www.belgium.be Logo of the federal government
CPU
Alert

Référence: CERT.be Advisory #2018-001
Version: 2.0
Systèmes impactés: CPUs (Intel, AMD, Qualcomm), architectures: x86, x86_64, ARM
Type: CPU vulnérable aux attaques à canal lateral (side-channel attack)

Description

Deux nouvelles attaques basées sur les canaux latéraux (side-channel attack), baptisées Meltdown et Spectre, affectent les principales architectures CPU. Bien que le Spectre affecte les trois principaux fabricants de puces (Intel, AMD et ARM), AMD affirme que leurs processeurs ne sont pas impactés par Meltdown.

Pour atteindre de hautes performances, les processeurs modernes mettent en œuvre plusieurs techniques d'optimisation telles que l'exécution “out-of order” (utilisée dans Meltdown) ou la prédiction de branche (utilisée dans Spectre). Ces mécanismes ont des effets secondaires qui peuvent être exploités par les attaquants pour:

• Lire la mémoire du noyau normalement non-accessible depuis le mode utilisateur (Meltdown)
• accéder aux informations sur les autres processus, y compris au système d'exploitation hôte d'une machine virtuelle (Spectre).

Le problème vient des choix de conception matérielle, et toute solution devra se situer au niveau du système d'exploitation.

Systèmes impactés par Meltdown:

  • Les chercheurs ont réussi à exploiter les processeurs Intel. L’impact sur d'autres processeurs est actuellement inconnu ; rapport original n'écarte pas cette possibilité.
  • Les ordinateurs de bureau, les ordinateurs portables et les appareils portables équipés de CPU Intel sont tous concernés.

Systèmes impactés par Spectre

  • La plupart des appareils utilisant des processeurs Intel, AMD ou ARM A75 sont concernés

Risques

Pour les deux vulnérabilités, l'exploitation peut donner accès à des pages de mémoire non autorisées (niveau utilisateur et noyau). Pour les deux vulnérabilités, les systèmes les plus exposés sont les fournisseurs de cloud computing car ils présentent une surface d'attaque plus importante. Le risque pour le grand public est beaucoup plus faible.

Les chercheurs de la vulnérabilité de Spectre ont pu l'exploiter en utilisant du code Javascript. Ceci rend possible l'exploitation de Spectre au travers des navigateurs web.
Certains systèmes peuvent être vulnérables aux deux.

Résumé

Actuellement, les chercheurs ont identifié trois vulnérabilités :

  • CVE-2017-5715
  • CVE-2017-5753
  • CVE-2017-5754

Appareils impactés :

  • Serveurs
  • Postes de travail
  • Ordinateurs portables
  • Smartphones
  • Tablettes
  • Smart TVs
  • Appareils IoT
  • Tout autre appareil contenant les processeurs en question