Intel admet une gamme de puces vulnérables au piratage.

Intel a confirmé un rapport disant que ses puces contiennent une caractéristique qui les rend vulnérables au piratage, bien que les semi-conducteurs d’autres entreprises soient également sensibles.

Intel travaille avec des fabricants de puces, notamment AMD et ARM Holdings et des fabricants de systèmes d’exploitation afin de développer une approche sectorielle pour résoudre le problème qui pourrait toucher une grande variété de produits, a annoncé mercredi la société dans un communiqué. Intel a déclaré qu’il a commencé à fournir des logiciels pour aider à atténuer les exploits potentiels. Les ralentissements de l’ordinateur dépendent de la tâche à accomplir et pour l’utilisateur moyen, « ne devraient pas être significatifs et seront atténués au fil du temps ».

Les microprocesseurs de l’entreprise sont la pierre angulaire de l’Internet des réseaux d’entreprise et des PC. Intel a ajouté à ses conceptions au fil des ans en essayant de rendre les ordinateurs moins vulnérables aux attaques, arguant que la sécurité matérielle est généralement plus difficile à casser que les logiciels. Les rapports sur les exploits causés par un « bug » ou une « faille » qui sont uniques à ses produits sont incorrects, a déclaré Intel.

« Intel et d’autres entreprises technologiques ont été sensibilisées à de nouvelles recherches sur la sécurité décrivant des méthodes d’analyse de logiciels qui, lorsqu’elles sont utilisées à des fins malveillantes, peuvent potentiellement recueillir des données sensibles à partir de dispositifs informatiques fonctionnant comme prévu. Intel estime que ces exploits n’ont pas le potentiel de corrompre, modifier ou supprimer des données. »

Mardi, le site Web de la technologie The Register a déclaré qu’un bug permettait à certains logiciels d’accéder à des parties de la mémoire d’un ordinateur qui sont mises de côté pour protéger des choses comme les mots de passe. Tous les ordinateurs avec des puces Intel des 10 dernières années semblent être affectés, selon le rapport.

La vulnérabilité peut avoir des conséquences au-delà des ordinateurs et n’est pas le résultat d’une erreur de conception ou de test. Tous les microprocesseurs modernes, y compris ceux qui utilisent des smartphones, sont conçus pour deviner quelles sont les fonctions susceptibles d’être exécutées par la suite. En mettant en attente d’éventuelles exécutions à l’avance, ils sont en mesure de gérer les données et d’exécuter les logiciels beaucoup plus rapidement.

Le problème dans ce cas est que ce chargement prédictif d’instructions permet d’accéder à des données qui sont normalement bouclées en toute sécurité, a déclaré le vice-président d’Intel, Stephen Smith, lors d’une conférence téléphonique. Cela signifie, en théorie, que le code malveillant pourrait trouver un moyen d’accéder à des informations qui seraient autrement hors de portée, telles que les mots de passe.

« Les techniques utilisées pour accélérer les processeurs sont communes à l’industrie », a déclaré Ian Batten, professeur de sciences informatiques à l’Université de Birmingham au Royaume-Uni, spécialisé dans la sécurité informatique. La solution proposée entraînera certainement des temps de fonctionnement plus lents, mais les rapports de ralentissements de 25 à 30 % sont des scénarios du « pire des cas », a-t-il dit.

AMD a déclaré qu’il y a un risque quasi nul pour ses transformateurs en raison des différences de conception et de construction.

« Pour être clair, l’équipe de recherche de sécurité a identifié trois variantes ciblant l’exécution spéculative. La menace et la réponse aux trois variantes diffèrent selon les sociétés de microprocesseurs et AMD n’est pas sensible aux trois variantes », a déclaré la société dans un communiqué.

Le PDG d’Intel, Brian Krzanich, a déclaré à la chaîne CNBC qu’un chercheur de Google avait informé Intel de ce problème « il y a quelques mois ». Google a identifié le chercheur comme Jann Horn et a dit qu’il a mis à jour ses propres systèmes et produits avec des protections contre ce genre d’attaque. Certains clients des appareils Android, des ordinateurs portables Google et de ses services cloud doivent encore prendre des mesures pour corriger les failles de sécurité, a déclaré le géant de l’Internet.

« Notre processus est le suivant : si nous savons que le processus est difficile à exploiter et que nous pouvons trouver une solution, nous pensons qu’il vaut mieux mettre en place la solution », a expliqué M. Krzanich, expliquant comment l’entreprise a réagi à la question.

Sur l’appel, Intel Smith a déclaré que la société ne voit pas de menace importante pour ses activités de la vulnérabilité.

Microsoft a publié mercredi une mise à jour de sécurité pour son système d’exploitation Windows 10 et d’anciennes versions du produit afin de protéger les utilisateurs d’appareils dotés de puces Intel, ARM et AMD, a indiqué la compagnie dans un communiqué. Le fabricant de logiciels a également commencé à appliquer les correctifs à ses services de cloud computing où les serveurs sont également affectés par le problème.

« Nous n’avons reçu aucune information pour indiquer que ces vulnérabilités avaient été utilisées pour attaquer nos clients », a déclaré Microsoft dans le communiqué. Les correctifs devaient initialement être publiés le 9 janvier, mais ils ont été diffusés mercredi après la publication d’une preuve de concept sur la façon d’exploiter la faille, selon une personne au courant de la situation. Microsoft s’attendait à ce que la mise à jour de sécurité soit déployée sur environ la moitié de son réseau de cloud avant le 9 janvier et il n’est pas clair si ce calendrier va changer, a dit la personne.

Parce que l’exploit tire parti d’une technologie destinée à accélérer les performances des processeurs, le correctif les ralentit, a précisé la personne. Dans les appareils avec la génération actuelle de puces Intel, l’impact sera faible, mais il sera plus important sur les anciens processeurs. Microsoft étudie toujours l’impact sur la vitesse des services de cloud computing et comment il va compenser les clients payants, a déclaré la personne.

Apple n’a pas répondu aux demandes de commentaires sur la façon dont le problème de la puce pourrait affecter les systèmes d’exploitation de l’entreprise.

Les fournisseurs d’informatique sur Internet devront mettre à niveau leurs logiciels pour contourner la vulnérabilité potentielle, ce qui nécessitera des lignes de code, de la puissance de calcul et de l’énergie supplémentaires pour assurer les mêmes fonctions tout en maintenant la sécurité.

« Lorsque vous utilisez des milliards de serveurs, un taux de réussite de 5 % est énorme », a-t-il déclaré.

Les fournisseurs de cloud devront probablement ralentir le rythme d’accès de leurs nouveaux clients à leurs datacenters, tout en réduisant les serveurs pour résoudre le problème et il pourrait y avoir une flambée des prix pour les serveurs, selon la demande.

A lire aussi : Les experts disent que les hacks informatiques sont plus communs que jamais.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage