La découverte de derniers exploits Linux et Windows utilisant la faille Spectre début mars 2021 était manifestement de mauvaise augure. Fin de semaine dernière, des chercheurs en sécurité des universités de Virginie et de Californie ont ainsi découvert un vecteur d'attaque complémentaire à Spectre exposant des puces Intel et AMD à des compromissions.
Depuis la révélation de la faille Spectre en 2018, les fabricants et designers de puces du monde entier ont travaillé d'arrache-pied pour proposer de très nombreux correctifs afin d'empêcher le vol de données via le tristement célèbre vecteur d'attaque d'exécution spéculative. Un deuxième vient donc d'être mis à jour via l'instruction micro-op cache (uop) que l'on retrouve aussi bien dans les puces Intel qu'AMD, respectivement depuis 2011 et 2017. L'instruction micro-op soulage le processeur dans ses tâches de calcul en stockant des commandes simples et en lui permettant de les récupérer rapidement au travers du processus d'exécution spéculative. " Des milliards d'ordinateurs et d'autres appareils à travers le monde sont tout aussi vulnérables aujourd'hui qu'ils l'étaient lorsque Spectre a été annoncé pour la première fois ", préviennent les chercheurs.
Des correctifs impactant de façon très importante la performance système
D'après l'étude menée, le mécanisme de défense LFENCE mis au point par Intel pour lutter contre la faille Spectre s'avère dans ce cas de figure inefficace. Et ce n'est pas tout, puisque les chercheurs estiment que la réalisation d'un correctif sera cette fois-ci plus difficile avec des incidences sur les performances systèmes bien plus importantes. " Les correctifs qui désactivent micro-op cache ou interrompent l'exécution spéculative sur du matériel ancien annuleraient efficacement les innovations de performances critiques de la plupart des processeurs Intel et AMD modernes, et cela n'est tout simplement pas faisable ", avertit le chercheur en sécurité Xida Ren.
Intel et AMD ont été prévenus de la découverte des chercheurs en sécurité qui espèrent une collaboration active entre les acteurs du monde académique et des industriels du secteur comme cela avait été le cas pour Spectre. Les résultats de cette étude seront détaillés en juin prochain lors de la prochaine (web)conférence annuelle de l'ISCA en juin prochain.