La dernière génération de processeurs Intel est aussi affectée par une vulnérabilité qui touche une fonctionnalité-clé : l'exécution spéculative. Mais les parades arrivent.

Certains mécanismes utilisés par les processeurs pour travailler plus efficacement continuent de poser de vrais problèmes de sécurité. Le dernier exemple en date a été donné par Bitdefender, une entreprise roumaine spécialisée dans les antivirus. La société a mis au jour le 7 août une nouvelle vulnérabilité provoquée par « l’exécution spéculative » pour dérober des informations sensibles.

L’exécution spéculative fait référence aux opérations de calcul que les processeurs modernes font « par anticipation » sur des tâches qui n’ont pas encore vraiment eu lieu — en clair, les processeurs tentent de deviner les prochaines instructions. De cette façon, le PC gagne du temps sur les traitements si jamais ils surviennent effectivement. Dans le cas contraire, il les abandonne juste.

Des traces compromettantes

Le revers de la médaille, c’est que ce procédé peut exposer des données. « L’exécution spéculative peut laisser des traces dans le cache que les pirates peuvent utiliser pour voler des données en mémoire noyau, nécessitant des privilèges élevés », écrit l’éditeur. On peut donc trouver potentiellement des mots de passe, des conversations personnelles, des jetons d’authentification, des données de chiffrement, et ainsi de suite.

L’entreprise précise : « Cette attaque combine le système d’exécution spéculative d’instructions d’Intel et l’utilisation de ces instructions par les systèmes d’exploitation Windows ». Pour échapper à ce problème, s’il n’existe pas de patch, il faut soit se passer de l’exécution spéculative (alors même qu’elle offre des gains de performance notables), soit changer de matériel. Rien de pratique, en somme.

Nouvelles parades déployées

L’affaire est sérieuse : d’après Bitdefender, la faille affecte tous les processeurs Intel de dernière génération. Cependant, il n’y a pas nécessairement lieu de s’alarmer si votre PC en est équipé : l’éditeur européen a travaillé avec le fondeur américain pour mettre au point une parade. Il existe d’ores et déjà des correctifs et d’autres devraient suivre, car certains partenaires industriels continuent d’évaluer les risques.

Signe supplémentaire de la gravité de la découverte, Bitdefender et Intel ont gardé sous silence l’existence de cette vulnérabilité pendant plus d’un an. Ce n’est qu’à l’occasion de la conférence Black Hat aux USA, qui se tient jusqu’au 8 août à Las Vegas, que l’éditeur a pris la parole. On peut le comprendre : toutes les précédents mécanismes de défense inventés après les attaques Spectre et Meltdown étaient inopérants.

Il faut toutefois nuancer la portée du risque : les fuites d’information qui sont causées par l’exécution spéculation nécessitent qu’un attaquant ait connaissance de cette faille, mais aussi du type de processeur équipant l’ordinateur de sa cible. Enfin, il lui faut y avoir accès : toutes ces conditions suggèrent que ce n’est que sur une cible de haute valeur qu’une telle attaque serait tentée, et pas sur un individu lambda.