Le fabricant de puces a résolu plusieurs problèmes de puces en mai. Maintenant, il publie un autre correctif, mais des analystes tiers disent que la société ne rapporte pas sa vérité à ses problèmes
En mai, lorsque Intel a publié un correctif pour un groupe de failles de sécurité découvertes par des chercheurs dans les processeurs de l'entreprise, il a été clairement indiqué que tous les problèmes étaient ainsi résolus.
Cependant, ce n'était pas toute la vérité, selon des chercheurs néerlandais de l'Université libre d'Amsterdam qui ont découvert des vulnérabilités et l'ont signalé au géant de la technologie en septembre 2018. Le correctif logiciel qui était censé résoudre le problème de processeur n'a corrigé que certains des problèmes découverts par les chercheurs.
Et ce n'est qu'après 6 mois que le deuxième patch a été publié,
présenté publiquement
par la société au début de novembre , dans lequel tous les problèmes signalés par Intel en mai ont été résolus, comme les chercheurs disent dans leur entretien.
Intel a annoncé au public que «tout est réparé», a déclaré Cristiano Jufrida, professeur d'informatique à l'Université libre d'Amsterdam, l'un des chercheurs qui a signalé les vulnérabilités. "Et nous savions que ce n'était pas le cas."
Ces vulnérabilités, ainsi que d'autres failles de sécurité graves dans les puces informatiques, récemment découvertes par la communauté de la sécurité, ont permis aux attaquants d'extraire des mots de passe, des clés de chiffrement et d'autres données sensibles à partir de processeurs de bureau, d'ordinateurs portables et de serveurs cloud.
Les déclarations faites par les chercheurs démontrent une tension caractéristique entre les entreprises technologiques et les experts en sécurité, peignant périodiquement les produits des entreprises pour détecter les failles qui rendent les systèmes informatiques vulnérables aux attaques.
Et tandis que de nombreux chercheurs donnent aux entreprises le temps de résoudre les problèmes avant de révéler ces vulnérabilités au grand public, les entreprises technologiques peuvent prendre le temps de corriger les erreurs et essayer de fermer la bouche des chercheurs cherchant à informer le public sur les problèmes de sécurité.
Les chercheurs acceptent souvent de ne divulguer les informations de vulnérabilité qu'aux entreprises et de ne les divulguer à personne d'autre jusqu'à ce que l'entreprise puisse publier le correctif. Les chercheurs négocient généralement avec les entreprises sur les détails d'une annonce publique d'un correctif. Cependant, les chercheurs néerlandais disent qu'Intel a abusé de ce processus.
Maintenant, ils affirment qu'Intel a repris l'ancien. Ils ont déclaré que le nouveau correctif, publié en novembre, ne résout toujours pas l'un des problèmes qu'ils ont signalés à Intel en mai.
Intel a admis que le correctif de mai ne résout pas tous les problèmes découverts par les chercheurs, ainsi que le correctif de novembre. Cependant, ils réduisent "extrêmement" le risque d'attaque, a déclaré Lei Rosenwold, porte-parole de l'entreprise.
Rosenwold a déclaré qu'Intel, avec le correctif de novembre, publie un calendrier de travail pour les correctifs - non pas en réponse directe aux plaintes des chercheurs, mais pour la transparence.
«En général, nous ne faisons pas cela, mais il est devenu clair pour nous que c'est un problème difficile. Nous devons certainement aborder cela de manière transparente », a-t-elle déclaré. "Nous pouvons ne pas être d'accord avec certaines observations des chercheurs, mais, malgré cela, nous apprécions notre relation avec eux."
Les chercheurs néerlandais ont gardé le silence pendant huit mois sur les problèmes qu'ils ont découverts alors qu'Intel travaillait sur un correctif publié en mai. Puis, lorsque Intel s'est rendu compte que le correctif ne résolvait pas tous les problèmes et a demandé aux chercheurs de garder le silence pendant six mois, ils ont également été invités à modifier le travail qu'ils prévoyaient de présenter à la conférence sur la sécurité informatique, en supprimant toutes les références aux vulnérabilités non corrigées. Les chercheurs disent qu'ils étaient réticents à accepter cela, car ils ne voulaient pas que ces vulnérabilités soient connues du public jusqu'à ce qu'elles soient corrigées.
«Nous avons dû modifier le travail pour eux afin que le monde ne sache pas à quel point tout est vulnérable», a déclaré Cave Razavi, un autre professeur d'informatique à l'Université libre d'Amsterdam, membre de
l' équipe de
rapports sur
la vulnérabilité .
Une équipe de chercheurs de l'Université libre d'Amsterdam, de gauche à droite: Herbert Bos, Cristiano Jufrida, Sebastian Osterlund, Pietro Frigo, Alice Milburn et Cave Razavi.Selon les chercheurs, après avoir informé la société des erreurs non corrigées avant la sortie du patch de novembre, Intel a demandé aux chercheurs de ne rien dire avant que la société n'ait préparé le prochain patch. Cependant, cette fois, les chercheurs ont refusé d'obéir.
"Nous pensons qu'il est temps de dire au monde qu'Intel n'a pas encore résolu le problème", a déclaré Herbert Bos, un collègue des professeurs de l'Université libre d'Amsterdam.
Les premières vulnérabilités ont été découvertes, notamment par le groupe universitaire VUSec, qui comprend Jufrid, Bos, Razavi et quatre de leurs étudiants diplômés: Stefan van Scheik, Alice Milburn, Sebastian Osterlund et Pietro Frigo. Un deuxième groupe de l'Université de Graz de Karl et Franz en Autriche, indépendamment d'eux, a découvert certains de ces problèmes et les a signalés à Intel en avril.
Et toutes ces vulnérabilités proviennent d'un problème lié au traitement des données par les processeurs Intel.
Pour économiser de l'argent, les processeurs remplissent certaines fonctions dont ils prédisent le besoin à l'avance et stockent les données traitées. Si cette fonction est annulée et que les données ne sont pas nécessaires, elles restent dans le système pendant un certain temps.
La vulnérabilité permet à un tiers d'extraire des données pendant le traitement ou le stockage. Chacune des options découvertes par les chercheurs décrit sa propre façon d'extraire ces données par un attaquant.
"Il y a un vrai problème et il existe de nombreuses options", a déclaré Bos.
Lorsque Intel a publié les correctifs en mai, il a décrit le problème comme «de gravité faible à moyenne». Les chercheurs ont déclaré que la société leur avait versé une récompense de 120 000 $ pour avoir découvert et signalé des vulnérabilités. Les récompenses pour signaler des problèmes sont payées régulièrement, mais ce montant pour trouver une erreur faible à moyenne semble très élevé.
Lorsque les chercheurs ont signalé les premières vulnérabilités d'Intel en septembre 2018, ils ont ajouté des exemples d'exploitation réussie de ces trous au message - un code malveillant qui illustre des exemples d'attaques réussies pour chacune des vulnérabilités.
Au cours des huit prochains mois, l'équipe de sécurité d'Intel a répondu à ces conclusions et a créé un correctif avec une date de sortie à venir le 11 mai. Quatre jours avant la publication, lorsque la société a donné aux chercheurs les détails de ce correctif, ils ont rapidement réalisé que le correctif ne corrigeait pas toutes les vulnérabilités trouvées.
Les ingénieurs d'Intel ont examiné certains des cas d'utilisation fournis par les chercheurs. Mais les chercheurs disent que les spécialistes Intel ont dû, sans même voir ces matériaux, découvrir indépendamment des vulnérabilités supplémentaires sur la base de données connues.
Les chercheurs disent qu'Intel a choisi une manière inefficace de traiter les vulnérabilités des puces. Au lieu de résoudre le problème principal, qui pourrait nécessiter une refonte du processeur, la société a corrigé chaque version des problèmes individuellement.
"Nous sommes sûrs qu'il reste encore un tas de vulnérabilités", a déclaré Bos. "Et ils ne feront pas correctement les travaux d'ingénierie tant que leur réputation ne sera pas en jeu."
Lorsqu'il s'agit de détecter une nouvelle classe de vulnérabilités, il est courant que les ingénieurs de correction de code recherchent des variantes supplémentaires du problème, à l'exception de celles qui ont déjà été découvertes et signalées.
Des chercheurs néerlandais affirment qu'aucune des options d'attaque qu'ils proposaient à Intel ne différait fondamentalement de celles que la société avait fixées, ils ont donc dû extrapoler et trouver toutes les options restantes par eux-mêmes.
«Bon nombre des attaques qu'ils ont ratées différaient des autres en quelques lignes dans le code. Parfois même avec une seule ligne de code », a expliqué Jufrid. - Les conséquences de cet événement nous excitent. Cela signifie que tant que nous ne leur donnerons pas toutes les solutions possibles au problème, ils ne le régleront pas. »
Rosenwold d'Intel a déclaré que la société avait résolu le problème principal en changeant certaines puces et apporterait des corrections similaires à ses autres puces.
Malgré le fait qu'il était interdit aux chercheurs de divulguer des détails, des différends concernant ces vulnérabilités ont commencé à s'infiltrer. Les informations le concernant ont été si librement transmises les unes aux autres qu'elles ont finalement été transmises aux chercheurs eux-mêmes.
"De plus en plus de gens apprenaient cette vulnérabilité, à tel point que ces informations nous sont finalement parvenues", a expliqué Bos. - Ils construisent l'illusion que l'ensemble du processus de divulgation d'informations est censé être sous leur contrôle. Mais personne ne le contrôle et les informations fuient. »
Tout cela signifie que, alors que les chercheurs se taisaient, d'autres personnes qui voulaient profiter des vulnérabilités pouvaient potentiellement déjà en prendre connaissance. «N'importe qui peut en faire une arme. Et lorsque vous n'en informez pas le public, c'est encore pire, car il y aura des gens qui pourront utiliser ces informations contre des utilisateurs non protégés », a déclaré Razavi.