Quasiment tous les ordinateurs équipés d’un processeur Intel depuis 2011 sont concernés par la nouvelle faille de sécurité ZombieLoad. Cette vulnérabilité, qui comporte en fait quatre bugs, fait écho aux failles Spectre et Meltdown qui avaient elles aussi affecté de nombreuses puces produites par le fondeur. Cette fois cependant, seuls les processeurs Intel sont touchés, alors que Spectre visait également AMD et Arm.
ZombieLoad est une attaque par canal auxiliaire exploitant les techniques d’exécution spéculative. Celles-ci visent à accélérer les processeurs, qui tentent de deviner l’action à effectuer après une commande, en spéculant sur la nature de cette action.
De fait, ZombieLoad se rapproche de Spectre, puisqu’il s’agit de forcer le processeur à exécuter une commande qu’il ne ferait pas habituellement, et de récupérer ensuite les informations qui ne devraient pas être disponibles.
Cette vulnérabilité permet à un malandrin de récupérer l’historique de navigation web de sa victime, mais cela peut aller encore plus loin, par exemple siphonner des mots de passe et des tokens d’accès aux services web de l’utilisateur. Cette vulnérabilité, dont la référence est CVE-2018-12130, affecte non seulement les ordinateurs Intel, mais aussi les machines virtuelles présentes sur des serveurs.
Les chercheurs proposent sur le site web spécialement créé pour l’occasion le code du proof of concept ainsi qu’un document PDF expliquant par le menu ce dont il retourne. Intel, prévenu il y a un mois, a bouché la faille sur les processeurs vulnérables, à savoir ceux des gammes Xeon, Atom et Knights, ainsi que les puces Broadwell, Sandy Bridge, Skylake, Haswell, Kaby Lake, Coffee Lake, Whiskey Lake et Cascade Lake. Apple, Microsoft, Google et Mozilla ont (ou vont) proposer des correctifs.
À l’instar de Spectre et Meltdown, les correctifs sont susceptibles d’avoir un impact négatif sur les performances des processeurs : une dégradation pouvant aller jusqu’à 3% sur les ordinateurs grand public, jusqu’à 9% sur les serveurs. Étant donné que ni Intel, ni les chercheurs n’ont publié le code source permettant d’exploiter la faille, l’utilisateur lambda n’a normalement rien à craindre. Aucune attaque basée sur ZombieLoad n’a été rapportée.