Le Data-Direct I/O (ou DDIO) d'Intel doit améliorer les performances de ses processeurs. Malheureusement, des chercheurs ont annoncé que le système est également sujet aux vols de frappes clavier.
L'attaque mise au point par les scientifiques, baptisée NetCAT, peut être exploitée pour obtenir des informations sensibles.
Le DDIO incriminé
Le système responsable de la faille a été mis au point, puis introduit par Intel en 2011. C'est le Data-Direct I/O, une amélioration qui autorise les cartes réseaux et d'autres périphériques à se connecter directement au cache du processeur. Jusque-là, ces périphériques devaient se connecter à la mémoire principale, signifiant un chemin plus long pour les données. Le DDIO a ainsi promis une optimisation de la bande passante, une réduction de la latence et de la consommation en énergie.Les chercheurs de l'université d'Amsterdam et de l'ETH de Zurich ont cependant averti que, dans certaines situations, les hackers pouvaient utiliser ce DDIO pour la récupération de frappes clavier. Si l'on pense en priorité aux ordinateurs personnels, la menace la plus grave concerne les data centers et les environnements liés au Cloud, susceptibles de disposer à la fois du DDIO et d'un accès mémoire à distance (RDMA) pour permettre l'échange de données.
Attaque NetCAT
Dans leur publication parue mardi 10 septembre, les chercheurs soulignent la gravité de la faille : « Alors que NetCAT est puissante même dans les cas les plus simples, nous pensons que nous avons à peine caressé la surface de ses possibilités pour les attaques réseau du cache, et nous nous attendons à des attaques similaires à NetCAT à l'avenir ».L'attaque NetCAT, pour Network Cache Attack, est en partie basée sur les utilisations de la langue les plus fréquents. Par exemple, il est plus fréquent qu'un « E » suive un « S » lorsque l'on écrit, plutôt qu'un « G ». Ces pratiques donnent des indices permettant de déduire quelles lettres ont été tapées au clavier. Les chercheurs ont indiqué avoir utilisé les fonctionnalités de contrôle à distance du RDMA « par commodité ». Ce n'est pas une obligation, et les attaques futures pourront ne pas en avoir besoin pour être effectuées.
D'autres aspects, comme le temps de transfert des paquets, fournissent également des pistes permettant de décrypter les frappes clavier : le rapport des chercheurs détaille le fonctionnement de l'attaque dans son ensemble.
Kaveh Razavi, l'un des chercheurs de l'université d'Amsterdam, appelle donc à la désactivation du DDIO : « Dans les paramètres d'échanges avec des clients peu fiables, où la sécurité compte davantage que les performances, nous recommandons de désactiver DDIO ».
Source : Ars Technica