Ces nouvelles failles de sécurité sont pour la plupart des variantes de Spectre, mais certaines semblent beaucoup plus dangereuses que celles que l'on connaissait jusqu'à maintenant. Intel, Microsoft et Linux travaillent déjà sur des patchs de sécurité.
Une sécurité largement compromise sur nos machines
Les vulnérabilités connues aujourd'hui sous le nom de Spectre ont ébranlé le monde informatique. Des patchs de sécurité avaient été publiées par Intel notamment, permettant de corriger ces failles de sécurité. Mais ce n'était malheureusement que le début.8 nouvelles failles de sécurité dans les processeurs Intel ont été découverte par des équipe de sécurité informatique et signalées au fabriquant. Ces failles sont relativement similaires aux failles Spectre, d'où leur nom Spectre-NG (Next Generation). Il existe également un soupçon sur la vulnérabilité potentielle de certains processeurs ARM.
Intel travaille d'ores et déjà sur un correctif pour certaines de ces failles de sécurité, et collabore avec les fabricants de systèmes d'exploitation pour d'autres. Le constructeur prévoit deux vagues de patchs, une première en mai et une seconde probablement en août.
Quelles sont ces vulnérabilités ?
4 des huit vulnérabilités sont considérées par Intel comme étant à haut risques. Les 4 autres sont jugées d'importance moyene.L'une des failles de sécurité est à surveiller de particulièrement près, puisqu'elle simplifie les attaques à travers un système.
Une attaque menée sur un système, via une machine virtuelle par exemple, pourrait ainsi attaquer le système d'exploitation hôte. C'est le cas des serveurs cloud, entre autres, où de nombreuses machines virtuelles sont installées sur un même serveur physique.
Cette faille de sécurité pourrait permettre, suite à l'infection d'une machine virtuelle, d'attaquer toutes les autres présentes sur le même serveur. Cette menace est donc jugée de très haut niveau et pourrait permettre la transmission de données entre les machines des clients.
Qui est touché par ces vulnérabilités ?
Les particuliers et les entreprises utilisant des serveurs dédiés ne seront probablement pas inquiétés, mais les correctifs leur seront tout de même transmis.Ce sont les serveurs de cloud computing comme le Amazon Web Services ou Google Cloud qui sont les premiers visés - et donc l'ensemble des clients, de plus en plus nombreux, utilisant leurs serveurs.
Intel et ses partenaires ont un délai de 6 mois pour corriger ces failles. Passé ce délai, les groupes de hackers comme le Google Project Zero pourront diffuser la faille de sécurité qu'ils ont découverte, et propager la connaissance de cette faille à l'ensemble des apprentis hackers.
Intel indique travailler d'arrache-pied sur ces correctifs mais il semblerait, d'après certains chercheurs, que ce soit l'ensemble de l'infrastructure des processeurs Intel qui soit à revoir en prenant beaucoup plus en considération la partie sécurité des installations.
Le fabriquant de puce a indiqué faire la promesse de la « sécurité d'abord » à l'avenir. Il ne reste plus qu'à espérer que la société se montrera plus transparente pour une meilleure réactivité de la communauté informatique.