Intel a récemment révélé Downfall, une vulnérabilité de sécurité qui affecte plusieurs générations de processeurs Intel, dont certains étaient autrefois les meilleurs processeurs du marché. Le fabricant de puces a déployé un microcode de niveau logiciel mis à jour avec un correctif pour la faille. Cependant, cela a provoqué des alarmes car il existe un impact potentiel sur les performances allant jusqu’à 50 % sur les charges de travail AVX2 et AVX-512 impliquant l’instruction Gather.
En bref, Downfall (CVE-2022-40982) est associé à la fonction d’optimisation de la mémoire dans les processeurs Intel. Downfall exploite l’instruction Gather, qui accélère le processeur où les puces Intel récupèrent les données dispersées à différents endroits de la mémoire. L’instruction Gather expose par inadvertance les registres matériels internes au logiciel, permettant à ce dernier d’accéder aux données conservées par d’autres logiciels. La chute affecte les processeurs Intel grand public et serveur, allant de la microarchitecture Skylake à la microarchitecture Rocket Lake. Par conséquent, vous êtes probablement concerné, sauf si vous possédez l’un des processeurs les plus récents d’Intel, tels que Alder Lake, Raptor Lake ou Sapphire Rapids. Intel a dressé une longue liste de toutes les puces concernées.
La principale préoccupation est de savoir comment l’atténuation affectera les performances des processeurs Intel. La principale publication Linux Phoronix a évalué l’impact des atténuations de Downfall sur Linux. Le média a testé une paire de processeurs Xeon Platinum 8380 (Ice Lake), une puce Xeon Gold 6226R (Cascade Lake) et une partie Core i7-1165G7 (Tiger Lake). Phoronix a utilisé divers progiciels du monde réel qui font partie du logiciel Intel oneAPI.
Les deux Xeon Platinum 8380 étaient environ 6% plus lents dans OpenVKL 1.3.1. Avec OSPRay 2.12, Phoronix a enregistré des performances atteignant jusqu’à 34 %. Les atténuations ont entraîné des diminutions significatives des charges de travail de l’IA, telles que Neural Magic DeepSparse 1.5, Tencent NCNN et QMCPACK, avec des réductions allant jusqu’à 17 %.
Les résultats du benchmark Xeon Gold 6226R ont révélé une détérioration des performances similaire. La puce Cascade Lake a perdu jusqu’à 33 % dans OSPRay 2.12 et jusqu’à 20 % dans Neural Magic DeepSparse 1.5.
En ce qui concerne le Core i7-1165G7, Phoronix n’a exécuté que trois tests de performance, mais ils étaient suffisants pour montrer la dégradation des performances due aux atténuations de Downfall. Par exemple, le Core i7-1165G7 offrait des performances inférieures de 11 % dans OpenVLK 1.3.1. Sur OSPRay 2.12, les atténuations ont réduit de 19 % à 39 % les performances du Core i7-1165G7.
La bonne nouvelle de l’ensemble initial de résultats de Phoronix est que la baisse des performances due à l’atténuation de Downfall était inférieure aux 50 % de surcharge prévus par Intel. Cependant, la mauvaise nouvelle est que la pénalité de performance est toujours importante. Les instructions AVX ne se limitent pas non plus aux tests de charge de travail AI ou HPC. Vous pouvez les trouver dans d’autres charges de travail, telles que l’encodage ou le transcodage vidéo. Logiquement, il serait intéressant de voir quelles charges de travail sont impactées négativement par les atténuations de Downfall. D’après les tests préliminaires de Phoronix, les charges de travail HPC sont les plus affectées.
La mise à jour du microcode n’est pas obligatoire. Si vous souhaitez désactiver l’atténuation, Intel propose un mécanisme de désactivation pour restaurer les performances de votre processeur dans les charges de travail à forte vectorisation. Ensuite, il y a le débat sur la complexité de mener à bien une attaque Downfall. L’exploit semble être un exploit difficile dans l’ensemble, mais en fin de compte, cela dépend si vous accordez plus d’importance à votre sécurité qu’aux performances ou vice versa.