Les failles de sécurité dans les processeurs dévoilées au début de l’année 2018 continuent d’empoisonner l’existence d’Intel. Une nouvelle variante de Zombieload, faille de sécurité découverte il y a quelques mois, touche spécifiquement les processeurs Cascade Lake, la dernière génération de processeurs Intel pour les serveurs et ordinateurs de bureau.
C’est d’autant plus gênant que cette génération devait précisément combler ces failles des processeurs. Les chercheurs en sécurité ont toutefois réussi à prouver que cette génération souffrait toujours de failles qui permettaient de récupérer des informations sensibles et normalement protégées. Pour ne rien arranger, les mesures mises en place côté logiciel ne suffisent pas à protéger contre cette nouvelle variante.
Intel a été informé de cette variante dès le printemps, mais n’a pas réussi à totalement combler la faille à ce jour. Le fondeur a publié une mise à jour qui y répond en partie, mais reconnaît d’emblée que ce n’est pas une solution absolue. Ce qui n’est pas une surprise, on sait désormais que ces failles de sécurité sont si profondes dans l’architecture des processeurs modernes qu’elles obligent à choisir entre performances et sécurité :
Comme pour prouver à nouveau la complexité des processeurs modernes et des failles qui sont liées, une autre équipe de chercheurs a publié aujourd’hui la preuve qu’une autre faille que l’on pensait corrigée ne l’est pas totalement. Cette fois, il s’agit de RIDL, une faille qui repose comme toujours sur l’exécution spéculative des processeurs Intel et leurs faiblesses pour extraire des informations auxquelles l’utilisateur ne devrait pas avoir accès.
Intel avait publié une mise à jour, mais les chercheurs montrent que le correctif était incomplet. En guise de preuve, ils proposent notamment cette vidéo qui montre comment récupérer un mot de passe en clair en une trentaine de secondes sur une distribution Linux.