Les microprocesseurs d’Intel, d’AMD et d’autres sociétés contiennent une faiblesse récemment découverte que les attaquants distants peuvent exploiter pour obtenir des clés cryptographiques et d’autres données secrètes voyageant à travers le matériel, ont déclaré mardi des chercheurs.
Les fabricants de matériel savent depuis longtemps que les pirates peuvent extraire des données cryptographiques secrètes d’une puce en mesurant la puissance qu’elle consomme lors du traitement de ces valeurs. Heureusement, les moyens d’exploiter les attaques d’analyse de puissance contre les microprocesseurs sont limités car l’auteur de la menace dispose de peu de moyens viables pour mesurer à distance la consommation d’énergie lors du traitement du matériel secret. Aujourd’hui, une équipe de chercheurs a découvert comment transformer les attaques d’analyse de puissance en une classe différente d’exploit de canal secondaire qui est considérablement moins exigeant.
Ciblage DVFS
L’équipe a découvert que la mise à l’échelle dynamique de la tension et de la fréquence (DVFS), une fonctionnalité de gestion de l’alimentation et de la température ajoutée à chaque processeur moderne, permet aux attaquants de déduire les changements de consommation d’énergie en surveillant le temps nécessaire à un serveur pour répondre à des requêtes spécifiques soigneusement formulées. . La découverte réduit considérablement ce qui est nécessaire. Avec une compréhension du fonctionnement de la fonction DVFS, les attaques par canal latéral de puissance deviennent des attaques temporelles beaucoup plus simples qui peuvent être effectuées à distance.
Les chercheurs ont surnommé leur attaque Hertzbleed parce qu’elle utilise les connaissances du DVFS pour exposer – ou saigner – des données censées rester privées. La vulnérabilité est identifiée comme CVE-2022-24436 pour les puces Intel et CVE-2022-23823 pour les processeurs AMD. Les chercheurs ont déjà montré comment la technique d’exploitation qu’ils ont développée peut être utilisée pour extraire une clé de chiffrement d’un serveur exécutant SIKE, un algorithme cryptographique utilisé pour établir une clé secrète entre deux parties sur un canal de communication autrement non sécurisé.
Publicité
Les chercheurs ont déclaré avoir réussi à reproduire leur attaque sur les processeurs Intel de la 8e à la 11e génération de la microarchitecture Core. Ils ont également affirmé que la technique fonctionnerait sur les processeurs Intel Xeon et ont vérifié que les processeurs AMD Ryzen sont vulnérables et ont activé la même attaque SIKE utilisée contre les puces Intel. Les chercheurs pensent que les puces d’autres fabricants pourraient également être affectées.
Dans un article de blog expliquant la découverte, les membres de l’équipe de recherche ont écrit :
Hertzbleed est une nouvelle famille d’attaques par canaux latéraux : les canaux latéraux de fréquence. Dans le pire des cas, ces attaques peuvent permettre à un attaquant d’extraire des clés cryptographiques de serveurs distants que l’on croyait auparavant sécurisés.
Hertzbleed tire parti de nos expériences montrant que, dans certaines circonstances, la mise à l’échelle dynamique de la fréquence des processeurs x86 modernes dépend des données en cours de traitement. Cela signifie que, sur les processeurs modernes, le même programme peut s’exécuter à une fréquence CPU différente (et donc prendre un temps de paroi différent) lors du calcul, par exemple, de 2022 + 23823 par rapport à 2022 + 24436.
Hertzbleed est une menace réelle et pratique pour la sécurité des logiciels cryptographiques.
Nous avons démontré comment un attaquant intelligent peut utiliser une nouvelle attaque par texte chiffré choisi contre SIKE pour effectuer une extraction complète de la clé via le minutage à distance, bien que SIKE soit implémenté en « temps constant ».
Le directeur principal des communications de sécurité et de la réponse aux incidents d’Intel, Jerry Bryant, a quant à lui contesté le caractère pratique de la technique. Dans un article, il a écrit : “Bien que ce problème soit intéressant du point de vue de la recherche, nous ne pensons pas que cette attaque soit pratique en dehors d’un environnement de laboratoire. Notez également que les implémentations cryptographiques qui sont renforcées contre les attaques par canal de puissance ne sont pas vulnérables. à ce problème.” Intel a également publié ici des conseils pour les fabricants de matériel et de logiciels.
Ni Intel ni AMD ne publient de mises à jour du microcode pour modifier le comportement des puces. Au lieu de cela, ils approuvent les modifications apportées respectivement par Microsoft et Cloudflare à leurs bibliothèques de codes cryptographiques PQCrypto-SIDH et CIRCL. Les chercheurs ont estimé que l’atténuation ajoute une surcharge de performance de décapsulation de 5 % pour CIRCL et de 11 % pour PQCrypto-SIDH. Les atténuations ont été proposées par une autre équipe de chercheurs qui ont découvert indépendamment la même faiblesse.
AMD a refusé de commenter avant la levée d’un embargo sur la divulgation coordonnée.
