Intel et AMD : Une vulnérabilité supplémentaire chacun dans leurs CPU

• Print
• Twitter
• Linkedin

Une faille Intel…

Une nouvelle faille Intel fait couler beaucoup d’encre. Jugée « impossible à réparer » par certains experts, cette vulnérabilité dénommée « Curveball » permet aux cyberattaquants de compromettre les clés de chiffrement utilisées pour sécuriser l’intégralité de la plateforme. La faille se situe au niveau du processeur et de la ROM de la fonctionnalité Intel Converged Security and Management Engine (CSME). Au tout début du démarrage, les cyberattaquants peuvent profiter d’une erreur pour intercepter les clés et compromettre tout le système d’authentification et de sécurisation du démarrage à commencer par le processus qui authentifie le BIOS UEFI via Boot Guard ainsi que le processus qui émule un chip TPM virtuel.
Intel a publié un papier qui explique comment rendre la tâche plus complexe pour les attaquants, mais le fondeur n’a pas de solution totalement invulnérable à proposer.
Tous les processeurs Intel de moins de cinq ans sont affectés par ce bug à l’exception de la toute dernière génération de processeurs Intel Core i  (10Th Gen).
Le bug est grave, mais il l’est davantage pour du matériel grand public que professionnel. Car la plupart des PC d’entreprise disposent d’un vrai chip TPM pour sécuriser les clés de chiffrement et la vulnérabilité n’est pas applicable dans ce cas.

… et une faille AMD

Pas de quoi se réjouir pour AMD qui lui aussi est confronté à une vulnérabilité au cœur même de tous ses processeurs produits depuis 2011 ! Les chercheurs de l’université de Graz ont élaboré deux nouvelles techniques d’attaque pour surveiller les accès mémoires et récupérer des données comme des mots de passe ou des clés de chiffrement. Ces techniques exploitent une vulnérabilité dans la microarchitecture d’exécution prédictive des processeurs AMD. Autrement dit, cette faille dérive de la fameuse faille Spectre (découverte en 2018) et vont nécessiter des patchs logiciels qui auront, comme à chaque fois avec ces failles de design au cœur des mécanismes d’optimisation de l’exécution, un impact sur la performance des machines.