Une faille de sécurité de dix ans dans les processeurs Intel

Nicolas Furno |

Une grosse faille de sécurité a été découverte et elle concerne un composant que l’on retrouve dans tous les ordinateurs : le processeur. Tous les modèles x86-64 conçus par Intel depuis une dizaine d’années sont concernés par cette faille et comme il s’agit d’un problème matériel, il faudra attendre une nouvelle génération de processeurs pour la combler totalement.

Un processeur Intel. (Image Michael Saechang (CC BY-ND 2.0)) Cliquer pour agrandir

En attendant, faute de mieux, les systèmes d’exploitation devront tous être mis à jour. Une nouvelle version de Windows est attendue la semaine prochaine avec un correctif et le noyau Linux est d’ores et déjà corrigé en version 4.15. On attend encore des nouvelles d’Apple, mais le noyau de macOS devra, lui aussi, être corrigé. Puisque les autres acteurs travaillent sur le problème depuis quelques mois, on imagine que le système d’exploitation des Mac sera corrigé rapidement.

[MàJ 3/01/2018 19h14] : la dernière version en cours de macOS High Sierra corrige déjà la faille de sécurité (lire : Apple a déjà corrigé la faille Intel dans High Sierra).

Le problème, c’est que cette correction logicielle a un impact sur les performances. En moyenne, on peut s’attendre à une baisse de 5 % de la vitesse, mais dans certains cas plus rares, la chute peut atteindre 30 %. Ce n’est pas l’idéal, mais malheureusement il ne devrait pas y avoir mieux tant qu’Intel ne corrige pas le problème matériel. Et encore, il faudra changer d’ordinateur pour en bénéficier.

Le problème : un accès possible aux données du noyau

Les détails précis concernant cette faille de sécurité ne sont pas encore disponibles. Pour éviter toute utilisation abusive avant sa correction, le travail a été mené en toute discrétion, y compris pour le noyau Linux qui est pourtant open source. Dans ce cas, les commentaires explicatifs sont encore masqués et ils seront affichés à la levée de l’embargo, prévue a priori pour le courant de la semaine.

Un commentaire incomplet dans le code source du noyau Linux. Cliquer pour agrandir

En attendant, on a une idée générale de l’origine de la faille, puisque l’on sait ce qui a été effectué côté logiciel pour la combler. The Register a été le premier site grand public à dévoiler l’existence de cette faille et il donne quelques explications techniques. Autant le dire, le problème devient très vite très complexe et nous n’allons pas nous lancer dans un compte rendu détaillé.

Pour résumer, la faille permet d’accéder dans la mémoire aux emplacements réservés au kernel, le noyau qui communique directement avec le processeur. Ces données utilisées à un très bas niveau ne peuvent pas être chiffrées, alors qu'elles sont pourtant très sensibles. Si vous saisissez un mot de passe, par exemple, il se retrouvera à un moment ou à un autre dans cette mémoire, lisible par n’importe qui pouvant y accéder.

Pour protéger ces données sensibles, le plus simple est de les séparer totalement des informations utilisées par le système d’exploitation, ces dernières pouvant être protégées par un chiffrement. Cette pratique a un inconvénient toutefois : à chaque fois que le processeur doit intervenir, il y a une série d’opérations supplémentaires pour passer de l’espace mémoire « user » (celui du système d’exploitation) à l’espace « kernel » (celui du noyau).

Pour améliorer les performances, tous les systèmes utilisent une deuxième solution : un seul espace mémoire pour les deux, mais avec une distribution aléatoire des données réservées au noyau. Même s’il est théoriquement possible d’accéder aux données kernel depuis le système d’exploitation, leur positionnement aléatoire empêche concrètement tout accès et utilisation malveillante.

La solution : isoler totalement le noyau

Pour une raison que l’on ignore encore, cette mesure de protection n’est pas fiable sur les processeurs Intel produits depuis ces dix dernières années. Des chercheurs en sécurité autrichiens ont prouvé en octobre dernier qu’un programme malveillant pouvait deviner où les données kernel étaient stockées, ce qui lui permet ensuite d’y accéder et potentiellement de les exploiter. Un simple script JavaScript exécuté par un navigateur web pourrait exploiter cette faille.

Dans cette mise à jour du noyau Linux du mois dernier, ce commentaire : « Présume pour le moment que TOUS les processeurs x86 ne sont pas sûrs. » Cliquer pour agrandir

Comme on le disait plus tôt, c’est une faille de sécurité physique et Intel ne va pas rappeler tous les processeurs vendus depuis dix ans pour les remplacer. L’entreprise corrigera probablement la faille dès la prochaine génération de processeurs, mais tout le parc informatique actuel a besoin d’une solution.

Celle proposée par ces chercheurs reste ainsi du côté du logiciel et consiste à isoler totalement le noyau dans l’espace mémoire du processeur. Nommé KPTI (pour Kernel page-table isolation), le correctif consiste à séparer les données en deux blocs et limite strictement l’accès aux données du noyau. De ce fait, le positionnement des données kernel est connu, mais le système d’exploitation ne peut jamais y accéder.

Cela fonctionne parfaitement sur le plan de la sécurité, mais au prix d’une baisse des performances à attendre. De combien sera-t-elle concrètement pour les utilisateurs ? C’est encore difficile à dire, mais le noyau Linux pourra fonctionner sans la nouvelle mesure de sécurité pour ceux qui ont besoin absolument des performances et pour qui la faille ne pose pas de problème. On peut imaginer que ce soit le cas sur un ordinateur de calcul, fonctionnant exclusivement sans connexion à internet, par exemple.

Un impact surtout pour les serveurs

Ajoutons que les plus gros problèmes de performance concernent des cas assez spécifiques, comme la compilation ou encore certains usages serveurs. Pour les ordinateurs grand public, l’impact devrait rester plus limité et peut-être même invisible. Les processeurs les plus anciens devraient toutefois être les plus concernés, il faudra voir sur les ordinateurs ce que cela signifie pour les plus vieux modèles encore en utilisation.

Ce sera une autre histoire dans le monde des serveurs, où les processeurs Intel sont massivement utilisés et où la faille peut prendre une importance plus grande. Amazon comme Microsoft ont prévu de grosses maintenances en fin de semaine ou début de semaine prochaine pour mettre à jour AWS et Azure respectivement, leurs deux solutions de cloud. Cela passera par un redémarrage, une étape très lourde dans ce secteur, puisqu’elle nécessite une organisation coordonnée très précise pour éviter les interruptions de service.

Ces services sont utilisés par de très nombreux et gros acteurs et ils ont tout intérêt à corriger la faille au plus vite. Ce ne sont pas les seuls toutefois et tous leurs concurrents devront également se mettre à jour, et vite.

[MàJ 3/01/2018 13h57] : OVH, le plus gros hébergeur européen, a annoncé que le noyau Linux corrigé sera disponible dans les prochaines heures. Une partie des serveurs seront redémarrés pour appliquer le correctif, probablement dimanche prochain pour limiter l'impact négatif.

Steve Jobs accueille Paul Otellini, patron d’Intel à l’époque, sur la scène de Macworld pour annoncer la transition des Mac, début 2006. Cliquer pour agrandir

Pour en revenir aux ordinateurs, l'intégralité des Mac Intel devrait être concernée a priori, sauf peut-être les tout premiers modèles. Apple n’a pas encore réagi publiquement, on ne sait pas si seuls les modèles encore compatibles avec les dernières versions de macOS seront corrigés, ou bien si l’on pourra compter sur un correctif plus global.

Une mauvaise nouvelle pour Intel

Même si cette faille va être corrigée rapidement et même si on s’assure qu’elle n’a jamais été exploitée auparavant — ce qui est impossible, surtout avec une faille aussi vieille —, elle aura malgré tout un impact indéniable sur Intel. Le fondeur est en situation de quasi-monopole depuis des années et ce problème de conception va peut-être peser lourd sur cette réussite.

Y a-t-il un problème de contrôle qualité chez Intel ? Cet article semble indiquer que l’entreprise a réduit le nombre de contrôles et vérifications effectués en interne sur chaque processeur commercialisé. Son auteur, ingénieur chez Microsoft, a rassemblé plusieurs témoignages d’anciens employés qui montrent que la priorité a changé au fil des années, passant de la qualité à la rapidité pour sortir de nouveaux modèles et mieux concurrencer ARM, notamment sur le marché du grand public.

Cliquer pour agrandir

Puisque la faille a dix ans et puisque l’on ne connaît pas encore tout le détail, on ne sait pas exactement ce qui s’est passé. On ne sait pas non plus s’il y a un lien avec la vente massive d’actions Intel de la part de Brian Krzanich, CEO de l’entreprise. Il a vendu 245 743 actions pour un petit peu moins de 10 millions d’euros et n’a gardé que le strict minimum pour rester à sa position. Tout cela a eu lieu le 19 décembre, alors que la faille était déjà bien connue en interne. Cela pourrait n’être qu’un hasard, mais cela tombe mal rétrospectivement.

Dans l’affaire, il y a malgré tout un acteur qui se réjouit. AMD a signé en 2017 son grand retour aux processeurs grand public et l’entreprise se félicite d’être totalement épargnée par la faille, ses puces étant conçues différemment. Reste à savoir si le concurrent historique d’Intel en profitera vraiment… c’est une autre histoire.

Si le sujet vous intéresse, vous trouverez encore davantage d’explications techniques dans cet article ou encore dans celui-ci, où son auteur essaie de deviner l’explication technique derrière la faille.

avatar Rodri31 | 

L'année 2018 commence bien pour Intel! ?

En espérant qu'Apple propose un correctif sur les anciennes versions et pas que High Sierra/Sierra. ?

avatar reborn | 

@Rodri31

Pas grave, les plus ancienne machine pourront etre upgradé car sous Jobs c’était mieux.

Ah moins que.. ?

Troll off

avatar iPop | 

@Rodri31

Pour tout le monde tu veux dire

avatar C1rc3@0rc | 

@Rodri31

Disons que 2018 commence comme 2017 a fini...

Ceci dit la faille dont il est question est evidemment un backdoor de plus dans les passoire que sont les processeurs de la societe. Et vu ce que permet cette backdoor elle existe forcement dans d'autres processeurs, les agences a 3 lettres qui l'ont imposé aux societes occidentales ne se seront pas arretees a 95% des PC de la planete et la moitie des serveurs et une bonne partie des calculateur, sans exiger le meme acces pour les smartphones...

Pour le coup on va avoir en effet une grosse amelioration des performances des futurs processeurs... puisque les machines n'en disposant pas seront ralenties jusqu'a 30%... C'est une nouvelle forme d'evolution: la degradation retroactive...

Edward, si tu nous lit, merci encore pour tes revelations qui ont permis a tant de chercheurs en securité d'aller triffouiller ce que l'on pensait "bétonné"...avant

Edit: voila...

avatar ovea | 

Depuis le temps qu'on rabâche qu'un contrôle utilisateur du noyau est un impératif d'innovation …

avatar vache folle | 

@ovea

Très bien pour celui qui veut mettre les mains dans le cambouis. Pour l’utilisateur lambda, j’ai plus qu’un doute

avatar ovea | 

@vache folle

Oui, enfin non ! Définitivement justement ;)P

L'idée c'est d'assumer un peut plus l'aire de la machine virtuel et de rendre au noyau son utilité en 'faisan remonter les plumes exercées vers des bibliothèques systèmes dans l'espace utilisateur afin d'avoir enfin une gestion des erreurs dignes de se nom, ce qui est extrêmement difficile lorsque une partie du système – à des fins d'optimisation, s'incruste dans le noyau qui ne devrait être là que pour l'accès aux ressources processeurs.

Après, si tel est l'innovation qu'on attend tous, il convient d'être extrêmement vigilant pour que cela soit enfin extrêmement contraignant lors de la conception, afin que la sécurité de l'utilisateur ne soit pas détournée par les sociétés civiles ou privés … en mettant en place des tiers de confiance indépendants

Et puis parlons dans ce cas d'utilisateurs β (béta) qui deviendrait enfin λ (lambda), car il ne l'a jamais été jusqu'à présent

avatar adn95 | 

Après les IPhones... Les mac vont être ralentis également... ?

avatar iRobot 5S | 

@adn95

Tu crois qu'ils ne le sont pas ? ?
Un Mac qui fonctionnait colles sur des roulettes sur Mountain Lion est à la peine sur Hugh Sierra.

Alors oui ce c'est peut être pas (que) la batterie, mais les OS de plus en plus gourmands ou alors les composants qui vieillissent ou encore la mémoire qui se remplit de plus en plus. Mais les Macs sont eux aussi ralentis.

avatar Madalvée | 

-30 % de perfs sur le nouvel iMac Pro, ça me mettrait le blues…

avatar comboss | 

Pauvre Intel, ils sont pas dans le caca

avatar daxr1der | 

C’est prétexte pour ralentir, j’ai des processeurs depuis l’intel core 2 duo, jamais rencontré de soucis.

avatar Ali Ibn Bachir Le Gros | 

« jamais rencontré de soucis. » Tu le saurais comment si tu avais « rencontré des soucis » ? Tu les définis comment « les soucis » ?

Si un Javascript malveillant profite de cette faille et fouille dans la mémoire de ton ordinateur pour en extraire des données, tu le saurais comment ?

avatar Liena | 

Plus d’économies, moins de contrôles, plus de rentabilité... au détriment de la sécurité.
Le triptyque perdant !

avatar glxprod | 

Une bonne "excuse" pour lancer des Mac ARM ?

avatar McDO | 

La c'est pas 5% de puissance que tu vas perdre mais 900%

avatar vache folle | 

@McDO

Et le 200x, vous pouvez le démontrer?

Parce que balancer des chiffres sans les étayer...

avatar reborn | 

@glxprod

Ou des macs avec processeurs AMD ?

avatar JagerGab | 

Ha bah voilà c’est bon on entre dans une nouvelle ère. On bride sans gènes les performances sur une faille.

Obsolescence ? Nan je rigole
Maintenant on est dans un mood de service et non plus d’hardware.

avatar vince29 | 

avec Linux tu auras le choix. Si tu es sûr de ton environnement tu pourras faire tourner un kernel non patché

avatar melaure | 

Au boulot nos serveurs sont des Power (IBM et Bull). Bon courage aux pigeons d'Intel et merci Apple d'avoir abandonné cette merveille qu'était le PowerPC, juste pour pouvoir faire de fric. Le fric, toujours le fric qui prime, jamais la techno ...

avatar vache folle | 

@melaure

Je ne vois ce qu’Apple vient faire la dedans. Ils ont fait un choix de puce, mais le problème n’est pas de leur côté.

Y’a rien à leur reprocher.

avatar ovea | 

@vache folle

Heu ! Non il a raison là : c'est diaboliquement hyper malin … regarde il fait des pompes sur un bras, alors que toi tu te balade en robe — heuuu, pardon : en aube ;)P
(((évocation du dialogue de Kronk dans Kuzco, sous l'emprise de ses deux démons)))

avatar MacMarc | 

Faire du fric...
Ou simplement avancer, à un moment où le PowerPC faisait du sur-place...

avatar ifabG | 

Moi je dis : obsolescence programmée !!
?

avatar Malouin | 

@ifabG

Beuh non... Avec Steve cela ne serait pas arrivé !

avatar daffyduuck | 

Et personne pour faire une class action ou au minimum râler contre Microsoft et Apple pour réduire exprès les performances processeur sans avertir explicitement les utilisateurs de la baisse des performances ? J'ai du mal à comprendre.

avatar pommedor | 

Pourquoi râler auprès de tiers qui on a rajouter une couche logiciel pour palier à un problème que le concepteur ne peut pas corriger ? C'est pas MS ou apple qui ralentissent les traitement mais le correctif qui repassent derrière le cpu qui branle rien.

avatar poco | 

Ce n'est que le début de l'histoire. Si tout ce que dit cet article se révèle exact, je pense que des gros acteurs vont demander des dédomagements plus que des particuliers.

Imagine tous les datas center (qui plus est avec l'explosion du Coud) remplis de milliers de PC Intel Inside (OVH, Amazon, Apple, Microsoft, Google…).

avatar Bigdidou | 

@poco

Les problèmes de sécurité sont partout, c’est une vraie gangrène.
Des jouets et objets connectés, des dispositifs médicaux connectés dont on peut modifier les réglages à distance, c’est une horreur.
L’année dernière a été marquée par des ransomwares catastrophiques, qui ont par exemple bloqué le système de soins britanniques. Et il parait que ce n’était qu’un coup d’essai.
Il y a vraiment une réflexion de fond à mener, et commencer à réfléchir à isoler un grand nombre de dispositifs.

avatar Wund3r | 

La faille sera t'elle comblée sur les nouveaux processeurs sortant de l'usine (Coffee Lake) ou seulement à partir de la 9ème génération ?

avatar Nicolas Furno | 

@Wund3r

Tant qu’on ne sait pas exactement ce qu’il en retourne, c’est difficile à dire. Mais la faille étant connue depuis octobre seulement, il faudra attendre la 9e à mon avis.

avatar reborn | 

@nicolasf

Donc en gros il y a une couille dans l’ASLR ? ?

avatar Nicolas Furno | 

@ reborn :

Sans doute, entre autre.

C'est encore très flou sur ce qui se passe dans les processeurs, j'imagine qu'on en saura plus dans la semaine.

avatar françois bayrou | 

Apparemment oui.
Le pire, c'est que le SIP de OSX est totalement inutile dans ce cas de figure :(

avatar niclet | 

Enfin! Y est temps qu’on passe à autre chose..

avatar scanmb (non vérifié) | 

Pourra-t-on faire remplacer son processeur en AppleStore pour 29€ comme les batteries ?
Et demander une participation à Intel ?

Mode troll off

avatar cecemf | 

Ça serait Apple qui aurait une telle faille ça serait partout à la TV aux journaux, les classe action law suit volerai de tout coin est la pour Intel?!

avatar Bigdidou | 

@cecemf

« ça serait partout à la TV aux journaux, les classe action law suit volerai de tout coin est la pour Intel?! »

Attends un peu, je pense que ça va y être.
Si c’est exploitable par un simple javascript contenu dans une page web, c’est juste monstrueux.

avatar sachouba | 

@cecemf :
Bof, sur macOS, quand on peut contourner le mot de passe admin en tapant "root", quand le mot de passe s'affiche au lieu de l'aide de mot de passe, quand l'ensemble des mots de passe du trousseau sont visibles en clair, on n'en entend pas parler dans les médias généralistes.

Il ne faut pas être parano comme ça !

avatar poco | 

C'est une industrie entière qui au cours des 15-20 dernières années a amassé des fortunes considérables mais qui n'a pas pris la mesure des enjeux sécuritaires. Un seul moto le $$$

Pendant ce temps des industries laborieuses comme l'aéronautique par exemple permettent à des millions de personnes de voyager en toute sécurité dans le monde chaque année. Mais il est vrai que les marges ne sont pas les mêmes au final que celles engendrées par Intel, Apple, Microsof etc…

avatar ovea | 

@poco

Puisqu'on en est à parler d'aéro-pneumatique, effectivement l'idée intéressante serait de dire de ne jamais faire confiance à un processeur dès qu'on veut avoir une expérience temps réel qui permet de prendre des décisions d'intérêt, il me semble — de l'utilisation du doigt mouillé.

Il faut considérer que la première décision serait d'avoir enfin un vrai canal de communication avec le processeur en considérant qu'il fournit des ressources dont il faut connaître à tout instant la fiabilité.
Bref, de la nécessité de pouvoir infirmer les sources … du genre :
Remonter à la batterie quand mon interface déconne pour finalement réaliser qu'à chaque mise à jour sytème ce problème se reproduit, … en quelque sorte .

L'expérience utilisateur, de fait ;)P

avatar LittleBigFrancois | 

Justement, quid de l’iMac pro et son enclave sécurisée ? Rien à voir ?

avatar misterbrown | 

Très intéressant ! Passionnant comment un géant peut mettre en danger le Monde.

Personnellement je ne ferai pas de maj car la sécurité de mon mac portable n'est pas si importante par rapport à 5, 10 ou 30%. De perte.
Mais du côté des serveurs et des entreprises de Cloud ça doit flipper grave.

En tout cas, longue vie à AMD !

avatar Madalvée | 

Bon c'est très bien tout ça : je devais changer de Mac. Mon pactole va grandir en attendant les nouveaux processeurs.

avatar Paquito06 | 

“On ne sait pas non plus s’il y a un lien avec la vente massive d’actions Intel de la part de Brian Krzanich, CEO de l’entreprise. Il a vendu 245 743 actions pour un petit peu moins de 10 millions d’euros et n’a gardé que le strict minimum pour rester à sa position. Tout cela a eu lieu le 19 décembre, alors que la faille était déjà bien connue en interne. Cela ne pourrait être qu’un hasard, mais cela tombe mal rétrospectivement.”

J’crois la SEC regarde deja.
C’est dingue en ce debut d’annee toutes ces failles deja revelees. Et ca date pas d’hier. Elles auront raison de nous ?

avatar Bouba | 

Vivement un patch pour snow Leopard ;-)

avatar adixya | 

Tiens je viens de lire que le patron d’intel vient de revendre toutes ses actions un peu avant la news !

avatar thebarty | 

Bon, ne cherchez plus. C’est la faute de Johnny Ive, à vouloir faire des processeurs tjs plus fins et soudés !
Ah ben non, pas cette fois.

(J’attends avec impatience que l’un des trolls habituels vienne oser cette corrélation...)

avatar françois bayrou | 

C'est bizarre, pas un mot de C1rc3@0rc sur un sujet pareil
Il a fait un malaise ? Quelqu'un peut aller voir si tout va bien ?

Pages

CONNEXION UTILISATEUR