De nombreux processeurs Intel affectés par une faille au doux nom de ZombieLoad

Par Aymeric GR
le 15 mai 2019 à 13h49
0
ZombieLoad

Une nouvelle vulnérabilité majeure a été découverte récemment : ZombieLoad. Elle concernerait quasiment l'ensemble des processeurs Intel fabriqués depuis 2011.

La faille exploiterait en tout 4 vulnérabilités matérielles, toutes liées à des processeurs Intel, qui permettrait ainsi aux malandrins de récupérer tout un ensemble d'informations privées sur les ordinateurs touchés (mots de passe, historiques de navigation,...).

Une vulnérabilité matérielle


Après les failles matérielles Spectre et Meltdown, c'est au tour de ZombieLoad, ou plutôt, CVE-2018-12130. La nuance : seul les processeurs Intel sont concernés (et non pas ceux sous AMD et ARM). Pour information, ZombieLoad est une attaque informatique qui exploite les techniques d'exécution spéculative et qui se fait par canal auxiliaire. Le but de cette faille : accélérer le processeur, forcer ce dernier à exécuter une commande qu'il ne ferait pas habituellement, et récupérer par la suite des informations privées qui ne devraient normalement pas être accessibles. Elle ne laisserait à priori aucuns logs. Difficile donc de savoir si tel ou tel matériel est affecté par ZombieLoad.

ZombieLoad a été repéré par un ensemble de chercheurs et l'information a été transmise à Intel le mois dernier. Les périphériques fonctionnant sur des processeurs AMD ou ARM (tels que les smartphones et les tablettes Android) ne sont pas vulnérables. La faille n'affecte pas non plus l'Apple Watch ou les appareils iOS.

Mises à jour déployées et baisse de performance pour les CPU


Les correctifs sont soit déjà déployés (Windows, macOS, ChromeOS, Chromebooks...), soit en cours de déploiement. Néanmoins et selon Intel, tous les correctifs peuvent entraîner une baisse de performance des ordinateurs "patchés" : de 3% à 9% en moyenne voir, jusqu'à 40% selon Apple, qui préfère prendre une certaine marge concernant leurs produits. Apple précise par ailleurs qu'à leur connaissance, la faille n'aurait pas été exploitée sur leur écosystème. Pour les utilisateurs Mac les plus exposés à des risques, il est possible d'activer une réduction complète des risques à l'aide du Terminal, selon certaines conditions.

Microsoft indique que Windows 7 et XP étaient également vulnérables et a publié des correctifs pour tous ses systèmes d'exploitation (y compris Windows 10). Les correctifs peuvent être installés via Windows Update, ou en passant par le site Web du support Microsoft. Google a également publié des correctifs pour atténuer les effets de ZombieLoad, tout comme Apple. Alors que la plupart des appareils Android fonctionnent sur du matériel ARM et ne sont pas affectés, tout appareil Android utilisant du matériel Intel devra appliquer les correctifs. Mozilla a également indiqué qu'ils travaillaient sur une solution à long terme pour leur navigateur Firefox sur macOS, et que les versions de Firefox Beta et Firefox Nightly ont déjà été patchées. Google a par ailleurs conseillé aux utilisateurs de son navigateur web Chrome de s'assurer qu'ils installent les mises à jour directement à partir de leur système d'exploitation.

En définitive, si les mises à jour automatiques ne sont pas activées sur vos appareils, vérifiez si ces derniers sont bien à jour.

De plus amples informations sur ZombieLoad sont disponibles sur ce lien. Et pour en savoir encore plus, un papier académique complet est accessible ici (en anglais).
Cet article vous a intéressé ?
Abonnez-vous à la newsletter et recevez chaque jour, le meilleur de l’actu high-tech et du numérique.

Les dernières actualités

Le salaire médian d'un stagiaire chez Facebook est de... 8000 dollars par mois
Microsoft brevette un système automatisé de génération de carnet de voyage
Un nouveau kilo, Huawei, SFR, Parcoursup : les actualités tech' de la semaine
LG veut être neutre en émissions carbone d'ici à 2030 et explique comment
Star Wars : après l'échec de Solo, Lucasfilm abandonne les spin-off
Comparatif 2019 : quels processeurs pour jouer et travailler ?
Où en est la législation française sur les travailleurs d'Uber, Deliveroo et consorts ?
Des capteurs inspirés des araignées pour permettre aux drones de réagir plus vite
Chine : une sonnerie de téléphone pour stigmatiser les citoyens endettés
Google lance la livraison de repas directe depuis Search, Maps et l'Assistant
scroll top