211service.com
Les failles de cybersécurité dans les puces prennent encore trop de temps à corriger
ERIK CARTER Erik Carter
Lorsqu'Intel et un groupe de chercheurs en sécurité ont révélé l'existence de nouvelles failles de sécurité dans les anciennes générations de puces de l'entreprise en mai, la nouvelle est venue avec un détail particulièrement troublant : il a fallu plus d'un an pour trouver une solution à l'une des failles en place. .
Les chercheurs disent avoir alerté Intel de la vulnérabilité, qu'ils ont surnommée ZombieLoad, en avril 2018, mais un correctif n'a été déployé à grande échelle que le mois dernier. En comparaison, les éditeurs de logiciels ne mettent généralement pas plus de 90 jours pour publier des correctifs après la découverte d'une vulnérabilité dans leur code. Plus longtemps une faille reste sans réponse, plus grande est la probabilité qu'un pirate la trouve.
Daniel Gruss, professeur à l'Université de technologie de Graz en Autriche et l'un des chercheurs qui a aidé à mettre en lumière ZombieLoad , pense que les choses pourraient aller plus vite. Dans un e-mail adressé au MIT Technology Review, Gruss déclare que lorsque lui et ses collègues chercheurs ont informé Intel de la vulnérabilité en avril dernier, ils ont fourni une preuve de concept vérifiée de manière indépendante pour montrer qu'il s'agissait d'un véritable problème. En mai 2018, ils ont fourni à Intel plus de détails sur la faille, ce qui pourrait permettre aux pirates de mettre la main sur des données sensibles à partir d'applications exécutées sur des machines.
Intel affirme qu'il ne pouvait initialement pas reproduire la faille de sécurité signalée par les chercheurs et qu'il avait donc besoin de plus de preuves avant de prendre des mesures. Plus tôt cette année, il a finalement établi qu'il y avait effectivement une vulnérabilité et déployé le correctif.
La tension souligne les défis liés à la gestion des défauts matériels. Ceux-ci sont souvent beaucoup plus coûteux et difficiles à résoudre que les problèmes logiciels, ouvrant une fenêtre de vulnérabilité qui peut affecter des milliards de puces. Cela expose tout, des serveurs des centres de données aux tablettes et aux téléphones portables, au risque d'être piraté.
Spectre et Meltdown
La pression pour une réponse plus rapide a augmenté depuis le début de 2018, lorsque les détails d'un autre ensemble de défauts de puce, surnommé Spectre et Meltdown, ont fui prématurément. Le chaos s'ensuivit alors que les entreprises se précipitaient pour déterminer à quel point elles étaient vulnérables aux attaques, et les sociétés de puces se précipitaient pour publier des correctifs logiciels. L'épisode a donné plus d'importance aux vulnérabilités des puces, encourageant probablement les pirates à les rechercher plus intensément.
En règle générale, lorsque les chercheurs découvrent une faille de sécurité dans un logiciel ou un matériel, ils le signalent de manière confidentielle à l'entreprise concernée. La faille est gardée secrète pendant que l'entreprise travaille sur une solution afin que les méchants ne soient pas alertés de son existence. Ensuite, une fois qu'un correctif est prêt, l'entreprise lance une campagne publicitaire pour inciter les gens à l'appliquer le plus rapidement possible.
Ce processus, connu sous le nom de divulgation coordonnée des vulnérabilités (CVD), fonctionne plutôt bien pour les logiciels correctifs, qui ne prennent généralement pas plus de 90 jours dans le délai de l'industrie. Mais cela prend encore beaucoup de temps pour certains risques liés aux puces.
Ils sont certes plus complexes à gérer. Une famille de puces peut contenir des dizaines de versions, chacune utilisant un logiciel opérationnel appelé microcode qui a été adapté pour cela. La correction des failles nécessite la mise à jour du microcode pour toutes ces versions.
Les solutions aux failles de sécurité matérielles peuvent également impliquer des mises à jour d'éléments tels que les systèmes d'exploitation, ce qui signifie que les fabricants de puces doivent travailler en étroite collaboration avec d'autres entreprises en secret pour s'assurer que leur microcode révisé fonctionne toujours en harmonie avec d'autres logiciels avant qu'un correctif ne soit déployé.
Signes de progrès
Depuis Spectre et Meltdown, l'industrie des puces a apporté des améliorations bienvenues au processus CVD. Bryan Jorgensen, directeur principal de l'assurance et de la sécurité des produits d'Intel, explique que les communications entre les entreprises impliquées dans la résolution des failles de sécurité dans ses puces devaient toutes transiter par Intel. Désormais, ils peuvent souvent collaborer directement les uns avec les autres pour vérifier qu'un correctif fonctionne avec leurs systèmes interconnectés.
Les correctifs pour les défauts matériels obligent souvent les entreprises à mettre à jour à la fois le microcode et le logiciel du système d'exploitation. Il s'agit d'opérations distinctes, ce qui augmente le temps nécessaire pour mettre en place un correctif. Jorgensen dit qu'Intel a maintenant permis de regrouper les mises à jour afin que les deux puissent être effectuées simultanément.
De tels changements sont les bienvenus, mais il reste encore beaucoup d'autres domaines où l'on peut faire plus. Ils incluent:
- Améliorer les relations avec les chercheurs en sécurité
Les universitaires et les chercheurs de l'industrie qui trouvent et signalent des défauts de puces disent que les fabricants de puces peuvent encore être trop secrets sur ce qu'ils font pour y remédier. Cela peut engendrer de la méfiance. Gruss dit que les entreprises de matériel devraient idéalement fournir des mises à jour quotidiennes aux chercheurs. Il suggère également de demander à un tiers neutre de surveiller le traitement des incidents de cybersécurité.
- Convenir d'établir un délai de CVD matériel
Un rapport récent du Center for Cybersecurity Policy and Law (CCPL) à but non lucratif avertit que lorsqu'un processus de correction des défauts matériels prend plus de temps que la norme pour corriger les logiciels, les entreprises impliquées dans le processus CVD pourraient être tentées de prendre des mesures unilatérales pour protéger leurs clients et les leurs intérêts.
Cela pourrait entraîner l'exposition de défauts avant que les correctifs ne soient entièrement testés. Convenir d'un délai pour traiter les failles de sécurité matérielles serait utile. L'industrie des semi-conducteurs pourrait s'engager dès maintenant sur un calendrier pour l'établissement d'un tel délai CVD.
- Sensibiliser les gens à la nécessité de faire face aux risques liés au matériel
Développer des correctifs logiciels est assez inutile s'ils ne sont pas utilisés. L'adoption n'est pas bonne pour les correctifs logiciels, mais pour le matériel [ones] c'est vraiment mauvais, déclare Ari Schwartz, coordinateur exécutif du CCPL et ancien directeur principal de la cybersécurité au sein du personnel du Conseil de sécurité nationale des États-Unis.
Des choses simples, comme amener les gens à redémarrer régulièrement leurs routeurs domestiques pour que les puces qu'ils contiennent reçoivent des mises à jour logicielles, restent un défi. Intel et d'autres sociétés de puces ont lancé davantage de programmes pour éduquer les gens sur les risques et sur la manière de les gérer, mais un effort encore plus important sera nécessaire.
- Travailler plus dur pour éliminer les failles de sécurité dans les conceptions de puces
Les dernières générations de puces commercialisées par Intel et d'autres ne sont plus vulnérables aux attaques comme ZombieLoad et Spectre, grâce à des changements dans leur fonctionnement. Mais il y a toujours un risque que de nouveaux types de vulnérabilités apparaissent.
Pour le minimiser, les fabricants de puces devront consacrer plus de ressources à rechercher les faiblesses des nouvelles générations de puces en silicium et à développer des conceptions plus sûres pour leurs semi-conducteurs. Augmenter les dépenses dans ces domaines sera douloureux pour les entreprises opérant dans un secteur extrêmement concurrentiel, mais maintenant que les puces sont intégrées dans de plus en plus d'appareils, des véhicules autonomes aux haut-parleurs intelligents dans les maisons, le coût des défaillances de sécurité augmente considérablement.