Spectre, Meltdown et désormais Speculative Store Bypass. Microsoft et Google ont conjointement rendu publique l’existence d’une nouvelle faille touchant les processeurs. Cette « variante 4 » (CVE-2018-3639) exploite elle aussi l’exécution spéculative des CPU : ils calculent à l’avance un grand nombre de possibilités offerte à l’utilisateur, même si celui-ci n’en choisit qu’une seule. Cela permet d’accélérer la réactivité de l’ordinateur.
Intel va livrer une mise à jour, déjà envoyée en version bêta aux constructeurs pour qu’ils l’appliquent aux machines sortant de leurs usines. La mise à jour du firmware n’activera toutefois pas la protection contre Speculative Store Bypass par défaut, dans le but de ne pas ralentir les processeurs.
Une baisse des performances attendue
Comme l’indique Leslie Culberton, patronne de la sécurité chez Intel, « un impact de 2 à 8 % sur les performances » a été observé sur un benchmark comme SYSmark 2014. On devra donc choisir entre performance et sécurité optimale, aussi bien du côté des particuliers que des administrateurs en charge de systèmes bien plus imposants.
Microsoft a informé ses partenaires de ce nouveau bug dès novembre 2017, toutefois la société indique qu’elle n’a pas trouvé de preuve que Windows et son infrastructure de service cloud soient affectés par Speculative Store Bypass.
Intel et ARM ont également dévoilé l’existence d’une nouvelle faille de type Meltdown. Cette « variante 3a » (CVE-2018-3640) s’intitule « Rogue System Register Read » et exploite une vulnérabilité dans les caches des processeurs permettant d’accéder à des données en mémoire. Aucun patch n’est disponible pour l’instant. Toutefois, cette attaque serait difficile à mettre en œuvre. Parmi les puces impactées figurent celles qui intègrent les cœurs Cortex-A15, Cortex-A57 et Cortex-A72.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
