Andrey Kuzmin - stock.adobe.com

Spectre-Meltdown : Intel poursuit sa stratégie du déni

Le fondeur, empêtré dans sa gestion de Spectre & Meltdown, a tenté de justifier sa réaction aux failles auprès de la chambre des représentants américains. Il y explique qu’il a respecté les procédures de l’industrie. Et tente de minorer l’impact de ses erreurs de design.

Désormais l’objet de 32 plaintes en justice suite à la révélation des failles Meltdown et Spectre, Intel s’enfonce dans une stratégie du déni, dont l’objectif vise à réduire l’exposition juridique de la firme. Dans un courrier répondant à une requête de la chambre des représentants US, le fondeur tente de se dédouaner de toute faute.

« La collaboration entre Intel et les autres acteurs de l’industrie dans le cadre de la divulgation et de la remédiation des failles Spectre et Meltdown s’est déroulée conformément aux principes généralement admis et connus sous le nom de “divulgation responsable” (responsible disclosure) », explique le fondeur.

Et d’ajouter « les améliorations à la sécurité sous forme de mise à jour ou de correctifs sont une pratique nécessaire et universelle dans le monde de la technologie moderne ». En oubliant de préciser qu’il est rare, voire exceptionnel, qu’une faille matérielle nécessite une mise à jour complète de l’écosystème logiciel (hyperviseurs, OS et applications) pour se protéger contre un défaut de conception matériel (un défaut qu’Intel tente de façon non désintéressée de faire passer pour une faille banale de sécurité).

Intel explique supporter le concept de « responsible disclosure » et indique que les actions qu’il a prises en collaboration avec d’autres dans l’industrie en maintenant le secret sur les failles ont contribué à améliorer la sécurité des utilisateurs dans le monde. Et d’expliquer qu’en raison de ces actions, des solutions de remédiation étaient déjà en place avant que les failles ne soient rendues publiques. « Le résultat de la publication coordonnée d’informations est que dès le début janvier 2018, l’industrie avait développé des remédiations et était prête à les publier ».

Intel est loin d'en avoir fini avec la remédiation de Spectre et Meltdown

Le problème est que cette affirmation est au mieux une exagération et au pire un vrai mensonge. Un mois et demi après la divulgation publique des deux failles et près de 7 mois et demi après qu’Intel ait été informé des failles par le projet Google Zero, 90 % des serveurs de la planète n’ont toujours aucune défense en place contre les failles Spectre, Intel ayant choisi de donner la priorité aux correctifs de sa dernière génération de processeurs, les Xeon Scalable Platform, qui ne représentent qu'une faible partie de sa base installée.

Les correctifs pour les Xeon v3 et v4 ne sont ainsi entrés en phase bêta que cette semaine et ne sont toujours pas validés pour un déploiement en production. Et il faudra ensuite un peu de temps pour les déployer dans les infrastructures existantes. Notons au passage que nombre de processeurs pour PC et portables antérieurs à la génération « Skylake » n’ont toujours aucune protection.

Tous les OS sont aussi loin d’être protégés. FreeBSD vient ainsi tout juste de connaître une mise à jour pour protéger les noyaux de la faille Meltdown et n’a toujours aucune remédiation pour la variante 1 de Spectre. Microsoft a inactivé les protections contre Spectre dans Windows en attendant qu’Intel remette de l’ordre dans ses correctifs. Et de nombreux spécialistes estiment que les systèmes informatiques ne seront efficacement protégés de la variante 2 de Spectre qu’après recompilation de l’ensemble des composants OS et applicatifs, ce qui prendra beaucoup de temps (à supposer que cette recompilation soit suffisante).

En fait, le problème est que la méthode radicale pour remédier aux deux failles serait de désactiver de façon systématique la prédiction de branchement et l’exécution spéculative de code dans les processeurs. Mais une telle décision torpillerait les performances des puces Intel et exposerait le constructeur à une explosion des plaintes de la part de ses clients. La décision a donc été prise chez le fondeur et dans l’écosystème d’opter pour des remédiations moins radicales (et plus complexes) dont on n’est pas certain à ce jour qu’elles offriront une protection totale contre les failles. Et on n’a sans doute pas vu, non plus, la fin des attaques de type side channel, comme l’a montré la découverte récente par des chercheurs de Princeton de variantes de Spectre et Meltdown, baptisé SpectrePrime et MeltdownPrime.

Contre toute évidence, Intel nie l’impact de Spectre et Metdown sur les infrastructures critiques

Notons pour terminer que la réponse la plus surréaliste d’Intel porte sur les infrastructures critiques (ICS). Le fondeur explique : «  Intel comprend que ces vulnérabilités [Spectre et Meltdown] requièrent l’exécution de code non approuvé en mémoire locale et ne peuvent donc être exploitées à distance ou sur des machines qui n’acceptent pas l’exécution de code non approuvé [la bonne pratique sur les infrastructures critiques est de n’autoriser que l’exécution de processus de confiance, via un mécanisme de liste blanche, N.D.L.R].

Intel indique donc estimer que les infrastructures critiques n’ont pas été mises en danger par son traitement des failles. “Les caractéristiques généralement admises de la plupart des infrastructures critiques font que le risque [d’attaque via Spectre ou Meltdown] est faible”, explique le fondeur. Selon lui, les systèmes ICS ne permettent pas le transfert et l’exécution de code en mémoire locale, n’ont pas de connectivité externe, ne peuvent télécharger ou exécuter d’autre code que le code de contrôle présent sur l’infrastructure et ne peuvent enfin faire fonctionner plusieurs programmes en parallèle.

L’analyse du fondeur est contredite par la mise en lumière d’attaques passées comme StuxNet ou de maliciels plus récents comme Triton et elle est aussi contredite par l’existence même d’experts de la sécurité des systèmes industriels comme le français Sentryo, les Américains CyberX, Indegy et Claroty que nous évoquions récemment dans un article sur le MagIT (Ces start-ups qui veulent sécuriser les systèmes industriels). Pire l’existence de Meltdown et Spectre est une menace pour les systèmes industriels, car dans une chaîne d’attaque complexe, elle pourrait permettre à des attaquants d’implanter des codes leur permettant d’accéder encore plus en profondeur à l’infrastructure.

Intel n’en a donc sans doute pas fini avec Spectre et Meltdown et le casse-tête pour les entreprises se poursuit.

 

Pour approfondir sur Menaces, Ransomwares, DDoS