas un iMac Pro, mais .... pfffff ... pas tant que ça en fait. Je pense que je perds 30/40 min sur une journée de travail de 12h

Juste pour dire :)

avatar byte_order | 

@pocketalex
> C'est un peu plus lent, je dis pas, c'est un Macbook 12", pas un iMac Pro, mais .... pfffff ...
> pas tant que ça en fait. Je pense que je perds 30/40 min sur une journée de travail de 12h

Un -40% de productivité max sur ces 12h, cela va peut faire plus que seulement 30/40min, par contre.

avatar byte_order | 

@pim

y'a longtemps que le goulot d'étranglement d'un processus de compilation de code n'est plus situé dans le CPU. Ce sont les I/O, désormais.

avatar Slizz | 

Sa devient n’importe quoi, Intel j’espère finira par mettre la clés sous la porte.

Je ne souhaite de malheurs à personne mais là, on nous ponds des puces super puissante, pour au final ces deux dernières année avoir au moins 20% de puissance en moins avec les correctifs (et c’est pas finis)

Les personnes qui achète des PC ou MAC on se fait tous avoir, on paie le prix de quelque chose qui va être bridé, en fin de compte on se retrouve avec beaucoup moins de puissance que prévu, je trouve ça scandaleux.

avatar Marco787 | 

@ Slizz

"avoir au moins 20% de puissance en moins"

Vous l'avez constaté ? Vos app sont 20% plus lentes ? Vos pages Internet mettent 20% de plus à se charger ? etc.

avatar Slizz | 

@Marco787

Je suis d’accord sur le principe. Et c’est pour ça que j’ai rien dis sur les premières failles, maintenant oui j’utilise mon Mac de façon assez intensive (logiciel de modélisation 3D pour le taff et traitement photo/montage vidéo pour le plaisirs) mais c’est pas le sujet.

Le constat est que plus on avance plus il y en a et plus on voit des 3% par ci 6% par là, et un petit 5% en plus pour la route.

Je dis juste que si ça continu, on va finir avec 30% en moins et là oui on va les sentir passer. Qu’on utilise ou non énormément la puissance de son processeur, sa arrive à tout le monde de travailler de façon intensive un jour ou l’autre.

Et surtout on a payé pour une certaine puissance et pour ces processeurs.

avatar Marco787 | 

@ Slizz

Donc pour résumer, vous n'avez en fait constaté aucune baisse de puissance...

avatar Slizz | 

@Marco787

Pour constater, le constat est qu’il y a bien une baisse de puissance qu’elle soit constaté ou non, et qu’il y a un prix payé pour cette puissance initiale.

Sérieusement vous achetez une voiture de 180 chevaux, on vous bride à 90chx mais vous constatez rien pendant un an parce que vous faite de la ville.

Le jour où vous allez reprendre l’autoroute vous allez vraiment dire « bof c’est rien quand je suis en ville ça passe » ?

Non, vous avez payé pour 180 chevaux pas pour moins, alors les problèmes de ci ou ça sa vous regarde pas vous voulez la puissance que vous avez payé.

Après si sa vous dérange pas... Chacun a sa façon de se faire entuber, je suis le genre de personne a ne pas me laisser marcher dessus, peut être que vous vous en fichez vous.

avatar Marco787 | 

@ Slizz

"le constat est qu’il y a bien une baisse de puissance qu’elle soit constaté ou non, "

Je ne suis pas sûr de comprendre : une baisse de puissance qui n'est pas constatée ? Mais dans ce cas, comment pouvez-vous dire qu'il y a une baisse ?

"je suis le genre de personne a ne pas me laisser marcher dessus, peut être que vous vous en fichez vous."
Vous êtes quelque peu contradictoire il me semble : vous avez de l'informatique. L'informatique personnelle est buguée (cette faille n'est qu'un exemple parmi tant d'autres), et le se sera encore pour longtemps. Donc vous achetez, conservez et utilisez des produits par définition bugués... Et vous dites que vous ne voulez pas vous faire avoir ? Si c'était le cas, ne devriez-vous pas n'avoir aucun produit informatique ?

avatar Marco787 | 

@ Slizz

"Sérieusement vous achetez une voiture de 180 chevaux, on vous bride à 90chx"

Votre comparaison est intéressante, mais pourriez-vous expliquer comment elle s'applique ici, car cela n'est pas clair pour moi.

Quand vous achetez une voiture de 180 chx, 1) cette puissance fait partie du contrat de vente, de manière claire, explicite et légale, et 2) cette puissance est quantifiée par cette valeur objective et mesurable.

Or vous n'avez pas acheté un processeur à Intel, mais un ordi à Apple. Où est le document ou autre élément contractuel qui indique que vous avez droit à une certaine puissance (quantifiée, précise) de CPU ? Pouvez-vous donner un lien avec un exemple ?
Et 2), comment cette puissance de CPU est mesurée au juste ? Quel est l'indicateur ?

(Apple ne fournit même pas le nom du modèle des CPUs. Apple ne s'engage sur aucune puissance chiffrée.)

avatar kafy28 | 

@Marco787

Ah donc si pas d’impacts on peut faire ce qu’on veut ?

Si je vol quelqu’un mais que ça lui change rien à son niveau de vie, c’est pas grave c’est ça ?

avatar Marco787 | 

@ kafy28

Le sujet n'est pas là... (Votre comparaison n'est pas à propos, pour plusieurs raisons.)

Le sujet est l'utilisateur a-t-il constaté une baisse de performance de 20% ou pas. Si aucune baisse n'est constatée ou ne s'applique, il n'y a par définition aucun problème.

avatar LolYangccool | 

Pas d'accord non plus.
Quand j'achète un objet et qu'il m'est vendu un certain prix, je veux ce pour quoi j'ai payé. C'est bien normal quand même et c'est la moindre des choses !
Qu'on l'utilise à 20 ou 90% de ses possibilités c'est pas le problème d'Intel et ça ne regarde que l'utilisateur. Le débat n'est même là. Le problème c'est que si je paye, on me donne ce pour quoi j'ai payé, point. Ça va pas plus loin.
S'il y a 40% de réduction de performance sur le CPU, je veux qu'on me remise 40% du prix du CPU. Que j'utilise ou pas ces 40% de performances, on s'en fou, c'est pas le sujet.

Pages

CONNEXION UTILISATEUR