Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

La sécurité est un sujet que je prends au sérieux et que j’essaie de couvrir d’une main égale. Lorsque les gens ont besoin de savoir si un logiciel ou un matériel donné est sûr, ils ont besoin d’une vision claire de la situation en termes neutres, et non d’une tonne de langage coloré. Depuis plus de deux ans, nous avons couvert de graves problèmes comme Spectre et Meltdown, ainsi qu’une gamme d’attaques similaires de classe Spectre. Alors que des entreprises comme Apple, ARM et AMD ont toutes été touchées dans une certaine mesure, Intel a été le plus touché.

Malheureusement, il semble que les services de relations publiques travaillant avec des chercheurs en sécurité du monde entier ont pris un problème très réel avec des fuites problématiques de données lors d’attaques latérales et lancent maintenant des scénarios théoriques qui ne sont pas sauvegardés par les données du documents eux-mêmes. Les données qui viennent d’être publiées sur LVI (Load Value Injection) sont un parfait exemple de cette tendance. Voici comment le site LVI décrit cette nouvelle attaque:

Si vous lisez les paragraphes du haut, vous vous en sortirez en pensant que c’est en fait pire que Meltdown, car il contourne les défenses de Meltdown et peut entraîner une réduction de 19x des performances informatiques. Sur la seule base de l’horloge, cela laisserait un processeur à 5 GHz fonctionnant comme une puce à 263 MHz. Pas bon. Vraiment pas bon. Et les chercheurs disent d’emblée que LVI est plus difficile à atténuer.

Ce qu’ils ne fais pas dire dès le départ est que LVI est une attaque théorique. Il existe une différence de ton distincte entre la messagerie dans le PDF Bitdefender et la messagerie sur le blog Bitdefender. Le blog déclare:

Cette nouvelle attaque peut être particulièrement dévastatrice dans des environnements multi-locataires et multi-charges de travail qui s’exécutent sur du matériel partagé entre des groupes de charges de travail au sein d’une organisation, ou entre des organisations, telles que des clouds publics et privés. En effet, comme le PoC [Proof of Concept] montre, il existe un potentiel pour un processus moins privilégié sous le contrôle de l’attaquant de détourner spéculativement le flux de contrôle dans un processus plus privilégié lorsque des exigences spécifiques sont remplies.

Le risque le plus simple est le vol de données secrètes qui devraient autrement être gardées confidentielles par des limites de sécurité au niveau du matériel, de l’hyperviseur et du système d’exploitation. Ces informations peuvent inclure n’importe quoi, des clés de chiffrement aux mots de passe ou autres informations qu’un attaquant pourrait exfiltrer ou utiliser pour prendre le contrôle d’un système ciblé.

La section «Exploitation réelle» du livre blanc de Bitdefender est assez différente. «Créer un exploit réel», dit-il, «pose des défis importants.» Ces défis sont les suivants:

1. Identifier un gadget approprié pour l’un des scénarios; cela dépend beaucoup de la victime et du code qu’elle contient; certains gadgets peuvent ne pas convenir du tout.

2. Assurez-vous que l’instruction pivot entraîne une assistance de microcode afin qu’elle charge les données contrôlées par l’attaquant à partir des LFB.

3. Trouver un moyen de transmettre de manière spéculative le secret de la victime au processus. Bien que la transmission du secret du noyau à l’utilisateur puisse se faire assez facilement, le faire d’un processus à l’autre est plus compliqué.

Le livre blanc de Bitdefender ne contient aucun des termes incendiaires du blog de la société ou utilisés sur le site Web de divulgation de LVI. Il déclare que l’attaque n’existe actuellement que comme une preuve de concept synthétique et discute de multiples problèmes liés à la mise à profit effective de la faille. En d’autres termes, les documents contiennent les données réelles vous indiquant que ce n’est pas une menace actuelle, tandis que les articles de blog destinés au public sont amplifiés pour offrir une ville effrayante maximale.

La messagerie à deux faces devient un problème

Il y a quelques années, une société nommée CTS-Labs a tenté de capitaliser sur ce qu’elle a déclaré être un ensemble absolument incroyable de vulnérabilités dans les processeurs AMD qui… en fait, n’ont rien donné du tout. L’apparition de Spectre et Meltdown a clairement déclenché une vague d’intérêt pour ces projets et exposé un certain nombre de problèmes de sécurité, en particulier dans les processeurs Intel. Tous ces problèmes importants doivent être résolus, et je suis à 100% en faveur de la responsabilisation des fournisseurs. Mais une histoire récente sur LVI par ZDNet illustre comment le bras marketing de l’industrie de la sécurité et le bras de recherche réel ne semblent pas avoir grand-chose à voir l’un avec l’autre de nos jours.

Après avoir détaillé tous les risques et problèmes prétendument associés à LVI, l’histoire comprend les éléments suivants:

Actuellement, de nombreux administrateurs devraient ignorer ces correctifs, principalement en raison de l’impact grave sur les performances.

Pour de bonnes raisons, Intel a minimisé la gravité de l’attaque LVI et, pour une fois, les chercheurs ont accepté.

“En raison des nombreuses exigences complexes qui doivent être satisfaites pour réussir, Intel ne pense pas que LVI soit une méthode pratique dans des environnements réels où le système d’exploitation et VMM sont fiables”, a déclaré un porte-parole d’Intel à ZDNet dans un e-mail la semaine dernière.

«D’accord avec Intel», Bogdan Botezatu, directeur de la recherche et des rapports sur les menaces [at Bitdefender], a déclaré hier à ZDNet. “Ce type d’attaque est beaucoup plus difficile à réaliser dans la pratique, par rapport à d’autres attaques latérales telles que MDS, L1TF, SWAPGS.”

En d’autres termes, les chercheurs en sécurité (ou les divisions RP des entreprises de recherche en sécurité) publient maintenant des rapports affirmant que les processeurs Intel sont catastrophiquement menacés par des attaques théoriques qui n’ont même pas encore été créées, même si ces attaques sont incroyablement difficiles ou carrément théoriques. . C’est une absurdité.

Demander à une entreprise de concevoir intelligemment du matériel pour atténuer les risques existants ou bien connus est une chose. Il est ridicule de lui demander de concevoir du matériel qui protège contre les attaques ésotériques qui n’ont même pas été démontrées lors de tests en conditions réelles. Même le directeur de la recherche sur les menaces de Bitdefender convient que cette attaque n’est pas du genre à laquelle Intel devrait raisonnablement s’inquiéter, car elle est si difficile à déployer.

Les mauvais messages ne peuvent pas être tolérés

La tendance favorable aux relations publiques à maximiser la peur des divulgations de sécurité doit cesser, non pas parce que les entreprises méritent que leurs défauts soient ignorés, mais parce que l’utilisation d’un langage maximaliste dans ces types de divulgations rend impossible pour quiconque d’estimer le degré réel de risque. Des déclarations comme «Ce type d’attaque est beaucoup plus difficile à réaliser dans la pratique» doivent être faites à la fois dans le corps du rapport officiel et sur les sites Web où ces divulgations sont faites. Nous commençons à entendre parler des risques «théoriques» pour Intel et AMD et des menaces qui pourraient émerger un jour, mais, vous savez, n’existent pas actuellement. Il n’y a rien de mal à planifier à l’avance, mais étant donné les longs cycles de développement que traversent les processeurs, Intel n’a aucun moyen pratique de construire un processeur 2020 pour gérer toutes les failles de sécurité possibles qui pourraient être trouvées dans les logiciels, le matériel ou les deux d’ici 2025. La nature des failles de sécurité est qu’après en avoir corrigé un, les gens en sortent et en trouvent un autre.

Je suis de plus en plus convaincu qu’Intel n’est pas traité équitablement par ces rapports, et ce n’est pas seulement Intel. Plus tôt cette semaine, nous avons couvert un autre cas où le verbiage PR autour d’une faille AMD ne correspondait pas à ce que les chercheurs en sécurité ont dit en public. Je ne veux pas contester le bon travail des chercheurs en sécurité, d’autant plus que je ne sais pas si les personnes qui écrivent la copie du site Web sont les mêmes personnes qui effectuent le travail, mais la déconnexion entre les explosions de relations publiques et les rapports de livres blancs devient intenable.

Vous ne voyez pas beaucoup de journalistes écrire des histoires minimisant les problèmes de sécurité pour une raison simple: personne ne veut être le gars qui a juré qu’un problème de sécurité n’était pas un problème juste avant qu’il n’explose en un problème majeur. Franchement, moi non plus. Dans le même temps, la façon dont ces rapports sont vendus au public rend la tâche activement plus difficile à faire. Si Intel a un intérêt évident à minimiser tout rapport de sécurité et que la société qui a trouvé la faille fait tout ce qu’elle peut pour peindre cette faille dans le langage le plus apocalyptique possible, il est beaucoup plus difficile pour nous, journalistes, de savoir quoi dire aux gens.

Je ne vais pas dire que LVI n’est pas un problème ou qu’Intel ne devrait pas le résoudre. Intel a en effet déjà publié quelques mises à jour logicielles destinées à corriger le problème. Cela dit, Meltdown et Spectre existent maintenant depuis plus de deux ans et aucun logiciel malveillant n’a encore été trouvé pour les utiliser. Ce que je dirai, c’est que lorsque le chef de la division d’analyse des menaces d’une entreprise ne croit pas qu’un problème mérite d’être corrigé, il ne mérite peut-être pas non plus d’être en première page déclarant qu’un autre défaut a été trouvé dans les puces Intel. Il fournit aux lecteurs de bonnes informations sur les menaces urgentes et est utilisé par les équipes de relations publiques pour propulser une entreprise dans les nouvelles sous le couvert de rapports de sécurité. Je suis toujours intéressé par le premier et complètement désintéressé par le second.

