Les révélations de 2018 sur Spectre et Meltdown ont ébranlé le monde de l'informatique. Bien que ces vulnérabilités aient quitté l'actualité principale, elles reviennent sous les feux des projecteurs. Des chercheurs en sécurité ont identifié huit nouvelles failles de type Spectre affectant les processeurs Intel.
Examinons ces nouvelles vulnérabilités Spectre-NG, leurs différences avec les originales et les mesures à prendre.
Le média allemand Heise rapporte la découverte de huit nouvelles vulnérabilités dans les processeurs Intel par des experts en sécurité. Surnommées "Spectre Next Generation" (Spectre-NG), elles confirment les failles fondamentales des processeurs modernes. Intel classe quatre d'entre elles comme "à haut risque" et les quatre autres comme "moyennes".
Les Spectre-NG présentent un risque d'attaque similaire à l'original, avec une exception notable.
L'une d'elles simplifie un vecteur d'attaque au point que son potentiel de menace est nettement supérieur. Un attaquant peut exécuter un code malveillant dans une machine virtuelle pour compromettre l'hôte, comme un serveur cloud, et accéder aux données sensibles d'autres clients, telles que des mots de passe.
Comme pour Spectre et Meltdown, Project Zero de Google a identifié ces failles. Ce projet vise à divulguer responsablement les vulnérabilités zero-day. Intel devrait donc déployer des correctifs bientôt, Project Zero respectant un délai de 90 jours pour permettre les mises à jour.
Passé ce délai, les détails seront publiés même sans patch.
Aucun calendrier précis n'est disponible pour les correctifs Spectre-NG. Ces failles étant nouvelles et complexes à exploiter, les ingénieurs procèdent avec prudence.
Intel a demandé 14 jours supplémentaires aux chercheurs, mais le calendrier initial est maintenu. Un patch était prévu pour le 7 mai, potentiellement reporté au 21. Attendez-vous à des mises à jour imminentes.
La portée étendue de Spectre-NG complique les corrections. Les précédents patchs ont causé des bugs, des ralentissements CPU et des retraits temporaires par certains éditeurs.
Microsoft offre jusqu'à 250 000 $ via son programme de bug bounty pour les failles Spectre.
Les failles originales étaient difficiles à exploiter, nécessitant une expertise avancée. Cette variante Spectre-NG est plus accessible, bien que toujours complexe.
D'autres vecteurs d'attaque plus simples existent pour la plupart des menaces courantes. Néanmoins, la majorité des processeurs reste vulnérable, rendant les patchs essentiels, malgré leurs impacts.
L'outil InSpectre permet de tester rapidement votre protection. Téléchargez-le, exécutez-le et évaluez votre niveau de sécurité contre Spectre et Meltdown.
Des tests sont en cours sur AMD. Aucune confirmation définitive pour l'instant, mais ils semblent moins affectés. Cependant, comme pour les failles précédentes, cela pourrait changer avec des analyses approfondies.
Spectre-NG s'ajoute à la liste des failles processeurs critiques. Intel doit les corriger, mais une éradication complète nécessiterait une refonte architecturale. Avec des milliards de puces en circulation, Spectre reste une menace persistante, même difficile à exploiter.
