Des milliards de processeurs Intel divulguent des mots de passe et tuent les performances
Une vulnérabilité effrayante a récemment été découverte dans certains processeurs Intel, et bien que les meilleurs processeurs ne soient pas affectés, des milliards de puces pourraient l'être. Selon le chercheur qui a repéré pour la première fois la vulnérabilité Downfall, "tout le monde sur Internet est affecté". Cela est aggravé par le fait qu'un pirate qualifié pourrait voler certaines des données les plus sensibles des ordinateurs concernés, y compris les mots de passe.
La chute a été découverte par un chercheur senior de Google, Daniel Moghami, qui a créé une page qui lui est dédiée, détaillant son fonctionnement et ce qu'elle peut éventuellement faire. Downfall cible l'instruction Gather dans les puces Intel, qui aide normalement le processeur à accéder rapidement à diverses données réparties dans différentes parties de sa mémoire. Cependant, avec la faille, les registres matériels internes peuvent être exposés au logiciel. Si le logiciel est compromis, il est possible que des pirates saisissent des données sensibles du PC.
Les processeurs concernés appartiennent tous aux gammes de processeurs grand public et serveurs d'Intel, à partir de Skylake jusqu'à Rocket Lake. Cela signifie que, à moins que vous n'ayez mis à niveau votre processeur au cours des dernières années, vous êtes définitivement affecté, mais vous pouvez consulter la liste complète des puces vulnérables d'Intel .
Comme le note Moghami, vous n'avez même pas besoin de posséder un processeur Intel pour être potentiellement affecté. Comme Intel domine le marché des serveurs, les environnements de cloud computing pourraient également être touchés par cela, où "un client malveillant pourrait exploiter la vulnérabilité Downfall pour voler des données et des informations d'identification d'autres clients qui partagent le même ordinateur cloud", explique Moghami.
Bien qu'il semble difficile de réussir un véritable hack avec Downfall, il y a beaucoup en jeu, c'est pourquoi Intel a déjà publié un correctif, mais l'inconvénient est une perte de performances massive. Intel n'a pas tardé à dire qu'il publierait un nouveau microcode pour les puces concernées, et il a recommandé aux utilisateurs de mettre à jour leur micrologiciel pour éviter d'être affectés par Downfall. C'est ici maintenant, mais comme l'a noté Phoronix , le prix à payer pour ne pas avoir votre mot de passe divulgué est énorme.
Intel lui-même a estimé une perte de performances allant jusqu'à 50 %, les instructions AVX étant les plus affectées. La bonne nouvelle est que pour la plupart des utilisateurs, ce ne sera pas un problème, mais la mauvaise nouvelle est que les charges de travail liées à l'IA et les tâches globales de calcul haute performance (HPC) sont assez durement touchées.
Phoronix a testé l'impact sur Linux avec quatre processeurs différents, dont un Xeon Platinum 8380, un Xeon Gold 6226R et un Intel Core i7-1165G7. Les pertes de performances vont de 6% à 39%, ce qui, bien que moins grave que prévu par Intel, n'est toujours pas génial.
Vous n'avez pas besoin de mettre à jour votre processeur si vous ne craignez pas d'être affecté par Downfall. Bien que Moghami le recommande, Intel lui-même permet aux utilisateurs de désactiver l'atténuation supplémentaire afin de restaurer toutes les performances de leur processeur. Si vous n'utilisez pas votre PC pour des tâches HPC, il semble que vous pourriez tout aussi bien conserver l'atténuation, mais Intel a détaillé le processus de désactivation si vous préférez vous en débarrasser.