Google Cloud et Intel a publié aujourd’hui les résultats d’un audit de neuf mois du nouveau produit de sécurité matérielle d’Intel : Trust Domain Extensions (TDX). L’analyse a révélé 10 vulnérabilités confirmées, dont deux que les chercheurs des deux sociétés ont signalées comme importantes, ainsi que cinq découvertes qui ont conduit à des changements proactifs pour renforcer davantage les défenses de TDX. L’examen et les correctifs ont tous été achevés avant la production des processeurs Intel Xeon de quatrième génération d’Intel, connus sous le nom de “Sapphire Rapids”, qui intègrent TDX.
Les chercheurs en sécurité de Google Cloud Security et de l’équipe de recherche de bogues Project Zero de Google ont collaboré avec les ingénieurs d’Intel sur l’évaluation, qui a initialement révélé 81 problèmes de sécurité potentiels que le groupe a étudiés plus en profondeur. Le projet fait partie de l’initiative Confidential Computing de Google Cloud, un ensemble de capacités techniques permettant de chiffrer à tout moment les données des clients et de garantir qu’ils disposent de contrôles d’accès complets.
Les enjeux de sécurité sont incroyablement élevés pour les grands fournisseurs de cloud qui gèrent une grande partie de l’infrastructure numérique mondiale. Et bien qu’elles puissent affiner les systèmes qu’elles construisent, les entreprises du cloud s’appuient toujours sur le matériel propriétaire des fabricants de puces pour leur puissance de calcul sous-jacente. Pour mieux comprendre les processeurs dont ils dépendent, Google Cloud a travaillé avec AMD sur un audit similaire l’année dernière et s’est appuyé sur la relation de confiance de longue date entre Intel et Google pour lancer l’initiative pour TDX. L’objectif est d’aider les fabricants de puces à trouver et à corriger les vulnérabilités avant qu’elles ne créent une exposition potentielle pour les clients de Google Cloud ou toute autre personne.
« Ce n’est pas anodin car les entreprises, nous avons tous notre propre propriété intellectuelle. Et en particulier, Intel avait beaucoup de propriété intellectuelle dans les technologies qu’ils apportaient à cela », explique Nelly Porter, chef de produit du groupe Google Cloud. “Pour nous, être capables d’être incroyablement ouverts et de se faire confiance est précieux. La recherche que nous menons aidera tout le monde, car la technologie Intel Trusted Domain Extension sera utilisée non seulement dans Google, mais partout ailleurs également.
Les chercheurs et les pirates peuvent toujours attaquer le matériel et les systèmes en ligne depuis l’extérieur. Ces exercices sont précieux car ils simulent les conditions dans lesquelles les attaquants recherchent généralement des faiblesses à exploiter. Mais des collaborations comme celle entre Google Cloud et Intel ont l’avantage de permettre à des chercheurs extérieurs d’effectuer des tests en boîte noire, puis de collaborer avec des ingénieurs qui ont une connaissance approfondie de la conception d’un produit pour potentiellement découvrir encore plus sur la façon dont un produit pourrait être mieux sécurisé. .
Après des années de bousculade pour remédier aux retombées de sécurité des défauts de conception de la fonction de processeur connue sous le nom d’« exécution spéculative », les fabricants de puces ont investi davantage dans des tests de sécurité avancés. Pour TDX, les pirates informatiques internes d’Intel ont mené leurs propres audits, et la société a également mis TDX à l’épreuve de la sécurité en invitant des chercheurs à examiner le matériel dans le cadre du programme de primes de bogues d’Intel.
Anil Rao, vice-président et directeur général de l’architecture et de l’ingénierie des systèmes d’Intel, déclare que l’opportunité pour les ingénieurs d’Intel et de Google de travailler en équipe a été particulièrement fructueuse. Le groupe a tenu des réunions régulières, a collaboré pour suivre les résultats conjointement et a développé une camaraderie qui les a motivés à creuser encore plus profondément dans TDX.
