Selon un groupe de chercheurs, les processeurs Intel et AMD souffrent d’une faille qui pourrait être exploitée pour l’accès aux clés privées crypto.
Selon des chercheurs de l’Université du Texas à Austin, de l’Université de l’Illinois à Urbana-Champaign et de l’Université de Washington, cette faille appelée “Hertzbleed” pourrait permettre des “attaques par canal latéral” ciblant les clés privées crypto.
L’attaque cible les processeurs Intel et AMD. Il s’agit notamment des modèles d’ordinateurs de bureau et d’ordinateurs portables Intel de la huitième à la 11e génération de la microarchitecture Core, et des modèles desktop et laptop AMD Ryzen ayant des microarchitectures Zen 2 et Zen 3.
La faille a été signalée par le magazine de matériel informatique Tom’s Hardware. Intel et AMD ont également publié des déclarations à ce sujet.
L’attaque Hertzbleed
Hertzbleed est un nouveau type d’attaque ciblant les canaux latéraux de fréquence (Hertz désigne la fréquence tandis que le mot “bleed” qui signifie “saigner” fait référence à la fuite des données). Selon un document de recherche sur l’attaque :
“Dans le pire des cas, ces attaques peuvent permettre au pirate d’extraire des clés privées cryptographiques à partir des serveurs distants que l’on croyait sécurisés auparavant”.
Une attaque Hertzbleed permet de surveiller la signature de puissance de n’importe quelle charge de travail cryptographique et l’utilise pour voler les données. Cette signature de puissance varie en fonction des ajustements de la fréquence d’horloge dynamique du processeur pendant la charge de travail, explique Tom’s Hardware.
La mise à l’échelle dynamique de la tension et de la fréquence (DVFS) est une fonctionnalité utilisée par les processeurs de nouvelle génération pour réduire la consommation d’énergie. Ainsi, cette faille n’est pas un bug.
Les attaquants peuvent déterminer les fluctuations de consommation énergétique en surveillant le temps nécessaire à un serveur pour répondre à des requêtes spécifiques.
“Hertzbleed est une menace réelle et pratique pour la sécurité des logiciels cryptographiques”, ont noté les chercheurs.
En 2020, Be[In]Crypto a rapporté la découverte d’une faille dans le SGX (Software Guard Extension) d’Intel qui pourrait également conduire à des attaques par canal latéral et au piratage des clés crypto.
Existe-t-il une solution ?
Jusqu’à présent, Intel et AMD n’ont annoncé aucun correctif de la faille Hertzbleed, qui peut également être exploitée à distance. Il existe cependant quelques moyens de vous en protéger.
Selon les deux sociétés, la solution consiste à désactiver l’amplification de fréquence. Pour les processeurs Intel, la fonctionnalité est appelée “Turbo Boost”, tandis que pour les puces AMD, elle est connue sous le nom de “Turbo Core” ou “Precision Boost”. Cependant, les entreprises soulignent que cette option est susceptible d’impacter les performances du processeur.
Selon Jerry Bryant, responsable communication du département de la sécurité et des incidents d’Intel, cette attaque n’est pas pratique en dehors d’un environnement de test, en partie parce qu’il faut “des heures, voire des jours” pour voler une clé cryptographique. Il a ajouté que “les implémentations cryptographiques qui sont protégées contre les attaques par un canal de puissance latéral ne sont pas vulnérables à ce problème”.
Avis de non-responsabilité
Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.