Il y a quelques jours, les puces Intel et ARM se sont révélées affectées par une nouvelle vulnérabilité Spectre. Surnommés Spectre V2, les processeurs AMD étaient censés éviter le problème, mais de nouvelles recherches montrent que les efforts d’atténuation d’AMD sont insuffisants.
L’équipe de chercheurs de la Vrije Universiteit Amsterdam (via Tom’s Hardware) aux Pays-Bas a présenté une nouvelle attaque Spectre qui contourne les mesures d’atténuation matérielles mises en place par Intel et ARM au cours des dernières années. On pensait qu’AMD était immunisé, ou du moins pas significativement impacté, mais Intel a depuis révélé que le chipset d’AMD pouvait présenter des vulnérabilités. Depuis, AMD a publié un avis de sécurité qui confirme sa vulnérabilité.
Spectre est une vulnérabilité de sécurité qui affecte les microprocesseurs modernes qui effectuent une prédiction de branche spéculative. Un effet secondaire de ceci est la possibilité de révéler des données aux attaquants. Bien que Spectre lui-même remonte à 2017, des vulnérabilités similaires sont présentes depuis de nombreuses années.
À partir de 2018, des mesures de sécurité ont été mises en place, notamment des mises à jour du système d’exploitation, des atténuations du microcode du BIOS et, éventuellement, des correctifs matériels. Cependant, il semble que ces mesures n’aient pas suffi à empêcher d’autres exploits.
Astuces et conseils
Comment acheter une carte graphique: conseils sur l’achat d’une carte graphique dans le paysage stérile du silicium en 2022
« Les atténuations [implemented by Intel and Arm] fonctionnent comme prévu, mais la surface d’attaque résiduelle est beaucoup plus importante que ce que les fournisseurs supposaient à l’origine », ont expliqué les chercheurs.
S’il est peu probable que les utilisateurs finaux soient victimes d’une attaque Spectre, il est toujours conseillé d’installer les différentes mises à jour de protection dès qu’elles sont disponibles, même si elles peuvent entraîner une perte de performances. Heureusement, de nombreuses applications peuvent être codées avec peu ou pas de perte de performances, mais le code exécuté via un navigateur Web doit être exécuté avec des mesures d’atténuation en place.
Ainsi, bien que les nouvelles de nouvelles vulnérabilités ne soient pas les bienvenues, il est important de ne pas paniquer. On croit que ces risques sont rarement, voire jamais exploités. Les acteurs malveillants utilisent des méthodes plus simples pour obtenir ce qu’ils veulent, donc tant que vous maintenez votre système à jour, il n’y a pas de quoi s’inquiéter.