Intel a annoncé mercredi 9 août avoir publié un premier correctif pour une importante faille de sécurité, qui touche plusieurs générations de processeurs commercialisés jusqu’en 2021 par le géant de l’électronique.
Les détails de la vulnérabilité, baptisée Downfall (« chute », en anglais), doivent être rendus publics ce même jour par son découvreur, un chercheur en sécurité de Google, lors de la conférence Black Hat de Las Vegas, l’un des principaux évènements mondiaux consacrés à la cybersécurité.
Dans la mémoire d’un processeur, il existe des protections isolant les informations les plus sensibles (mots de passe, certificats de chiffrement…) des autres. La faille qui a été découverte permet de contourner ces mesures de protection, en détournant une fonctionnalité qui, en temps normal, permet d’accélérer l’accès à certaines informations disséminées dans le processeur, rapporte Wired.
La faille existe sur les processeurs des générations Skylake, Tiger Lake, et Ice Lake, commercialisés principalement entre 2015 et 2021. Les dernières générations de processeurs Intel ne sont pas concernées.
Failles difficiles à corriger
Les failles de sécurité touchant les processeurs sont généralement considérées comme particulièrement problématiques, parce que le déploiement de correctifs est plus long et complexe que pour les failles touchant un logiciel. Les mises à jour du code faisant fonctionner les processeurs sont plus difficiles à effectuer, et leur déploiement dépend aussi de la célérité et du bon vouloir des constructeurs de PC qui intègrent ces processeurs dans leurs machines.
En 2018, deux failles similaires permettant d’accéder à des informations confidentielles stockées en mémoire, Meltdown et Spectre, avaient été découvertes. Elles concernaient de très grandes quantités de processeurs, et étaient considérées comme particulièrement sévères car dures à corriger.
Intel estime qu’il serait difficile d’utiliser Downfall pour conduire des attaques et dérober des informations confidentielles, mais le chercheur ayant découvert la vulnérabilité considère pour sa part que son utilisation est à la portée d’acteurs ayant suffisamment de ressources. Typiquement, des services de renseignement.