Rechercher sur TLD Google
Favoris   Démarrage   Envoyer   Imprimer   Moteur TLD   RSS


Accueil > Actualités > Vulnérabilité Hertzbleed découverte dans les processeurs x86 AMD et Intel

Vulnérabilité Hertzbleed découverte dans les processeurs x86 AMD et Intel

AMD et Intel émettent régulièrement des bulletins de sécurité concernant les nouvelles failles de sécurité découvertes en interne ou par des chercheurs tiers dans leurs produits et en particulier dans leurs processeurs. AMD a par exemple publié pas moins de quatre bulletins de sécurité au mois de mai qui alertent sur la découverte de plusieurs dizaines de vulnérabilités affectant aussi bien les CPU serveurs (EPYC) que les CPU clients (Ryzen). Intel n'est pas en reste avec des dizaines d'autres failles révélées ces dernières semaines dans différents composants matériels et logiciels (CPU Core/Xeon, panneau Killer Control Center, BIOS/UEFI des systèmes NUC, utilitaire XTU, firmware des SSD Optane, caméras RealSense...).

Comme si cela ne suffisait pas, un groupe de chercheurs vient d'annoncer avoir découvert une nouvelle méthode d'attaques par le canal latéral sur les CPU x86 modernes qui utilisent des fonctionnalités de cryptographie. Cette famille d'attaques est nommée Hertzbleed et un site web expliquant le mécanisme a même été mis en ligne même si le véritable exploit final ne sera présenté que durant la conférence sur la sécurité USENIX Security 2022 au mois d'août. En attendant, un pré-rapport issu de ces recherches est téléchargeable sous l'intitulé Hertzbleed : Turning Power Side-Channel Attacks Into Remote Timing Attacks on x86.

Pour résumer les choses, cette faille de sécurité Hertzbleed exploite la fonctionnalité d'ajustement dynamique de la fréquence et de la tension du processeur des systèmes modernes pour voler des clés cryptographiques sur des machines distantes qui ne sont donc plus sûres. Il est dès lors possible de faire divulger des informations à ces machines sans que personne ne s'en aperçoive.

Chez AMD, cette vulnérabilité Hertzbleed a pour référence CVE-2022-23823 alors qu'il s'agit de la référence CVE-2022-24436 pour les processeurs Intel même s'il s'agit bien de la même faille. D'après le bulletin de sécurité AMD-SB-1038, tous les processeurs AMD desktop et mobile basés sur la microarchitecture Zen+ et supérieure sont affectés à savoir les CPU Ryzen 2000 Series, Ryzen Threadripper 2000 Series et suivants. Même l'Athlon X4 et les CPU serveur EPYC sont touchés. Même chose chez Intel puisque tous les processeurs récents sont concernés à minima depuis la famille Core 8th Gen si l'on en croit les chercheurs qui ont fait des tests puisqu'Intel ne donne aucun renseignement de ce type dans son bulletin INTEL-SA-00698.

Les deux fabricants ne semblent toutefois pas affolés puisqu'ils considèrent cette faille de sécurité comme présentant un risque modéré et ni AMD ni Intel ne devraient proposer de correctif de sécurité via de nouveaux microcodes et BIOS par exemple ! Les deux géants expliquent en effet que ce sont aux développeurs d'applications utilisant la cryptographie d'adapter leurs pratiques et leur code pour prendre en considération cette faille Hertzbleed par exemple en mettant en place le masquage ou la rotation des clés.

Dans la pratique, en l'absence de correctif de la part des constructeurs, il est possible de se prémunir de ces failles en désactivant les technologies AMD Turbo Core/Precision Boost et Intel Turbo Boost dans le BIOS mais cela aura un impact négatif sur les performances puisque la fréquence sera bloquée à la fréquence de base du CPU sans augmenter automatiquement lorsque le système a besoin de plus de puissance. Pas sûr donc que ce soit une solution envisageable.

Actualité publiée par Julien Sambourg le jeudi 16 juin 2022 à 16:45
Il y a 2 commentaires sur cette actualité
Marques associées : AMD Intel
Catégories associées : Carte mère Processeur
Flux RSS des actualités TousLesDrivers.com



Actualités relatives
Annonces

Fichiers relatifs
Annonces

Dossiers relatifs
AMD Fusion for Gaming
AMD propose un nouvel outil logiciel pour optimiser les performances des configurations composées d'un processeur de la marque et d'une carte graphique ATI Radeon. Il s'agit de la première pierre au projet Fusion qui est si cher à AMD. Nous allons voir dans ce dossier dans quelle mesure cet utilitaire permet d'améliorer ou non les performances du système.

Les pilotes IDE VIA
Le constructeur VIA a souvent été critiqué pour la qualité de ses chipsets mais également pour celle de ses différents drivers. Il faut bien reconnaître qu'en ce qui concerne les pilotes IDE de VIA, c'est le flou le plus total pour l'utilisateur, essayons d'y voir plus clair.